在2016年4月14-15日,由51CTO传媒主办的WOT2016互联网运维与开发者大会上,搜狐安全经理吴建强从技术、流程、管理等多个方面来介绍了企业信息安全体系建设思路及实践,并在现场接受了记者的采访。
随着信息技术及业务场景的不断更新,企业也面临了更加复杂多样的安全威胁,信息安全是一个系统工程,也是一个需要长期实践并完善的过程,企业需要依据业务自身的需求建立并完善安全保障体系以确保业务的持续进行。
在2016年4月14-15日,由51CTO传媒主办的WOT2016互联网运维与开发者大会上,搜狐安全经理吴建强从技术、流程、管理等多个方面来介绍了企业信息安全体系建设思路及实践,并在现场接受了记者的采访。
搜狐安全经理 吴建强
吴建强,一位热衷安全技术自学成才的安全专家。2004年大学毕业后,一直从事安全工作。工作之初主要负责提供安全测试与安全服务,为不同的公司做项目,虽然收获较广,但是深度不够。十分喜爱安全技术研究的吴建强选择进入搜狐,塌下心来聚焦核心业务,提升个人技术能力。从工程师做起一直到现在的安全经理,管理整个安全团队,处理各种安全事件。
随着云计算、大数据,移动互联网的快速发展,企业的安全运维工作发生了改变。吴老师认为,从运维的角度来看,现在对安全运维人员的要求更加偏重于软件,强调软件定义的概念。对于运维人员的能力需求,开发能力是必需,因为如果不具备开发能力很难去自己定义某个东西。尤其大型互联网公司都有一个特点,公司中绝大部分的软件不是开源的就是自己开发的,或者在开源的基础架构上做,这都需要开发能力。另外,云计算时代,运维都是在一个平台上工作,工作量变小。
从安全的角度讲,给安全防护工作带来了一些好处。比如:以前做安全加固服务时,需要把客户现有的操作系统做安全配置,主要做安全策略配置工作。而云计算时代,可以通过将安全策略标准化,将安全策略定义,通过SDN的方式下发,降低运维的成本以及复杂度。
在自主研发软件整个生命周期,无论是代码开发,代码测试还是代码的发布环节,都需要在安全方面投入很大精力。一款安全的产品才能发挥它真正的价值,提供安全的服务,保障业务安全。首先,要对公司的所有涉及重要业务的产品进行保护,因为安全运维人员可能是有限的,在人员不足的情况下不可能针对每个产品都投入最大的精力。我们要针对公司关心的产品和业务,做安全开发流程,分析架构是否存在缺陷,考虑产品如何运作,功能如何实现,产品的数据流。再次,在整个代码开发周期,需要使用源代码扫描工具等,对代码进行漏洞检测。此外,还需要撰写安全指南,制作安全培训视频,提高全体员工的安全意识。
吴老师表示,企业要想建立一套完整可信的信息安全防护体系,首先,要做的就是思考自己的企业是否需要安全。然后就是安全需要聚焦到哪里,即是企业的那些产品和业务对安全的需求较高。再就是人,找到合适的人,组建安全团队,同时让做产品的人明白组建安全团队的重要性。想要建立企业信息安全防护体系,在具备了以上三个条件之后,第一阶段就是对现有技术架构、系统架构以及网络架构进行监控。找到发生的安全事件,或正在发生的攻击,攻击者是谁,有多少攻击者,什么类型的攻击。还要分析哪些产品容易受到攻击,采用了哪些攻击技术。第二阶段,根据监控结果,思考如何去防御,制定防御方案和监控方案。从监控出发,了解企业的实际状况。并根据监控结果采购安全产品及服务,让安全厂商对企业安全情况进行评估,明确企业面临的风险。
安全体系建设思路
那么如何实现有效的监控呢?吴老师认为必须要从以下几个层次进行,第一层是网络监控,看是否存在拒绝服务攻击,是否出现了网络流量异常现象;是否有针对在线Web业务和应用的攻击。以上攻击可通过网络分工的技术做流量分析和协议还原等方式进行分析。第二层是应用层监控。针对应用进行用户追踪,收集信息。第三层是数据,对所有数据的增删改,用户的登录情况进行全程记录,方便内外威胁的访问记录。此外,还应对各个机房的监控。
在采访最后,记者问到他是在怎样的机遇下从事现在的职业,吴老师说:“安全行业是一个兴趣驱动的行业,里面有很多东西是非常有魔力的。有很多人从事安全方面的工作,都源于对安全技术的热爱,不是单纯的认为这只是一种职业,而他就是其中之一。”
作为电气自动化专业的毕业生,毕业后他却进入了网络信息安全领域,从事安全工作。说起曾经的学习经历,他表示只要你从心里喜欢,你就可以为了一个漏洞不吃不喝,甚至通宵去钻研它。走上这条路源于一次大学暑假上网的经历,让他感受到了网络的神奇。于是,自大一开始他就自学网页设计,做动态程序、聊天室,学习操作系统,研究网络协议。然后在实践中接触到了远程登录,最后慢慢的对网络攻击和漏洞产生了浓厚的兴趣,随之与网络安全结下了不解之缘。
【编辑推荐】
【责任编辑:蓝雨泪 TEL:(010)68476606】