摘要：?Wecash閃銀是中國(guó)首家互聯(lián)網(wǎng)信用評(píng)估平臺(tái)，依托數(shù)據(jù)挖掘分析和機(jī)器學(xué)習(xí)技術(shù)，實(shí)現(xiàn)快速精準(zhǔn)的信用評(píng)估。基于該評(píng)估結(jié)果，幫助個(gè)人用戶(hù)和機(jī)構(gòu)快速完成交易，享受到更便捷的資金借貸、消費(fèi)分期等金融服務(wù)，以及租車(chē)、租房、旅游、教育等生活服務(wù)。

?

Wecash閃銀是中國(guó)首家互聯(lián)網(wǎng)信用評(píng)估平臺(tái)，依托數(shù)據(jù)挖掘分析和機(jī)器學(xué)習(xí)技術(shù)，實(shí)現(xiàn)快速精準(zhǔn)的信用評(píng)估。基于該評(píng)估結(jié)果，幫助個(gè)人用戶(hù)和機(jī)構(gòu)快速完成交易，享受到更便捷的資金借貸、消費(fèi)分期等金融服務(wù)，以及租車(chē)、租房、旅游、教育等生活服務(wù)。

除卻自身發(fā)展所面臨的安全風(fēng)險(xiǎn)，隨著國(guó)家對(duì)互聯(lián)網(wǎng)金融行業(yè)在網(wǎng)絡(luò)安全方面的監(jiān)管力度逐年增加，如何快速高效的完成等級(jí)保護(hù)服務(wù)成為閃銀奇異安全負(fù)責(zé)人頭疼的問(wèn)題。

2017年6月，閃銀選擇了阿里云提供的一站式等級(jí)保護(hù)評(píng)測(cè)服務(wù)，實(shí)現(xiàn)了高效的云上等級(jí)保護(hù)評(píng)測(cè)與合規(guī)改造。而作為閃銀奇異的安全大管家，裴偉偉見(jiàn)證了業(yè)務(wù)從規(guī)模翻五倍之后，安全的壓力和挑戰(zhàn)；也促成了部門(mén)和公司從傳統(tǒng)安全，到云安全的轉(zhuǎn)型；而他自己，也經(jīng)歷了從乙方到甲方安全的不同工作模式。

從企業(yè)安全管理的角度，閃銀奇異安全負(fù)責(zé)人分享了他對(duì)信息安全崗位，和對(duì)云安全的看法和見(jiàn)解。當(dāng)法律、合規(guī)、信任等關(guān)鍵詞，在胡金行業(yè)掀起新一波浪花時(shí)，企業(yè)安全部門(mén)應(yīng)該如何在“浪潮中跳舞”呢？

?

1

雖然網(wǎng)絡(luò)安全是我的愛(ài)好和職業(yè)，但自己從一個(gè)軟件研發(fā)到真正踏足安全行業(yè)，其實(shí)繞了一圈。與很多聲名鵲起或成績(jī)斐然的圈內(nèi)朋友相比，我直到大學(xué)才真正接觸計(jì)算機(jī)，而第一次對(duì)信息安全有體感，是從同學(xué)手里接過(guò)一張價(jià)值400萬(wàn)的衛(wèi)星數(shù)據(jù)光盤(pán)。

那一刻我發(fā)現(xiàn)，代碼并不如想象中那么有價(jià)值；未來(lái)有價(jià)值的，一定是數(shù)據(jù)；而數(shù)據(jù)的安全，是其產(chǎn)生價(jià)值的基礎(chǔ)。

畢業(yè)后的兩年，我在某省電信總公司做數(shù)據(jù)庫(kù)運(yùn)維工程師的工作，和PL/SQL打交道，對(duì)數(shù)據(jù)庫(kù)特別是數(shù)據(jù)安全有了深入學(xué)習(xí)和理解，后來(lái)才有機(jī)會(huì)來(lái)到北京投身安全行業(yè)。

其后在IDF實(shí)驗(yàn)室的三年，體會(huì)了乙方的辛苦與難處，也因此磨練了自己在工程師之外的其他能力，比如溝通、統(tǒng)籌、協(xié)調(diào)、團(tuán)隊(duì)管理。

?

2

加入Wecash閃銀奇異之后，我親歷了公司規(guī)模翻五倍的成長(zhǎng)過(guò)程，業(yè)務(wù)不斷擴(kuò)大，風(fēng)險(xiǎn)窗口自然也就多了。我從一個(gè)人的救火隊(duì)員，逐步走到一個(gè)安全部門(mén)的管理崗位，將自己的安全能力與想法在這里落地。

在我看來(lái)，與其他崗位不同，企業(yè)安全的建設(shè)極度依賴(lài)于運(yùn)維工作，而我第一天加入的時(shí)候甚至只有一名運(yùn)維同事，因此在安全工作建設(shè)初期既要解決已有的安全問(wèn)題，同時(shí)也要兼顧運(yùn)維的建設(shè)。

在閃銀奇異的安全建設(shè)過(guò)程中，有一些經(jīng)驗(yàn)之談，也希望與各個(gè)行業(yè)，尤其是互聯(lián)網(wǎng)金融的安全同行們分享。

?

3

• 安全與業(yè)務(wù)是互相影響的另一半

甲方的安全同樣是服務(wù)，只不過(guò)服務(wù)對(duì)象主要是業(yè)務(wù)部門(mén)。如何把握好安全和業(yè)務(wù)的平衡，是每個(gè)行業(yè)都會(huì)遇到的問(wèn)題。

曾經(jīng)在落地產(chǎn)品安全開(kāi)發(fā)流程時(shí)，我們根據(jù)公司產(chǎn)品流程設(shè)計(jì)的安全開(kāi)發(fā)流程在頒布后，實(shí)際并沒(méi)有產(chǎn)品經(jīng)理或項(xiàng)目經(jīng)理遵守，后來(lái)和產(chǎn)品溝通后發(fā)現(xiàn)是該流程會(huì)嚴(yán)重阻礙產(chǎn)品的進(jìn)度。

因此，在第二版流程設(shè)計(jì)時(shí)和產(chǎn)品經(jīng)理以及項(xiàng)目經(jīng)理確認(rèn)后才得以順利實(shí)施。類(lèi)似的，在安全能力輸出和落地時(shí)，一方面取決于業(yè)務(wù)部門(mén)是否接受，一方面取決于輸出是否合理，前者需要對(duì)方理解和認(rèn)可，而后者則屬于"紅線"，是安全部門(mén)必須強(qiáng)推的工作，比如VPN和堡壘機(jī)。

業(yè)務(wù)的發(fā)展是第一位的，安全需要順應(yīng)業(yè)務(wù)發(fā)展的步伐。正因?yàn)槿绱?#xff0c;也更加考驗(yàn)安全能力。互聯(lián)網(wǎng)的安全更需要講究靈活和效率，這也是為什么我們比較積極地應(yīng)用云安全產(chǎn)品和服務(wù)的原因。

在業(yè)務(wù)發(fā)展過(guò)程中，有少數(shù)從安全角度不甚合理的需求，在業(yè)務(wù)上必須的，這對(duì)安全團(tuán)隊(duì)提出了更高的要求，包括對(duì)業(yè)務(wù)發(fā)展的支撐能力，安全方案的保障能力，甚至是自動(dòng)化安全服務(wù)和系統(tǒng)開(kāi)發(fā)能力。

• 安全的價(jià)值絕不僅僅是“不出事”

安全防范需要未雨綢繆，也需要事件驅(qū)動(dòng)。

很多時(shí)候，業(yè)務(wù)部門(mén)猶豫的往往在于安全風(fēng)險(xiǎn)的后果到底有多大，對(duì)于這樣的猶豫，一次安全事件的教育意義要遠(yuǎn)遠(yuǎn)大過(guò)苦口婆心的教育。“吃一塹，長(zhǎng)一智”依然是至理名言。

然而，安全的價(jià)值不僅在于安全，也在于解決公司的問(wèn)題。例如提升效率，應(yīng)用新的技術(shù)，不斷完善安全管理機(jī)制。

在初期的安全建設(shè)中，我們花了很多時(shí)間在運(yùn)維相關(guān)的工作上，建設(shè)和維護(hù)了公司除線上系統(tǒng)和應(yīng)用在內(nèi)的其他諸如員工統(tǒng)一賬戶(hù)的系統(tǒng)，雖然不直接和安全相關(guān)，但間接為安全管理提供了更加規(guī)范和系統(tǒng)的支持。

依靠技術(shù)去鋪的路，會(huì)帶來(lái)安全管理或流程效率的提升，也會(huì)帶來(lái)安全事件監(jiān)控和預(yù)警效率的提升。比如SIEM，如果沒(méi)有I和E的來(lái)源，那么M則無(wú)從談起，而來(lái)源不僅僅包括業(yè)務(wù)應(yīng)用、系統(tǒng)，也包括內(nèi)部網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用。

• 用“看得懂”的結(jié)果去展現(xiàn)安全的ROI

能夠拿錢(qián)解決的問(wèn)題不是問(wèn)題，能夠拿技術(shù)解決的問(wèn)題也不是問(wèn)題。但要考量錢(qián)和技術(shù)的恰當(dāng)使用，一方面評(píng)估公司的投入，一方面評(píng)估投入的回報(bào)。

無(wú)論是第三方服務(wù)/產(chǎn)品還是自身安全的投入，如果回報(bào)不如投資，那么無(wú)論作為安全管理本身還是公司高層，都是不支持的。

所以安全部門(mén)的價(jià)值需要用反映業(yè)務(wù)發(fā)展回報(bào)的數(shù)字說(shuō)話（不是漏洞有幾個(gè)，而是幾個(gè)漏洞避免的損失有多大），用公司管理層看得懂的語(yǔ)言展現(xiàn)價(jià)值。

• 云給企業(yè)安全帶來(lái)的是“效率革命”

作為云上用戶(hù)，使用公有云最直接的好處是能夠?qū)⑽覀冏约簭奈锢怼⒕W(wǎng)絡(luò)建設(shè)和維護(hù)中解脫出來(lái)，僅關(guān)注網(wǎng)絡(luò)連接和相應(yīng)的安全策略即可，從成本和業(yè)務(wù)持續(xù)性角度而言，既是節(jié)省，也是便利。

對(duì)于我們?cè)O(shè)計(jì)的高可用網(wǎng)絡(luò)安全架構(gòu)，實(shí)施成本僅僅是系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)安全策略級(jí)別。對(duì)于同質(zhì)化的系統(tǒng)部署和遷移，通過(guò)鏡像復(fù)制即可完成，這本身就是極大的時(shí)間成本的節(jié)約。

舉個(gè)例子，在安全訪問(wèn)策略層面，我們也歷經(jīng)了從iptables到安全組策略的路子。云的安全組策略使得即便不懂iptables命令也能夠知曉和合理利用策略限制服務(wù)/應(yīng)用/系統(tǒng)訪問(wèn)，這種操作的簡(jiǎn)化使得安全架構(gòu)在云上的實(shí)施得以得心應(yīng)手。在應(yīng)對(duì)接口和服務(wù)的安全漏洞時(shí)，也僅僅需要通過(guò)業(yè)務(wù)需要的考量便可限制不必要的端口放開(kāi)，避免攻擊面的擴(kuò)大。

但僅僅是云化的物理和網(wǎng)絡(luò)是不夠的，基于此的云安全產(chǎn)品，諸如漏洞檢測(cè)、防病毒產(chǎn)品、日志檢索，才是錦上添花之作。我們只用了1-2個(gè)人的人工成本便覆蓋了所有主機(jī)包括漏洞檢測(cè)、防病毒的功能，堡壘機(jī)產(chǎn)品能夠完美對(duì)接我們的賬戶(hù)體系進(jìn)行系統(tǒng)訪問(wèn)的二次身份認(rèn)證和操作預(yù)警。

云安全的回報(bào)還在于更高效地合規(guī)。對(duì)互聯(lián)網(wǎng)金融來(lái)說(shuō)，等保合規(guī)是整個(gè)行業(yè)的大趨勢(shì)，也是獲得用戶(hù)信任的根本。

目前，互聯(lián)網(wǎng)金融的等級(jí)保護(hù)工作是金融辦和網(wǎng)監(jiān)雙重監(jiān)管的重點(diǎn)，云上的安全產(chǎn)品和服務(wù)為我們的等保工作的順利開(kāi)展鋪平了道路。更為難得的是，由于云產(chǎn)品的特性，產(chǎn)品和服務(wù)的反饋能夠快速得到響應(yīng)，在無(wú)論用戶(hù)體驗(yàn)還是安全體系建設(shè)方面，云上企業(yè)的安全工作如虎添翼。

?

4

從我的角度來(lái)說(shuō)：安全不存在一勞永逸，也不存在能力的快速提升。它與業(yè)務(wù)本身的發(fā)展一樣，都是一步一個(gè)腳印走出來(lái)的。而云上模式，能讓企業(yè)在安全這條路上輕裝上陣，走得更快，更遠(yuǎn)些，為最終客戶(hù)提供更加值得信任的服務(wù)。

來(lái)源：阿里云安全

本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載，如需轉(zhuǎn)載請(qǐng)發(fā)送郵件至yqeditor@list.alibaba-inc.com

總結(jié)

以上是生活随笔為你收集整理的闪银奇异安全负责人：互金行业安全建设的四个心得的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。