最近企業(yè)界信息安全事故頻出,從阿里數(shù)據(jù)泄露到華住集團(tuán)住宿信息數(shù)據(jù)泄露,這些核心數(shù)據(jù)的流出將所涉企業(yè)推到風(fēng)口浪尖,CIO更是焦頭爛額。
數(shù)據(jù)正成為企業(yè)資產(chǎn)與核心,而信息安全一直“被重視”了很多年,在這種重視下仍然是各企業(yè)謹(jǐn)小慎微式的“小預(yù)算”。當(dāng)信息安全在今天云計(jì)算等新技術(shù)沖擊下變得沒(méi)有邊界時(shí),企業(yè)到底該如何防護(hù)住自己的核心?
楊寧----新東方信息安全主管,采訪(fǎng)到他緣于參加在中關(guān)村大街上舉辦的一次青藤云的媒體活動(dòng),筆者被攔在天橋下詢(xún)問(wèn)“姐,你是否需要英語(yǔ)培訓(xùn)數(shù)據(jù)?”教育行業(yè),無(wú)疑是數(shù)據(jù)泄露最多的行業(yè)之一。
新東方作為中國(guó)最為出名的教育科技集團(tuán),其信息安全防護(hù)措施是什么?他們?nèi)绾慰创壳暗陌踩厔?shì)?
上圖為:新東方集團(tuán)安全負(fù)責(zé)人楊寧
信息安全和企業(yè)業(yè)務(wù)共生共存
很多人認(rèn)為信息安全跟企業(yè)的關(guān)系是保障,是支撐,也有人認(rèn)為是引領(lǐng),但楊寧認(rèn)為,信息安全和企業(yè)業(yè)務(wù)已處于共生共存狀態(tài),企業(yè)的每一條業(yè)務(wù)線(xiàn)都應(yīng)該融入信息安全,每一個(gè)業(yè)務(wù)應(yīng)用都應(yīng)該考慮到信息安全,一款產(chǎn)品的開(kāi)發(fā)應(yīng)該有安全部分的功能,這個(gè)功能需要與業(yè)務(wù)需求、用戶(hù)需求同等重要。這是安全對(duì)于企業(yè)的價(jià)值。
信息安全兩大重點(diǎn):人的安全管理與業(yè)務(wù)安全管理
首先是人的“安全”管理
信息安全所保護(hù)的范圍廣泛,涉及到人員、物理環(huán)境、應(yīng)用、數(shù)據(jù)等等。信息安全離不開(kāi)每個(gè)員工的參與,人員必須要有參與感,不光是安全團(tuán)隊(duì),IT團(tuán)隊(duì)參與,業(yè)務(wù)團(tuán)隊(duì)也需要參與進(jìn)來(lái)才可以保障企業(yè)安全。
其次是業(yè)務(wù)的“安全”管理
新東方是教育行業(yè),教育行業(yè)的特點(diǎn)對(duì)信息安全提出了一些具體要求:
首先是要保護(hù)新東方所有產(chǎn)出的知識(shí)成果和敏感信息。這些敏感數(shù)據(jù)包括客戶(hù)的個(gè)人信息、員工的個(gè)人信息等等,保證信息不泄露。
第二是確保業(yè)務(wù)運(yùn)營(yíng)安全、合規(guī),因?yàn)橐坏┚W(wǎng)站不合規(guī),將面臨關(guān)閉的風(fēng)險(xiǎn),整個(gè)業(yè)務(wù)就會(huì)停滯,合規(guī)是底限。
第三是保障核心業(yè)務(wù)應(yīng)用的安全持續(xù)穩(wěn)定運(yùn)營(yíng)
第四是要實(shí)現(xiàn)線(xiàn)上和線(xiàn)下業(yè)務(wù)安全風(fēng)險(xiǎn)的可識(shí)別、可管理和可控制。新東方目前核心的業(yè)務(wù)都在線(xiàn)上,但線(xiàn)下也有大量業(yè)務(wù),比如老師的講課過(guò)程、與學(xué)員的溝通過(guò)程、學(xué)生線(xiàn)下報(bào)名的過(guò)程,這些過(guò)程都可能會(huì)涉及到學(xué)員信息的采集,甚至可能會(huì)造成泄露。因此,無(wú)論是線(xiàn)上還是線(xiàn)下,都需要對(duì)這些風(fēng)險(xiǎn)制定安全策略。
因此,信息安全并不只是信息安全團(tuán)隊(duì)的工作,也不只是IT部門(mén)的工作,而是全體員工的責(zé)任。但這種責(zé)任策略需要通過(guò)培訓(xùn)、措施的制定予以規(guī)避,構(gòu)建起堅(jiān)固的安全防護(hù)體系。
三重安全防護(hù)體系
新東方安全防護(hù)體系架構(gòu)分為四個(gè)層面:
首先是治理的層面,新東方以風(fēng)險(xiǎn)管理為核心,以?xún)?nèi)外部的合規(guī)為基線(xiàn),制定出新東方整體安全目標(biāo),并隨著集團(tuán)業(yè)務(wù)戰(zhàn)略做實(shí)時(shí)調(diào)整。在治理層面,新東方非常關(guān)注員工的安全意識(shí),安全部門(mén)也會(huì)定期向全員發(fā)出信息安全的提示郵件,提升大家這方面的意識(shí)。
第二,管理層面,新東方按國(guó)家標(biāo)準(zhǔn)構(gòu)建了完整的信息安全管理體系,涉及到十四個(gè)領(lǐng)域。包括安全規(guī)范、標(biāo)準(zhǔn)、如何做?怎么做等等。
第三,技術(shù)層面:
針對(duì)物理環(huán)境,對(duì)機(jī)房的物理環(huán)境管理、報(bào)名的前臺(tái)、外呼座席的視頻語(yǔ)音監(jiān)控等方面都做了規(guī)范;
針對(duì)基礎(chǔ)架構(gòu)安全,包含網(wǎng)絡(luò)的安全、主機(jī)的安全、終端的安全、賬號(hào)的安全。
應(yīng)用安全方面,包括應(yīng)用開(kāi)發(fā)前,開(kāi)發(fā)過(guò)程中和交付、運(yùn)營(yíng)過(guò)程中的管控,也在技術(shù)了做出了控制措施。
數(shù)據(jù)安全,包括數(shù)據(jù)權(quán)限,數(shù)據(jù)庫(kù)審計(jì),動(dòng)態(tài)數(shù)據(jù)庫(kù)的屏蔽,數(shù)據(jù)的加密要求等等,形成了一套技術(shù)體系。
業(yè)務(wù)安全,新東方通過(guò)賬號(hào)建立了完整的業(yè)務(wù)風(fēng)控體系。
云安全,新東方以語(yǔ)言培訓(xùn)為核心,其主營(yíng)業(yè)務(wù)是教育培訓(xùn)、教育產(chǎn)品和教育服務(wù),圍繞主營(yíng)業(yè)務(wù),新東方整體IT大環(huán)境以三個(gè)云數(shù)據(jù)中心通過(guò)萬(wàn)兆的環(huán)網(wǎng)互聯(lián),基于數(shù)據(jù)中心,同時(shí)拓展了阿里云,騰訊云平臺(tái),并將其非核心業(yè)務(wù),放在了公有云上。新東方整體云平臺(tái)通過(guò)自己的多云平臺(tái)管理所有的系統(tǒng),包括媒體云、外呼云、即時(shí)消息云、存儲(chǔ)云、日志云、信息安全私有云平臺(tái)等。目前,新東方云平臺(tái)承載著集團(tuán)400多個(gè)業(yè)務(wù)應(yīng)用。在公有云安全方面,要求服務(wù)商提供安全的服務(wù),但其觸角是新東方集團(tuán)部署的安全體系,
日常安全運(yùn)營(yíng)層面,通過(guò)審計(jì)評(píng)估、審計(jì)監(jiān)控等措施,監(jiān)督日常運(yùn)營(yíng)安全。
漏洞管理,新東方定期進(jìn)行高危安全漏洞通告的發(fā)布,同時(shí)針對(duì)這些實(shí)時(shí)提出的漏洞,責(zé)任到人進(jìn)行修復(fù)。
防護(hù)思路:從安全產(chǎn)品系統(tǒng)建設(shè)向數(shù)據(jù)為核心的平臺(tái)能力建設(shè)轉(zhuǎn)變
實(shí)際上,網(wǎng)絡(luò)虛擬化之后,虛擬化的多租戶(hù)隔離怎么實(shí)現(xiàn)?用戶(hù)自帶設(shè)備到公司辦公的越來(lái)越多,這些設(shè)備怎么管理?安全防護(hù)的邊界越來(lái)越模糊,傳統(tǒng)網(wǎng)關(guān)式的防護(hù)已經(jīng)跟不上形勢(shì)了。而攻擊的復(fù)雜度在不斷提升,攻擊的工具越來(lái)越簡(jiǎn)單,在這樣的背景下,單一的安全產(chǎn)品已不能解決企業(yè)所有的安全問(wèn)題,因此,新東方的整體防護(hù)思路已經(jīng)從產(chǎn)品系統(tǒng)的建設(shè)逐步向以數(shù)據(jù)為核心的平臺(tái)能力建設(shè)轉(zhuǎn)變。
新東方以數(shù)據(jù)為核心的平臺(tái)能力建設(shè)從網(wǎng)絡(luò)邊界防控開(kāi)始,讓整個(gè)安全架構(gòu)與網(wǎng)絡(luò)盡量解耦,不希望因?yàn)榫W(wǎng)絡(luò)架構(gòu)的限制,導(dǎo)致了安全策略無(wú)法部署。利用網(wǎng)絡(luò)解耦加主機(jī)防護(hù)的方式,對(duì)全體目標(biāo)進(jìn)行防護(hù)。
安全無(wú)邊界將是常態(tài),平臺(tái)化、自動(dòng)化、智能化將是趨勢(shì)
當(dāng)業(yè)務(wù)變得越來(lái)越開(kāi)放和復(fù)雜,固定的防御邊界已經(jīng)不復(fù)存在,而黑客的手段卻越來(lái)越多樣化,優(yōu)先使用攔截和防御以及基于策略的控制將危險(xiǎn)攔截在外,但高級(jí)定向攻擊總能輕而易舉地繞過(guò)傳統(tǒng)防火墻和基于黑白名單的預(yù)防機(jī)制,安全威脅已防不勝防的情況下,楊寧說(shuō):“新東方的安全團(tuán)隊(duì)人并不多,只有五個(gè)人。所以我們需要把安全系統(tǒng)做成一個(gè)平臺(tái)化,自動(dòng)化,智能化的系統(tǒng),以盡量減少人的經(jīng)驗(yàn)投入。”為此,新東方近期部署了青藤主機(jī)自適應(yīng)安全平臺(tái),迄今已運(yùn)行了兩個(gè)月。
據(jù)介紹,新東方使用青藤主機(jī)自適應(yīng)安全平臺(tái),可通過(guò)對(duì)主機(jī)信息和行為進(jìn)行持續(xù)監(jiān)控和分析,快速精準(zhǔn)地發(fā)現(xiàn)安全威脅和入侵事件,并提供靈活高效的問(wèn)題解決能力,將自適應(yīng)安全理念真正落地,為用戶(hù)提供下一代安全檢測(cè)和響應(yīng)能力。同時(shí),通過(guò)采用模塊化的組織形式,實(shí)現(xiàn)了各功能的智能集成和協(xié)同聯(lián)動(dòng)。“風(fēng)險(xiǎn)發(fā)現(xiàn)”可主動(dòng)、精準(zhǔn)發(fā)現(xiàn)系統(tǒng)中存在的安全風(fēng)險(xiǎn),提供持續(xù)的風(fēng)險(xiǎn)監(jiān)測(cè)和分析能力;“入侵檢測(cè)”可實(shí)時(shí)發(fā)現(xiàn)入侵事件,提供快速防御和響應(yīng)能力;“資產(chǎn)清點(diǎn)”可主動(dòng)識(shí)別系統(tǒng)內(nèi)部資產(chǎn)情況,并與風(fēng)險(xiǎn)和入侵事件自動(dòng)關(guān)聯(lián),提供靈活高效的回溯能力。另外,運(yùn)行在底層的青藤核心平臺(tái)架構(gòu),是下一代主機(jī)安全能力引擎。其插件化的構(gòu)建方式,不僅具備靈活的擴(kuò)展能力,同時(shí)能實(shí)現(xiàn)各功能模塊之間無(wú)縫聯(lián)動(dòng);其分布式的部署方式,能夠應(yīng)對(duì)客戶(hù)大量任務(wù)下發(fā)和大型攻擊來(lái)臨的海量數(shù)據(jù)分析處理,并始終保持穩(wěn)固的性能。
楊寧最后指出:“我認(rèn)為,無(wú)邊界安全將是一個(gè)長(zhǎng)期過(guò)程,安全系統(tǒng)的平臺(tái)化、自動(dòng)化、智能化必然是未來(lái)趨勢(shì)”。