Wecash闪银是中国首家互联网信用评估平台,依托数据挖掘分析和机器学习技术,实现快速精准的信用评估。基于该评估结果,帮助个人用户和机构快速完成交易,享受到更便捷的资金借贷、消费分期等金融服务,以及租车、租房、旅游、教育等生活服务。
除却自身发展所面临的安全风险,随着国家对互联网金融行业在网络安全方面的监管力度逐年增加,如何快速高效的完成等级保护服务成为闪银奇异安全负责人头疼的问题。
2017年6月,闪银选择了阿里云提供的一站式等级保护评测服务,实现了高效的云上等级保护评测与合规改造。而作为闪银奇异的安全大管家,裴伟伟见证了业务从规模翻五倍之后,安全的压力和挑战;也促成了部门和公司从传统安全,到云安全的转型;而他自己,也经历了从乙方到甲方安全的不同工作模式。
从企业安全管理的角度,闪银奇异安全负责人分享了他对信息安全岗位,和对云安全的看法和见解。当法律、合规、信任等关键词,在胡金行业掀起新一波浪花时,企业安全部门应该如何在“浪潮中跳舞”呢?
1
虽然网络安全是我的爱好和职业,但自己从一个软件研发到真正踏足安全行业,其实绕了一圈。与很多声名鹊起或成绩斐然的圈内朋友相比,我直到大学才真正接触计算机,而第一次对信息安全有体感,是从同学手里接过一张价值400万的卫星数据光盘。
那一刻我发现,代码并不如想象中那么有价值;未来有价值的,一定是数据;而数据的安全,是其产生价值的基础。
毕业后的两年,我在某省电信总公司做数据库运维工程师的工作,和PL/SQL打交道,对数据库特别是数据安全有了深入学习和理解,后来才有机会来到北京投身安全行业。
其后在IDF实验室的三年,体会了乙方的辛苦与难处,也因此磨练了自己在工程师之外的其他能力,比如沟通、统筹、协调、团队管理。
2
加入Wecash闪银奇异之后,我亲历了公司规模翻五倍的成长过程,业务不断扩大,风险窗口自然也就多了。我从一个人的救火队员,逐步走到一个安全部门的管理岗位,将自己的安全能力与想法在这里落地。
在我看来,与其他岗位不同,企业安全的建设极度依赖于运维工作,而我第一天加入的时候甚至只有一名运维同事,因此在安全工作建设初期既要解决已有的安全问题,同时也要兼顾运维的建设。
在闪银奇异的安全建设过程中,有一些经验之谈,也希望与各个行业,尤其是互联网金融的安全同行们分享。
3
甲方的安全同样是服务,只不过服务对象主要是业务部门。如何把握好安全和业务的平衡,是每个行业都会遇到的问题。
曾经在落地产品安全开发流程时,我们根据公司产品流程设计的安全开发流程在颁布后,实际并没有产品经理或项目经理遵守,后来和产品沟通后发现是该流程会严重阻碍产品的进度。
因此,在第二版流程设计时和产品经理以及项目经理确认后才得以顺利实施。类似的,在安全能力输出和落地时,一方面取决于业务部门是否接受,一方面取决于输出是否合理,前者需要对方理解和认可,而后者则属于"红线",是安全部门必须强推的工作,比如VPN和堡垒机。
业务的发展是第一位的,安全需要顺应业务发展的步伐。正因为如此,也更加考验安全能力。互联网的安全更需要讲究灵活和效率,这也是为什么我们比较积极地应用云安全产品和服务的原因。
在业务发展过程中,有少数从安全角度不甚合理的需求,在业务上必须的,这对安全团队提出了更高的要求,包括对业务发展的支撑能力,安全方案的保障能力,甚至是自动化安全服务和系统开发能力。
安全防范需要未雨绸缪,也需要事件驱动。
很多时候,业务部门犹豫的往往在于安全风险的后果到底有多大,对于这样的犹豫,一次安全事件的教育意义要远远大过苦口婆心的教育。“吃一堑,长一智”依然是至理名言。
然而,安全的价值不仅在于安全,也在于解决公司的问题。例如提升效率,应用新的技术,不断完善安全管理机制。
在初期的安全建设中,我们花了很多时间在运维相关的工作上,建设和维护了公司除线上系统和应用在内的其他诸如员工统一账户的系统,虽然不直接和安全相关,但间接为安全管理提供了更加规范和系统的支持。
依靠技术去铺的路,会带来安全管理或流程效率的提升,也会带来安全事件监控和预警效率的提升。比如SIEM,如果没有I和E的来源,那么M则无从谈起,而来源不仅仅包括业务应用、系统,也包括内部网络、系统和应用。
能够拿钱解决的问题不是问题,能够拿技术解决的问题也不是问题。但要考量钱和技术的恰当使用,一方面评估公司的投入,一方面评估投入的回报。
无论是第三方服务/产品还是自身安全的投入,如果回报不如投资,那么无论作为安全管理本身还是公司高层,都是不支持的。
所以安全部门的价值需要用反映业务发展回报的数字说话(不是漏洞有几个,而是几个漏洞避免的损失有多大),用公司管理层看得懂的语言展现价值。
作为云上用户,使用公有云最直接的好处是能够将我们自己从物理、网络建设和维护中解脱出来,仅关注网络连接和相应的安全策略即可,从成本和业务持续性角度而言,既是节省,也是便利。
对于我们设计的高可用网络安全架构,实施成本仅仅是系统、应用及网络安全策略级别。对于同质化的系统部署和迁移,通过镜像复制即可完成,这本身就是极大的时间成本的节约。
举个例子,在安全访问策略层面,我们也历经了从iptables到安全组策略的路子。云的安全组策略使得即便不懂iptables命令也能够知晓和合理利用策略限制服务/应用/系统访问,这种操作的简化使得安全架构在云上的实施得以得心应手。在应对接口和服务的安全漏洞时,也仅仅需要通过业务需要的考量便可限制不必要的端口放开,避免攻击面的扩大。
但仅仅是云化的物理和网络是不够的,基于此的云安全产品,诸如漏洞检测、防病毒产品、日志检索,才是锦上添花之作。我们只用了1-2个人的人工成本便覆盖了所有主机包括漏洞检测、防病毒的功能,堡垒机产品能够完美对接我们的账户体系进行系统访问的二次身份认证和操作预警。
云安全的回报还在于更高效地合规。对互联网金融来说,等保合规是整个行业的大趋势,也是获得用户信任的根本。
目前,互联网金融的等级保护工作是金融办和网监双重监管的重点,云上的安全产品和服务为我们的等保工作的顺利开展铺平了道路。更为难得的是,由于云产品的特性,产品和服务的反馈能够快速得到响应,在无论用户体验还是安全体系建设方面,云上企业的安全工作如虎添翼。
4
从我的角度来说:安全不存在一劳永逸,也不存在能力的快速提升。它与业务本身的发展一样,都是一步一个脚印走出来的。而云上模式,能让企业在安全这条路上轻装上阵,走得更快,更远些,为最终客户提供更加值得信任的服务。
来源:阿里云安全
本文为云栖社区原创内容,未经允许不得转载,如需转载请发送邮件至yqeditor@list.alibaba-inc.com