2019中国金融科技产业峰会丨长江证券陈传鹏：可持续的网络安全运营实践分享_互联网资讯

2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上，长江证券股份有限公司信息技术总部总监陈传鹏带来了《可持续的网络安全运营实践分享》。

陈传鹏

各位下午好！我来自长江证券，负责安全和大数据相关的工作。

昨天晚上到了之后跟一个安全专家的朋友吃饭，他说做安全很苦，做甲方很苦，做乙方也很苦。做乙方觉得一百万或者几十万的单子就很大了，但是资本至少要加个零，一千万很小。但是作为甲方我们压力也很大，面对的风险、威胁、内部的安全。刚才赵老师讲到安全和风险的平衡、新技术或者再生风险怎样去防范，甲方面对的风险面更大。这个安全专家朋友说好像我们都很苦，我说我们还是有点情怀，做安全是保家卫国的事情，至少是治病救人，还是要有点情怀。我们不图赚多少钱，但是至少守一方、保一方安全。

我讲的题目叫“可持续的网络安全运营实践”。刚才讲到可持续、安全运营、场景化，土话是“人少，活多，场景化”。安全运营，活太多了，通过智能化技术去自动化降低人重复的工作量；场景化，威胁或者风险太大了，能够通过场景去关注主要矛盾，去解决主要的问题，让安全人员少做救火员、少做应急医生。我打个比方，安全跟医生有点像，我们甲方像医生，天天系统把脉，对安全人员做意识教育；乙方提供更好的药、更好的工具，我们能够更快的去诊断疾病、更好的去治疗。但是我又希望大家永远不要把自己当作应急医生，天天去救火，工作没有很高的提升。我们希望把安全做成可持续的，就像我刚来国家电网，领导问我：你来了以后能不能就不出安全问题？不发生漏洞？不发生黑客攻击？我说做不到，如果你有这个目标，我们就谈不拢了。安全肯定不是买一个系统就所有问题都可以解决的，这时候大家都很高兴，相信乙方这个产品也可以大卖热卖，不可能的。刚才赵老师讲过体验、风险平衡、攻击和防护的不对等，安全工作不可能一成不变，不可能一蹴而就，也不可能一劳永逸，它是持续运营的工作。

为什么叫“可持续安全运营”？我今天分享的东西不适合所有的企业，也不适合所有的乙方借鉴，更多的是我把适合我们产业证券的想法、实践过程中的东西与大家分享。安全更多是因时、因地、因人来制宜，需要依据企业的目标或者跟管理层沟通达成安全目标一致性，去制定相应的措施，而不是我都要保证不出问题，我只能把风险怎么控制住。

毛主席三个著名论著：矛盾论、论持久战、实践论。矛盾论跟我们安全很像，有些事情很矛盾。实践论，要依据实践，依据公司当前的研发水平、运维水平成熟度，去制定相应的安全策略。论持久战，前面讲到安全是一个持续改变优化的过程，不可能一蹴而就，不是今天你给我500万买一个设备，明天就可以睡大觉了。给领导讲了目标、定位、规划，告诉他我的目标是持续保障，而不是我去消灭漏洞，我要持续不产生安全事件、没有发生误操作。第二个是目标。第三个，建团队。安全肯定要投入，不可能所有安全工作依赖网络、防火墙管理人员去做，要有专门的团队，要有持续的安全演进架构，工作机制要持续运营。

最终的结果，安全要看得见、感知得到、监测得到，发现以后快速处置，三个风险的量化可视可控，威胁之后能够感知、定位、回溯，安全行为要快速、准确、有效。短期做外防、内控至少要把问题得住，中期主动防御，把问题巩固起来，最后做运营，能够预先预判和预发现问题。

思路有几点：

1、开商业与开源融合互促，借助专业力量实现我的目标。很多厂商做的专业化很好，审计、日志收集等等，但是很多时候业务安全或者我们自身的安全依赖于我对业务的理解，这时候需要我做个性化的开发。现在讲自动编排、讲场景化就是这个概念，每一关都拿好的产品堆迭起来以后能解决安全问题吗？解决不了，还是会发生安全事件。这时候需要自有的安全团队把商业和开源的东西结合起来，做个性化的场景。

2、架构团队要融通。买了安全产品就能够睡大觉了吗？不能依赖厂商，要自己把工具完善。买一艘航空母舰至少要配备一个编队把航空母舰开起来。

3、管理意识强化。让管理层达成安全共识，意识到安全是会发生的，一是把影响降到最低，二是把处置时间缩短，三是降低损失。让全员参与工作，安全不是安全团队一个团队的事情，应该是全员。我们现在公司很好的是运维同事主动加入安全审计，研发同事上新系统时会找我做安全评审或者出具研发的架构方案，这个很好。

另外，IT全过程的共享共治和共担。举个简单的例子，我们有一个业务做线上营销，比如双十一马上做营销活动了，研发团队可能开发一个营销活动的场景，它的生存就是7天，但是我们检测以后发现有些漏洞，这时候只有3天时间就要上线了，那么我可以告诉它：我同意你上线，但是我来辅助你做安全监测，当发生重大安全风险时，你要按照我安全处置的要求来进行关闭或者做一些处置。这时候：一是保证业务活动的顺利推进，二是我跟你共同承担风险，保证你的业务能够顺利推进，这很有必要。

技术和数字化驱动是2018年我们做的网络安全画像，跟唐老师讲的态势感知很像，回溯过去所有的数据，来分析过往系统什么样子、现在什么样子、未来变成什么样子。

4、内外部资源协同防御。共同合作共同防御，包括金融行业、证券行业、期货等等要守望相助共同做好防御，互通有无、情报共享。

5、从无到有，从有到无。安全的融通，融到研发和运维各个条线，让研发和运维与我一起共担安全风险，这样才能把风险防控得住。

回过头来看安全目标里的“外防、内控、预警”，我来到长江证券做了三阶段的工作。我跟领导汇报：

第一步要消灭外面的敌人，外面的风险要防得住，比如监管检查、外面的黑客攻击，面上的漏洞要攻击。

第二步是内控，内部的风险要控制，漏洞修复、补丁得到。

第三步做预警、风险量化、可视可控、网络流量回溯、数据态势感知、措施建议等等。

第一阶段打抗日战争，第二阶段团结一切可以团结的力量把内部风险防住，第三步要“走出去”，至少要知道谁在打我、谁在偷我的东西、什么时候受到什么攻击。我们做过网络安全画像的一个很好课题，因为我业务IP跟攻击IP会有差异，我把所有网络流量IP分成黑、白、灰，可以缩小我的范围，关注真实的攻击。

最后是运营体系，从技术体系、团队体系、运营体系看，我需要什么样的人、需要什么工具、日常要干什么工作形成持续的运营机制。即使我今天来开会或者我休假一个月，长江证券还能安全工作照常进行，不会因为某个团队的人离职或者系统BUG造成安全工作产生重大失误。

这是2016年、2017年、2018年、2019年四年间的三个阶段：

1、规划建设。主要是建团队、建架构、做平台、融入行业生态。

2、运营优化。把人员能力提升起来，把架构持续完善。