2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,长江证券股份有限公司信息技术总部总监陈传鹏带来了《可持续的网络安全运营实践分享》。
各位下午好!我来自长江证券,负责安全和大数据相关的工作。
昨天晚上到了之后跟一个安全专家的朋友吃饭,他说做安全很苦,做甲方很苦,做乙方也很苦。做乙方觉得一百万或者几十万的单子就很大了,但是资本至少要加个零,一千万很小。但是作为甲方我们压力也很大,面对的风险、威胁、内部的安全。刚才赵老师讲到安全和风险的平衡、新技术或者再生风险怎样去防范,甲方面对的风险面更大。这个安全专家朋友说好像我们都很苦,我说我们还是有点情怀,做安全是保家卫国的事情,至少是治病救人,还是要有点情怀。我们不图赚多少钱,但是至少守一方、保一方安全。
我讲的题目叫“可持续的网络安全运营实践”。刚才讲到可持续、安全运营、场景化,土话是“人少,活多,场景化”。安全运营,活太多了,通过智能化技术去自动化降低人重复的工作量;场景化,威胁或者风险太大了,能够通过场景去关注主要矛盾,去解决主要的问题,让安全人员少做救火员、少做应急医生。我打个比方,安全跟医生有点像,我们甲方像医生,天天系统把脉,对安全人员做意识教育;乙方提供更好的药、更好的工具,我们能够更快的去诊断疾病、更好的去治疗。但是我又希望大家永远不要把自己当作应急医生,天天去救火,工作没有很高的提升。我们希望把安全做成可持续的,就像我刚来国家电网,领导问我:你来了以后能不能就不出安全问题?不发生漏洞?不发生黑客攻击?我说做不到,如果你有这个目标,我们就谈不拢了。安全肯定不是买一个系统就所有问题都可以解决的,这时候大家都很高兴,相信乙方这个产品也可以大卖热卖,不可能的。刚才赵老师讲过体验、风险平衡、攻击和防护的不对等,安全工作不可能一成不变,不可能一蹴而就,也不可能一劳永逸,它是持续运营的工作。
为什么叫“可持续安全运营”?我今天分享的东西不适合所有的企业,也不适合所有的乙方借鉴,更多的是我把适合我们产业证券的想法、实践过程中的东西与大家分享。安全更多是因时、因地、因人来制宜,需要依据企业的目标或者跟管理层沟通达成安全目标一致性,去制定相应的措施,而不是我都要保证不出问题,我只能把风险怎么控制住。
毛主席三个著名论著:矛盾论、论持久战、实践论。矛盾论跟我们安全很像,有些事情很矛盾。实践论,要依据实践,依据公司当前的研发水平、运维水平成熟度,去制定相应的安全策略。论持久战,前面讲到安全是一个持续改变优化的过程,不可能一蹴而就,不是今天你给我500万买一个设备,明天就可以睡大觉了。给领导讲了目标、定位、规划,告诉他我的目标是持续保障,而不是我去消灭漏洞,我要持续不产生安全事件、没有发生误操作。第二个是目标。第三个,建团队。安全肯定要投入,不可能所有安全工作依赖网络、防火墙管理人员去做,要有专门的团队,要有持续的安全演进架构,工作机制要持续运营。
最终的结果,安全要看得见、感知得到、监测得到,发现以后快速处置,三个风险的量化可视可控,威胁之后能够感知、定位、回溯,安全行为要快速、准确、有效。短期做外防、内控至少要把问题得住,中期主动防御,把问题巩固起来,最后做运营,能够预先预判和预发现问题。
思路有几点:
1、开商业与开源融合互促,借助专业力量实现我的目标。很多厂商做的专业化很好,审计、日志收集等等,但是很多时候业务安全或者我们自身的安全依赖于我对业务的理解,这时候需要我做个性化的开发。现在讲自动编排、讲场景化就是这个概念,每一关都拿好的产品堆迭起来以后能解决安全问题吗?解决不了,还是会发生安全事件。这时候需要自有的安全团队把商业和开源的东西结合起来,做个性化的场景。
2、架构团队要融通。买了安全产品就能够睡大觉了吗?不能依赖厂商,要自己把工具完善。买一艘航空母舰至少要配备一个编队把航空母舰开起来。
3、管理意识强化。让管理层达成安全共识,意识到安全是会发生的,一是把影响降到最低,二是把处置时间缩短,三是降低损失。让全员参与工作,安全不是安全团队一个团队的事情,应该是全员。我们现在公司很好的是运维同事主动加入安全审计,研发同事上新系统时会找我做安全评审或者出具研发的架构方案,这个很好。
另外,IT全过程的共享共治和共担。举个简单的例子,我们有一个业务做线上营销,比如双十一马上做营销活动了,研发团队可能开发一个营销活动的场景,它的生存就是7天,但是我们检测以后发现有些漏洞,这时候只有3天时间就要上线了,那么我可以告诉它:我同意你上线,但是我来辅助你做安全监测,当发生重大安全风险时,你要按照我安全处置的要求来进行关闭或者做一些处置。这时候:一是保证业务活动的顺利推进,二是我跟你共同承担风险,保证你的业务能够顺利推进,这很有必要。
技术和数字化驱动是2018年我们做的网络安全画像,跟唐老师讲的态势感知很像,回溯过去所有的数据,来分析过往系统什么样子、现在什么样子、未来变成什么样子。
4、内外部资源协同防御。共同合作共同防御,包括金融行业、证券行业、期货等等要守望相助共同做好防御,互通有无、情报共享。
5、从无到有,从有到无。安全的融通,融到研发和运维各个条线,让研发和运维与我一起共担安全风险,这样才能把风险防控得住。
回过头来看安全目标里的“外防、内控、预警”,我来到长江证券做了三阶段的工作。我跟领导汇报:
第一步要消灭外面的敌人,外面的风险要防得住,比如监管检查、外面的黑客攻击,面上的漏洞要攻击。
第二步是内控,内部的风险要控制,漏洞修复、补丁得到。
第三步做预警、风险量化、可视可控、网络流量回溯、数据态势感知、措施建议等等。
第一阶段打抗日战争,第二阶段团结一切可以团结的力量把内部风险防住,第三步要“走出去”,至少要知道谁在打我、谁在偷我的东西、什么时候受到什么攻击。我们做过网络安全画像的一个很好课题,因为我业务IP跟攻击IP会有差异,我把所有网络流量IP分成黑、白、灰,可以缩小我的范围,关注真实的攻击。
最后是运营体系,从技术体系、团队体系、运营体系看,我需要什么样的人、需要什么工具、日常要干什么工作形成持续的运营机制。即使我今天来开会或者我休假一个月,长江证券还能安全工作照常进行,不会因为某个团队的人离职或者系统BUG造成安全工作产生重大失误。
这是2016年、2017年、2018年、2019年四年间的三个阶段:
1、规划建设。主要是建团队、建架构、做平台、融入行业生态。
2、运营优化。把人员能力提升起来,把架构持续完善。
3、持续改进。做到安全可持续、无感、智能和自愈。
可持续是至少安全的工作要能够持续提升,一是我们对可持续有一个提法叫架构要持续演进;二是工作要持续改进,不能所有设备都百分之百了再推进安全工作;三是能力要持续提升,四是结构要持续优化,安全只有从点上突破获得优势,才能说服领导安全是可以提质增效的、能够创造效益的,说服领导给你投入更的资源。
最后,希望甲方乙方在安全里共同获得大的回报。