摘要：?Wecash閃銀是中國首家互聯(lián)網(wǎng)信用評估平臺，依托數(shù)據(jù)挖掘分析和機(jī)器學(xué)習(xí)技術(shù)，實現(xiàn)快速精準(zhǔn)的信用評估。基于該評估結(jié)果，幫助個人用戶和機(jī)構(gòu)快速完成交易，享受到更便捷的資金借貸、消費(fèi)分期等金融服務(wù)，以及租車、租房、旅游、教育等生活服務(wù)。

?

Wecash閃銀是中國首家互聯(lián)網(wǎng)信用評估平臺，依托數(shù)據(jù)挖掘分析和機(jī)器學(xué)習(xí)技術(shù)，實現(xiàn)快速精準(zhǔn)的信用評估。基于該評估結(jié)果，幫助個人用戶和機(jī)構(gòu)快速完成交易，享受到更便捷的資金借貸、消費(fèi)分期等金融服務(wù)，以及租車、租房、旅游、教育等生活服務(wù)。

除卻自身發(fā)展所面臨的安全風(fēng)險，隨著國家對互聯(lián)網(wǎng)金融行業(yè)在網(wǎng)絡(luò)安全方面的監(jiān)管力度逐年增加，如何快速高效的完成等級保護(hù)服務(wù)成為閃銀奇異安全負(fù)責(zé)人頭疼的問題。

2017年6月，閃銀選擇了阿里云提供的一站式等級保護(hù)評測服務(wù)，實現(xiàn)了高效的云上等級保護(hù)評測與合規(guī)改造。而作為閃銀奇異的安全大管家，裴偉偉見證了業(yè)務(wù)從規(guī)模翻五倍之后，安全的壓力和挑戰(zhàn)；也促成了部門和公司從傳統(tǒng)安全，到云安全的轉(zhuǎn)型；而他自己，也經(jīng)歷了從乙方到甲方安全的不同工作模式。

從企業(yè)安全管理的角度，閃銀奇異安全負(fù)責(zé)人分享了他對信息安全崗位，和對云安全的看法和見解。當(dāng)法律、合規(guī)、信任等關(guān)鍵詞，在胡金行業(yè)掀起新一波浪花時，企業(yè)安全部門應(yīng)該如何在“浪潮中跳舞”呢？

?

1

雖然網(wǎng)絡(luò)安全是我的愛好和職業(yè)，但自己從一個軟件研發(fā)到真正踏足安全行業(yè)，其實繞了一圈。與很多聲名鵲起或成績斐然的圈內(nèi)朋友相比，我直到大學(xué)才真正接觸計算機(jī)，而第一次對信息安全有體感，是從同學(xué)手里接過一張價值400萬的衛(wèi)星數(shù)據(jù)光盤。

那一刻我發(fā)現(xiàn)，代碼并不如想象中那么有價值；未來有價值的，一定是數(shù)據(jù)；而數(shù)據(jù)的安全，是其產(chǎn)生價值的基礎(chǔ)。

畢業(yè)后的兩年，我在某省電信總公司做數(shù)據(jù)庫運(yùn)維工程師的工作，和PL/SQL打交道，對數(shù)據(jù)庫特別是數(shù)據(jù)安全有了深入學(xué)習(xí)和理解，后來才有機(jī)會來到北京投身安全行業(yè)。

其后在IDF實驗室的三年，體會了乙方的辛苦與難處，也因此磨練了自己在工程師之外的其他能力，比如溝通、統(tǒng)籌、協(xié)調(diào)、團(tuán)隊管理。

?

2

加入Wecash閃銀奇異之后，我親歷了公司規(guī)模翻五倍的成長過程，業(yè)務(wù)不斷擴(kuò)大，風(fēng)險窗口自然也就多了。我從一個人的救火隊員，逐步走到一個安全部門的管理崗位，將自己的安全能力與想法在這里落地。

在我看來，與其他崗位不同，企業(yè)安全的建設(shè)極度依賴于運(yùn)維工作，而我第一天加入的時候甚至只有一名運(yùn)維同事，因此在安全工作建設(shè)初期既要解決已有的安全問題，同時也要兼顧運(yùn)維的建設(shè)。

在閃銀奇異的安全建設(shè)過程中，有一些經(jīng)驗之談，也希望與各個行業(yè)，尤其是互聯(lián)網(wǎng)金融的安全同行們分享。

?

3

• 安全與業(yè)務(wù)是互相影響的另一半

甲方的安全同樣是服務(wù)，只不過服務(wù)對象主要是業(yè)務(wù)部門。如何把握好安全和業(yè)務(wù)的平衡，是每個行業(yè)都會遇到的問題。

曾經(jīng)在落地產(chǎn)品安全開發(fā)流程時，我們根據(jù)公司產(chǎn)品流程設(shè)計的安全開發(fā)流程在頒布后，實際并沒有產(chǎn)品經(jīng)理或項目經(jīng)理遵守，后來和產(chǎn)品溝通后發(fā)現(xiàn)是該流程會嚴(yán)重阻礙產(chǎn)品的進(jìn)度。

因此，在第二版流程設(shè)計時和產(chǎn)品經(jīng)理以及項目經(jīng)理確認(rèn)后才得以順利實施。類似的，在安全能力輸出和落地時，一方面取決于業(yè)務(wù)部門是否接受，一方面取決于輸出是否合理，前者需要對方理解和認(rèn)可，而后者則屬于"紅線"，是安全部門必須強(qiáng)推的工作，比如VPN和堡壘機(jī)。

業(yè)務(wù)的發(fā)展是第一位的，安全需要順應(yīng)業(yè)務(wù)發(fā)展的步伐。正因為如此，也更加考驗安全能力。互聯(lián)網(wǎng)的安全更需要講究靈活和效率，這也是為什么我們比較積極地應(yīng)用云安全產(chǎn)品和服務(wù)的原因。

在業(yè)務(wù)發(fā)展過程中，有少數(shù)從安全角度不甚合理的需求，在業(yè)務(wù)上必須的，這對安全團(tuán)隊提出了更高的要求，包括對業(yè)務(wù)發(fā)展的支撐能力，安全方案的保障能力，甚至是自動化安全服務(wù)和系統(tǒng)開發(fā)能力。

• 安全的價值絕不僅僅是“不出事”

安全防范需要未雨綢繆，也需要事件驅(qū)動。

很多時候，業(yè)務(wù)部門猶豫的往往在于安全風(fēng)險的后果到底有多大，對于這樣的猶豫，一次安全事件的教育意義要遠(yuǎn)遠(yuǎn)大過苦口婆心的教育。“吃一塹，長一智”依然是至理名言。

然而，安全的價值不僅在于安全，也在于解決公司的問題。例如提升效率，應(yīng)用新的技術(shù)，不斷完善安全管理機(jī)制。

在初期的安全建設(shè)中，我們花了很多時間在運(yùn)維相關(guān)的工作上，建設(shè)和維護(hù)了公司除線上系統(tǒng)和應(yīng)用在內(nèi)的其他諸如員工統(tǒng)一賬戶的系統(tǒng)，雖然不直接和安全相關(guān)，但間接為安全管理提供了更加規(guī)范和系統(tǒng)的支持。

依靠技術(shù)去鋪的路，會帶來安全管理或流程效率的提升，也會帶來安全事件監(jiān)控和預(yù)警效率的提升。比如SIEM，如果沒有I和E的來源，那么M則無從談起，而來源不僅僅包括業(yè)務(wù)應(yīng)用、系統(tǒng)，也包括內(nèi)部網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用。

• 用“看得懂”的結(jié)果去展現(xiàn)安全的ROI

能夠拿錢解決的問題不是問題，能夠拿技術(shù)解決的問題也不是問題。但要考量錢和技術(shù)的恰當(dāng)使用，一方面評估公司的投入，一方面評估投入的回報。

無論是第三方服務(wù)/產(chǎn)品還是自身安全的投入，如果回報不如投資，那么無論作為安全管理本身還是公司高層，都是不支持的。

所以安全部門的價值需要用反映業(yè)務(wù)發(fā)展回報的數(shù)字說話（不是漏洞有幾個，而是幾個漏洞避免的損失有多大），用公司管理層看得懂的語言展現(xiàn)價值。

• 云給企業(yè)安全帶來的是“效率革命”

作為云上用戶，使用公有云最直接的好處是能夠?qū)⑽覀冏约簭奈锢怼⒕W(wǎng)絡(luò)建設(shè)和維護(hù)中解脫出來，僅關(guān)注網(wǎng)絡(luò)連接和相應(yīng)的安全策略即可，從成本和業(yè)務(wù)持續(xù)性角度而言，既是節(jié)省，也是便利。

對于我們設(shè)計的高可用網(wǎng)絡(luò)安全架構(gòu)，實施成本僅僅是系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)安全策略級別。對于同質(zhì)化的系統(tǒng)部署和遷移，通過鏡像復(fù)制即可完成，這本身就是極大的時間成本的節(jié)約。

舉個例子，在安全訪問策略層面，我們也歷經(jīng)了從iptables到安全組策略的路子。云的安全組策略使得即便不懂iptables命令也能夠知曉和合理利用策略限制服務(wù)/應(yīng)用/系統(tǒng)訪問，這種操作的簡化使得安全架構(gòu)在云上的實施得以得心應(yīng)手。在應(yīng)對接口和服務(wù)的安全漏洞時，也僅僅需要通過業(yè)務(wù)需要的考量便可限制不必要的端口放開，避免攻擊面的擴(kuò)大。

但僅僅是云化的物理和網(wǎng)絡(luò)是不夠的，基于此的云安全產(chǎn)品，諸如漏洞檢測、防病毒產(chǎn)品、日志檢索，才是錦上添花之作。我們只用了1-2個人的人工成本便覆蓋了所有主機(jī)包括漏洞檢測、防病毒的功能，堡壘機(jī)產(chǎn)品能夠完美對接我們的賬戶體系進(jìn)行系統(tǒng)訪問的二次身份認(rèn)證和操作預(yù)警。

云安全的回報還在于更高效地合規(guī)。對互聯(lián)網(wǎng)金融來說，等保合規(guī)是整個行業(yè)的大趨勢，也是獲得用戶信任的根本。

目前，互聯(lián)網(wǎng)金融的等級保護(hù)工作是金融辦和網(wǎng)監(jiān)雙重監(jiān)管的重點，云上的安全產(chǎn)品和服務(wù)為我們的等保工作的順利開展鋪平了道路。更為難得的是，由于云產(chǎn)品的特性，產(chǎn)品和服務(wù)的反饋能夠快速得到響應(yīng)，在無論用戶體驗還是安全體系建設(shè)方面，云上企業(yè)的安全工作如虎添翼。

?

4

從我的角度來說：安全不存在一勞永逸，也不存在能力的快速提升。它與業(yè)務(wù)本身的發(fā)展一樣，都是一步一個腳印走出來的。而云上模式，能讓企業(yè)在安全這條路上輕裝上陣，走得更快，更遠(yuǎn)些，為最終客戶提供更加值得信任的服務(wù)。

來源：阿里云安全

本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載，如需轉(zhuǎn)載請發(fā)送郵件至yqeditor@list.alibaba-inc.com

總結(jié)

以上是生活随笔為你收集整理的闪银奇异安全负责人：互金行业安全建设的四个心得的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。