隨著信息技術及業(yè)務場景的不斷更新，企業(yè)也面臨了更加復雜多樣的安全威脅，信息安全是一個系統(tǒng)工程，也是一個需要長期實踐并完善的過程，企業(yè)需要依據(jù)業(yè)務自身的需求建立并完善安全保障體系以確保業(yè)務的持續(xù)進行。那么企業(yè)該如何建設一套安全可信的企業(yè)信息安全體系呢?

在2016年4月14-15日，由51CTO傳媒主辦的WOT2016互聯(lián)網(wǎng)運維與開發(fā)者大會上，搜狐安全經(jīng)理吳建強從技術、流程、管理等多個方面來介紹了企業(yè)信息安全體系建設思路及實踐，并在現(xiàn)場接受了記者的采訪。

【嘉賓簡介】

[[165333]]

搜狐安全經(jīng)理 吳建強

吳建強，一位熱衷安全技術自學成才的安全專家。2004年大學畢業(yè)后，一直從事安全工作。工作之初，他主要負責提供安全測試與安全服務，為不同的公司做項目，雖然收獲較廣，但是深度不夠。于是，后來十分喜愛安全技術研究的吳建強選擇進入搜狐，塌下心來聚焦核心業(yè)務，提升個人技術能力。從工程師做起一直到現(xiàn)在的安全經(jīng)理，管理整個安全團隊，處理各種安全事件。

云計算時代，運維安全發(fā)生的轉(zhuǎn)變

隨著云計算、大數(shù)據(jù)，移動互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)的安全運維工作發(fā)生了改變。吳老師認為，從運維的角度來看，現(xiàn)在對安全運維人員的要求更加偏重于軟件，強調(diào)軟件定義的概念。對于運維人員的能力需求，開發(fā)能力是必需，因為如果不具備開發(fā)能力很難去自己定義某個東西。尤其大型互聯(lián)網(wǎng)公司都有一個特點，公司中絕大部分的軟件不是開源的就是自己開發(fā)的，或者在開源的基礎架構上做，這都需要開發(fā)能力。另外，云計算時代，運維都是在一個平臺上工作，工作量變小。

從安全的角度講，給安全防護工作帶來了一些好處。比如：以前做安全加固服務時，需要把客戶現(xiàn)有的操作系統(tǒng)做安全配置，主要做安全策略配置工作。而云計算時代，可以通過將安全策略標準化，將安全策略定義，通過SDN的方式下發(fā)，降低運維的成本以及復雜度。

如何保障公司自主研發(fā)產(chǎn)品的安全?

在自主研發(fā)軟件整個生命周期，無論是代碼開發(fā)，代碼測試還是代碼的發(fā)布環(huán)節(jié)，都需要在安全方面投入很大精力。一款安全的產(chǎn)品才能發(fā)揮它真正的價值，提供安全的服務，保障業(yè)務安全。首先，要對公司的所有涉及重要業(yè)務的產(chǎn)品進行保護，因為安全運維人員可能是有限的，在人員不足的情況下不可能針對每個產(chǎn)品都投入最大的精力。我們要針對公司關心的產(chǎn)品和業(yè)務，做安全開發(fā)流程，分析架構是否存在缺陷，考慮產(chǎn)品如何運作，功能如何實現(xiàn)，產(chǎn)品的數(shù)據(jù)流。再次，在整個代碼開發(fā)周期，需要使用源代碼掃描工具等，對代碼進行漏洞檢測。此外，還需要撰寫安全指南，制作安全培訓視頻，提高全體員工的安全意識。

企業(yè)應如何建立一套比較完整可信的信息安全防護體系?

吳老師表示，企業(yè)要想建立一套完整可信的信息安全防護體系，首先，要做的就是思考自己的企業(yè)是否需要安全。然后就是安全需要聚焦到哪里，即是企業(yè)的那些產(chǎn)品和業(yè)務對安全的需求較高。再就是人，找到合適的人，組建安全團隊，同時讓做產(chǎn)品的人明白組建安全團隊的重要性。想要建立企業(yè)信息安全防護體系，在具備了以上三個條件之后，第一階段就是對現(xiàn)有技術架構、系統(tǒng)架構以及網(wǎng)絡架構進行監(jiān)控。找到發(fā)生的安全事件，或正在發(fā)生的攻擊，攻擊者是誰，有多少攻擊者，什么類型的攻擊。還要分析哪些產(chǎn)品容易受到攻擊，采用了哪些攻擊技術。第二階段，根據(jù)監(jiān)控結果，思考如何去防御，制定防御方案和監(jiān)控方案。從監(jiān)控出發(fā)，了解企業(yè)的實際狀況。并根據(jù)監(jiān)控結果采購安全產(chǎn)品及服務，讓安全廠商對企業(yè)安全情況進行評估，明確企業(yè)面臨的風險。

安全體系建設思路

那么如何實現(xiàn)有效的監(jiān)控呢?吳老師認為必須要從以下幾個層次進行，第一層是網(wǎng)絡監(jiān)控，看是否存在拒絕服務攻擊，是否出現(xiàn)了網(wǎng)絡流量異?，F(xiàn)象;是否有針對在線Web業(yè)務和應用的攻擊。以上攻擊可通過網(wǎng)絡分工的技術做流量分析和協(xié)議還原等方式進行分析。第二層是應用層監(jiān)控。針對應用進行用戶追蹤，收集信息。第三層是數(shù)據(jù)，對所有數(shù)據(jù)的增刪改，用戶的登錄情況進行全程記錄，方便內(nèi)外威脅的訪問記錄。此外，還應對各個機房的監(jiān)控。

安全行業(yè)是一個興趣驅(qū)動的行業(yè)

在采訪最后，記者問到他是在怎樣的機遇下從事現(xiàn)在的職業(yè)，吳老師說：“安全行業(yè)是一個興趣驅(qū)動的行業(yè)，里面有很多東西是非常有魔力的。”有很多人從事安全方面的工作，都源于對安全技術的熱愛，不是單純的認為這只是一種職業(yè)，而他就是其中之一。

作為電氣自動化專業(yè)的畢業(yè)生，畢業(yè)后他卻進入了網(wǎng)絡信息安全領域，從事安全工作。說起曾經(jīng)的學習經(jīng)歷，他表示只要你從心里喜歡，你就可以為了一個漏洞不吃不喝，甚至通宵去鉆研它。走上這條路源于一次大學暑假上網(wǎng)的經(jīng)歷，讓他感受到了網(wǎng)絡的神奇。于是，自大一開始他就自學網(wǎng)頁設計，做動態(tài)程序、聊天室，學習操作系統(tǒng)，研究網(wǎng)絡協(xié)議。然后在實踐中接觸到了遠程登錄，最后慢慢的對網(wǎng)絡攻擊和漏洞產(chǎn)生了濃厚的興趣，隨之與網(wǎng)絡安全結下了不解之緣。