五六年前,那個(gè)時(shí)候只有一個(gè)人專職做安全。計(jì)算機(jī)都是(英)會(huì)選擇防病毒軟件。這些活很瑣碎,占據(jù)了這個(gè)人幾乎所有工作,,后來又來一個(gè)人負(fù)責(zé)邊界防御,也是理所當(dāng)然的,辦公筆記本、辦公終端、服務(wù)器終端都做了防病毒控制,,根據(jù)預(yù)控做了同步管理,。接下來到很傳統(tǒng)的邊界防御過程中,做安全的人都知道防火墻,、IPS,、IBS逐漸出現(xiàn)網(wǎng)絡(luò)安全的事兒。
對(duì)于券商來說,,有一個(gè)比較多的工作量,,營業(yè)部聯(lián)合總部,光是介紹都會(huì)覺得活非常多,,兩個(gè)人占據(jù)了所有的工作量,。后來又來一個(gè)人做安全審計(jì),為什么專門把安全審計(jì)放在第三個(gè)位置,?領(lǐng)導(dǎo)覺得外部(音)的審計(jì),、內(nèi)部的審計(jì),、機(jī)關(guān)審計(jì)部的審計(jì)工作量越來越多。這個(gè)活誰來干,?放到安全審計(jì)里陪同他們做這件事,,還有對(duì)IT內(nèi)部做審計(jì)這件事。
再往下才有了應(yīng)用安全,,應(yīng)用安全這塊是來做的事,。之所以寫應(yīng)用安全,但是沒有說SDL,,大家如果做過SDL知道這張圖是SDL圖,。為什么寫應(yīng)用安全?可以裁減的一定要裁減,。SDL實(shí)現(xiàn)應(yīng)用安全沒有錯(cuò),,實(shí)現(xiàn)應(yīng)用安全要全部上,業(yè)界實(shí)現(xiàn)SDL,,這件事對(duì)公司來說是裁減的事情,,裁減完之后再回來落地,我們是需要控制住幾個(gè)關(guān)鍵的點(diǎn),。安全審計(jì),、安全評(píng)估、上線前的測(cè)試,,再通過流程做控制,,這幾個(gè)點(diǎn)控制之后,即使沒有整體去過SDL這件事,,沒有建大平臺(tái)做SDL這件事,,但是應(yīng)用安全建立了全生命周期管控的方式。
現(xiàn)在團(tuán)隊(duì)大概5個(gè)人左右,,這個(gè)時(shí)候初步建立起PC的閉環(huán),,才有了持續(xù)改進(jìn)的方式,去囊括網(wǎng)絡(luò)終端應(yīng)用等等幾個(gè)層面,,才會(huì)去從整體的安全建設(shè)方面去考慮事情,。這個(gè)時(shí)候問題緊接著而來,這個(gè)活基本上是以單位為主,,人負(fù)責(zé)領(lǐng)域,。這個(gè)時(shí)候這么多的設(shè)備產(chǎn)生告警該怎么做?每一個(gè)設(shè)備都要去盯著它?,F(xiàn)在的量是非常大的,,一億三千萬條的安全相關(guān)認(rèn)證,150次年均安全評(píng)估,上線之后在我們這兒過流程跟基線碰一下,,50+次的上線代碼審計(jì)測(cè)試,。這么多的工作量5個(gè)人干嘛?考慮到集中運(yùn)營,、統(tǒng)一管理的方式去做,。
最終解決方案是通過“3+1”方式。3是指3個(gè)平臺(tái),,1是指1套流程,。大概看一下3和1分別有什么東西。
首先,,兩個(gè)平臺(tái)關(guān)注程度比較高:一個(gè)是安全運(yùn)營平臺(tái),、一個(gè)是本地威脅情報(bào)平臺(tái)。安全運(yùn)營平臺(tái)從網(wǎng)絡(luò)終端接收日志,、告警流量,。本地威脅情報(bào)是做內(nèi)部情報(bào)和購買外部情報(bào)員做外部情報(bào)。這兩個(gè)是雙輪驅(qū)動(dòng)的方式,。同時(shí),,安全運(yùn)營平臺(tái)和本地威脅情報(bào)平臺(tái)是互為驅(qū)動(dòng)的方式,安全運(yùn)營平臺(tái)可以產(chǎn)生聚合的情報(bào)吐給本地威脅情報(bào)平臺(tái),,本地威脅情報(bào)平臺(tái)作為安全平臺(tái)的重要支持,,接下來進(jìn)一步看怎么處理。
辦公終端,、服務(wù)終端,、網(wǎng)絡(luò),不管是設(shè)備,、硬件,、軟件,提供自己的資產(chǎn)信息給安全運(yùn)營平臺(tái),,安全運(yùn)營平臺(tái)接收本地威脅情報(bào)作為情報(bào)賦能,,把這兩塊東西做融合,產(chǎn)生的東西做安全編排,。目前是跟防火類的設(shè)備做自動(dòng)化空間。本地威脅平臺(tái)是從外部和內(nèi)部兩個(gè)方式接收情報(bào),,外部情報(bào)員采用的是3+的方式,,如果情報(bào)之間有相互沖突,以多數(shù)為主,。安全運(yùn)營平臺(tái)正在打造成為安全工作的唯一入口,,需要干什么工作都從這上面。
這套流程是剛才前面講過運(yùn)營安全的流程,大家都很熟悉這個(gè)模型,,是傳統(tǒng)的V字型的軟件開發(fā)生命周期模型,。對(duì)于現(xiàn)在經(jīng)常講的(英),本質(zhì)上是這個(gè)模型的縮寫,、精簡以及環(huán)節(jié)的減少,。對(duì)于整體的流程來說,現(xiàn)在采取在關(guān)鍵點(diǎn)去做控制的方式,,而非整體做SCO這件事,,SCO對(duì)于我們太重,所以選擇可裁減的方式做,。
目前在做的是需求分析的做安全評(píng)審,,項(xiàng)目向安全評(píng)審流程,不經(jīng)過過流程立項(xiàng)立不起來,。我們發(fā)現(xiàn)有一些廠商實(shí)現(xiàn)了自動(dòng)化方式,,點(diǎn)選功能就能夠出現(xiàn)安全機(jī)器人,這個(gè)功能非常好,。在往后走代碼審計(jì)安全測(cè)試,,通過應(yīng)用系統(tǒng)上線流程和升級(jí)包的升級(jí)流程做控制。什么意思,?自己做代碼審計(jì),、自己做安全測(cè)試,我們提供平臺(tái)和服務(wù),,做完把它改了之后放到上線流程和升級(jí)包的升級(jí)流程里,,帶著已經(jīng)修復(fù)問題的報(bào)告放到流程里,審核通過沒有問題上線,。
ITGRC的平臺(tái),,承接前面剛才講過的IT審計(jì)主要工作。從三個(gè)方面去做:策略管理,、審計(jì)管理和風(fēng)險(xiǎn)值,。策略管理跟下面的設(shè)備、終端去做具體策略的收集,、指標(biāo)匯聚,,審計(jì)管理是流程方面的東西,誰要去填東西,,誰要去審批,。最后風(fēng)險(xiǎn)值通過幾個(gè)指標(biāo)去做展現(xiàn)。
整體“3+1”的流程是這樣的,,ITGRC平臺(tái)作為剛才講過的兩個(gè)平臺(tái)加一套流程的審計(jì),,全程審計(jì),。ITGRC作為持續(xù)改進(jìn)非常重要的點(diǎn)推動(dòng)剛才講的安全運(yùn)營平臺(tái)、本地威脅情報(bào)平臺(tái),,這一套流程的推動(dòng)不斷優(yōu)化,。
最近剛剛改過上線的(英)證券基金信息技術(shù)管理辦法要求重大變更和重大的系統(tǒng)上線工作需要提交相關(guān)報(bào)告才能做,必須把剛才講過證監(jiān)會(huì)要求報(bào)告放到流程里才能通過,。通過流程控制,,而非簡單通過技術(shù),這是一種傳統(tǒng)的技術(shù),,通過流程做控制是一件硬性的事情,,必須做,而且介紹工作量,。你要帶著已經(jīng)修復(fù)好的問題,,到我這兒來才可以通過。
剛才講過“2+1”,、“3+1”平臺(tái)之后有了初步的PPDR模型,,通過情報(bào)做預(yù)測(cè)的功能和安全運(yùn)營平臺(tái)做快速響應(yīng)方式。安全運(yùn)營平臺(tái)在做進(jìn)一步優(yōu)化,,每一個(gè)安全告警希望通過頁面點(diǎn)選方式后面確認(rèn)與否和怎么處理的標(biāo)準(zhǔn)化模板,。安全運(yùn)營平臺(tái)通過入口更重要,包括預(yù)測(cè),、預(yù)判和全流程過程,。
前面用1—5個(gè)人方式展現(xiàn)團(tuán)隊(duì)成員的情況,2016年做基礎(chǔ)建設(shè),,縱深防御體系建設(shè),,建立安全防護(hù)體系,2017年初步建立安全運(yùn)營體系,,搭建安全運(yùn)營中心提升事件響應(yīng)和發(fā)現(xiàn)的能力,,對(duì)信息文件做了可量化的處理。2019年,,也就是今年主要做深耕安全運(yùn)營中心能力,,并且給它威脅情報(bào)賦能。到2020年,,希望進(jìn)一步提供加強(qiáng)自主可控方面的能力,,能夠組建自有的專業(yè)服務(wù)團(tuán)隊(duì),根據(jù)公司的實(shí)際情況提供服務(wù),,安全組件提供可以讓他們很快嵌入自己研發(fā)流程里的安全模塊,,實(shí)現(xiàn)安全器服務(wù)方式。
在后面還會(huì)講其他的,,正好匹配到第一點(diǎn),。剛才講到了團(tuán)隊(duì)一共有五個(gè)人,各種原因有五六個(gè)是來回,。如果沒有這五個(gè)人能做更多的事情嗎,?當(dāng)然是不能。從自己運(yùn)營工作當(dāng)中每個(gè)人工作量非常的飽滿,,來一個(gè)人要承擔(dān)起條線工作的情況,。未來還會(huì)對(duì)安全運(yùn)營中心做進(jìn)一步的深耕細(xì)化,安全日志,、安全的告警事件都是通過規(guī)則的方式來做的,,今后計(jì)劃通過機(jī)器學(xué)習(xí)非規(guī)則、沒有明顯特征的方式模型去發(fā)現(xiàn)更深層次的事件,。這個(gè)時(shí)候需要招更多的人,,這件事也跟領(lǐng)導(dǎo)的關(guān)注有很大的關(guān)系。在甲方交流群里經(jīng)??吹接幸恍┙涣魅绾蜗蝾I(lǐng)導(dǎo)要資源的事,,有些方法論,企業(yè)話述什么的,。
業(yè)界最佳實(shí)踐好不好,?當(dāng)然好,是不是公司是另外的一件事,。流程與技術(shù)并用,,公司流程是明確的,技術(shù)對(duì)公司來講,,主要是承擔(dān)相互管理的職能,。這些技術(shù)自己沒辦法親自上手去做,流程就變得非常的重要,,這是硬性話題,,去做具體把控這樣的事。
早接觸,、早啟動(dòng)跟中信建投領(lǐng)導(dǎo)管理有很大的關(guān)系,,早接觸、早啟動(dòng),,不要市面上有了成熟的方案再去做,。剛才講到證券信息管理辦法提到安全值,業(yè)界還沒有全流程,、全生命周期的解決方案,,已經(jīng)擺到領(lǐng)導(dǎo)案頭很長時(shí)間了,希望通過技術(shù)解決或者方法論有沒有新的可以完善的,,而不是僅僅通過關(guān)鍵詞掃描的簡單方式,。
舉個(gè)存量盤活的例子,,現(xiàn)在已經(jīng)上了很多的設(shè)備和方法發(fā)現(xiàn)公司的資產(chǎn),有些廠商不同的產(chǎn)品通過互聯(lián)網(wǎng)掃描,、CNBB(音)方式配置去做,。上那么多工具沒有用好,為什么沒有用好,?領(lǐng)導(dǎo)一直跟我們?cè)谕苿?dòng)的事情,,存量工具、存量的方法要用起來,。
目前業(yè)界對(duì)于安全服務(wù),、咨詢服務(wù)提供的時(shí)候,我所接觸到的是通用的咨詢方法,、解決方法,,針對(duì)證券行業(yè)有沒有針對(duì)性的解決方案?很少,。剛才講到《證券信息技術(shù)管理辦法》里邊一共有60條,,每一條都是自己解讀。業(yè)界有沒有幫我們解讀,?到目前為止還沒有接觸到,,這件事是自己在做。具體到每一條而言問到誰要拆開,,結(jié)合公司自己的特點(diǎn)想一個(gè)能夠落地的方案,,所以我在這兒提到的是如果有友商或者是服務(wù)公司能夠提供有金融特性的服務(wù)對(duì)我們幫助非常大。解讀監(jiān)管的文或者是監(jiān)管要求的時(shí)候,,需要拿出業(yè)界的方案跟公司現(xiàn)狀做結(jié)合,。如果業(yè)界方案這塊有針對(duì)性,拿來就可以,,這件事對(duì)我們都是共同成長的機(jī)會(huì),。