隨著信息技術及業(yè)務場景的不斷更新，企業(yè)也面臨了更加復雜多樣的安全威脅，信息安全是一個系統(tǒng)工程，也是一個需要長期實踐并完善的過程，企業(yè)需要依據業(yè)務自身的需求建立并完善安全保障體系以確保業(yè)務的持續(xù)進行。那么企業(yè)該如何建設一套安全可信的企業(yè)信息安全體系呢?

在2016年4月14-15日，由51CTO傳媒主辦的WOT2016互聯(lián)網運維與開發(fā)者大會上，搜狐安全經理吳建強從技術、流程、管理等多個方面來介紹了企業(yè)信息安全體系建設思路及實踐，并在現場接受了記者的采訪。

【嘉賓簡介】

[[165333]]

搜狐安全經理 吳建強

吳建強，一位熱衷安全技術自學成才的安全專家。2004年大學畢業(yè)后，一直從事安全工作。工作之初，他主要負責提供安全測試與安全服務，為不同的公司做項目，雖然收獲較廣，但是深度不夠。于是，后來十分喜愛安全技術研究的吳建強選擇進入搜狐，塌下心來聚焦核心業(yè)務，提升個人技術能力。從工程師做起一直到現在的安全經理，管理整個安全團隊，處理各種安全事件。

云計算時代，運維安全發(fā)生的轉變

隨著云計算、大數據，移動互聯(lián)網的快速發(fā)展，企業(yè)的安全運維工作發(fā)生了改變。吳老師認為，從運維的角度來看，現在對安全運維人員的要求更加偏重于軟件，強調軟件定義的概念。對于運維人員的能力需求，開發(fā)能力是必需，因為如果不具備開發(fā)能力很難去自己定義某個東西。尤其大型互聯(lián)網公司都有一個特點，公司中絕大部分的軟件不是開源的就是自己開發(fā)的，或者在開源的基礎架構上做，這都需要開發(fā)能力。另外，云計算時代，運維都是在一個平臺上工作，工作量變小。

從安全的角度講，給安全防護工作帶來了一些好處。比如：以前做安全加固服務時，需要把客戶現有的操作系統(tǒng)做安全配置，主要做安全策略配置工作。而云計算時代，可以通過將安全策略標準化，將安全策略定義，通過SDN的方式下發(fā)，降低運維的成本以及復雜度。

如何保障公司自主研發(fā)產品的安全?

在自主研發(fā)軟件整個生命周期，無論是代碼開發(fā)，代碼測試還是代碼的發(fā)布環(huán)節(jié)，都需要在安全方面投入很大精力。一款安全的產品才能發(fā)揮它真正的價值，提供安全的服務，保障業(yè)務安全。首先，要對公司的所有涉及重要業(yè)務的產品進行保護，因為安全運維人員可能是有限的，在人員不足的情況下不可能針對每個產品都投入最大的精力。我們要針對公司關心的產品和業(yè)務，做安全開發(fā)流程，分析架構是否存在缺陷，考慮產品如何運作，功能如何實現，產品的數據流。再次，在整個代碼開發(fā)周期，需要使用源代碼掃描工具等，對代碼進行漏洞檢測。此外，還需要撰寫安全指南，制作安全培訓視頻，提高全體員工的安全意識。

企業(yè)應如何建立一套比較完整可信的信息安全防護體系?

吳老師表示，企業(yè)要想建立一套完整可信的信息安全防護體系，首先，要做的就是思考自己的企業(yè)是否需要安全。然后就是安全需要聚焦到哪里，即是企業(yè)的那些產品和業(yè)務對安全的需求較高。再就是人，找到合適的人，組建安全團隊，同時讓做產品的人明白組建安全團隊的重要性。想要建立企業(yè)信息安全防護體系，在具備了以上三個條件之后，第一階段就是對現有技術架構、系統(tǒng)架構以及網絡架構進行監(jiān)控。找到發(fā)生的安全事件，或正在發(fā)生的攻擊，攻擊者是誰，有多少攻擊者，什么類型的攻擊。還要分析哪些產品容易受到攻擊，采用了哪些攻擊技術。第二階段，根據監(jiān)控結果，思考如何去防御，制定防御方案和監(jiān)控方案。從監(jiān)控出發(fā)，了解企業(yè)的實際狀況。并根據監(jiān)控結果采購安全產品及服務，讓安全廠商對企業(yè)安全情況進行評估，明確企業(yè)面臨的風險。

安全體系建設思路

那么如何實現有效的監(jiān)控呢?吳老師認為必須要從以下幾個層次進行，第一層是網絡監(jiān)控，看是否存在拒絕服務攻擊，是否出現了網絡流量異?，F象;是否有針對在線Web業(yè)務和應用的攻擊。以上攻擊可通過網絡分工的技術做流量分析和協(xié)議還原等方式進行分析。第二層是應用層監(jiān)控。針對應用進行用戶追蹤，收集信息。第三層是數據，對所有數據的增刪改，用戶的登錄情況進行全程記錄，方便內外威脅的訪問記錄。此外，還應對各個機房的監(jiān)控。

安全行業(yè)是一個興趣驅動的行業(yè)

在采訪最后，記者問到他是在怎樣的機遇下從事現在的職業(yè)，吳老師說：“安全行業(yè)是一個興趣驅動的行業(yè)，里面有很多東西是非常有魔力的。”有很多人從事安全方面的工作，都源于對安全技術的熱愛，不是單純的認為這只是一種職業(yè)，而他就是其中之一。

作為電氣自動化專業(yè)的畢業(yè)生，畢業(yè)后他卻進入了網絡信息安全領域，從事安全工作。說起曾經的學習經歷，他表示只要你從心里喜歡，你就可以為了一個漏洞不吃不喝，甚至通宵去鉆研它。走上這條路源于一次大學暑假上網的經歷，讓他感受到了網絡的神奇。于是，自大一開始他就自學網頁設計，做動態(tài)程序、聊天室，學習操作系統(tǒng)，研究網絡協(xié)議。然后在實踐中接觸到了遠程登錄，最后慢慢的對網絡攻擊和漏洞產生了濃厚的興趣，隨之與網絡安全結下了不解之緣。