五六年前,,那個時候只有一個人專職做安全,。計算機都是(英)會選擇防病毒軟件,。這些活很瑣碎,,占據(jù)了這個人幾乎所有工作,后來又來一個人負(fù)責(zé)邊界防御,,也是理所當(dāng)然的,,辦公筆記本、辦公終端,、服務(wù)器終端都做了防病毒控制,,根據(jù)預(yù)控做了同步管理。接下來到很傳統(tǒng)的邊界防御過程中,,做安全的人都知道防火墻,、IPS、IBS逐漸出現(xiàn)網(wǎng)絡(luò)安全的事兒,。
對于券商來說,,有一個比較多的工作量,營業(yè)部聯(lián)合總部,,光是介紹都會覺得活非常多,,兩個人占據(jù)了所有的工作量。后來又來一個人做安全審計,,為什么專門把安全審計放在第三個位置,?領(lǐng)導(dǎo)覺得外部(音)的審計、內(nèi)部的審計,、機關(guān)審計部的審計工作量越來越多,。這個活誰來干?放到安全審計里陪同他們做這件事,,還有對IT內(nèi)部做審計這件事,。
再往下才有了應(yīng)用安全,應(yīng)用安全這塊是來做的事,。之所以寫應(yīng)用安全,,但是沒有說SDL,大家如果做過SDL知道這張圖是SDL圖,。為什么寫應(yīng)用安全,?可以裁減的一定要裁減。SDL實現(xiàn)應(yīng)用安全沒有錯,,實現(xiàn)應(yīng)用安全要全部上,,業(yè)界實現(xiàn)SDL,這件事對公司來說是裁減的事情,,裁減完之后再回來落地,我們是需要控制住幾個關(guān)鍵的點。安全審計,、安全評估,、上線前的測試,再通過流程做控制,,這幾個點控制之后,,即使沒有整體去過SDL這件事,沒有建大平臺做SDL這件事,,但是應(yīng)用安全建立了全生命周期管控的方式,。
現(xiàn)在團(tuán)隊大概5個人左右,這個時候初步建立起PC的閉環(huán),,才有了持續(xù)改進(jìn)的方式,,去囊括網(wǎng)絡(luò)終端應(yīng)用等等幾個層面,才會去從整體的安全建設(shè)方面去考慮事情,。這個時候問題緊接著而來,,這個活基本上是以單位為主,人負(fù)責(zé)領(lǐng)域,。這個時候這么多的設(shè)備產(chǎn)生告警該怎么做,?每一個設(shè)備都要去盯著它。現(xiàn)在的量是非常大的,,一億三千萬條的安全相關(guān)認(rèn)證,,150次年均安全評估,上線之后在我們這兒過流程跟基線碰一下,,50+次的上線代碼審計測試,。這么多的工作量5個人干嘛?考慮到集中運營,、統(tǒng)一管理的方式去做,。
最終解決方案是通過“3+1”方式。3是指3個平臺,,1是指1套流程,。大概看一下3和1分別有什么東西。
首先,,兩個平臺關(guān)注程度比較高:一個是安全運營平臺,、一個是本地威脅情報平臺。安全運營平臺從網(wǎng)絡(luò)終端接收日志,、告警流量,。本地威脅情報是做內(nèi)部情報和購買外部情報員做外部情報。這兩個是雙輪驅(qū)動的方式,。同時,,安全運營平臺和本地威脅情報平臺是互為驅(qū)動的方式,安全運營平臺可以產(chǎn)生聚合的情報吐給本地威脅情報平臺,本地威脅情報平臺作為安全平臺的重要支持,,接下來進(jìn)一步看怎么處理,。
辦公終端、服務(wù)終端,、網(wǎng)絡(luò),,不管是設(shè)備、硬件,、軟件,,提供自己的資產(chǎn)信息給安全運營平臺,安全運營平臺接收本地威脅情報作為情報賦能,,把這兩塊東西做融合,,產(chǎn)生的東西做安全編排。目前是跟防火類的設(shè)備做自動化空間,。本地威脅平臺是從外部和內(nèi)部兩個方式接收情報,,外部情報員采用的是3+的方式,如果情報之間有相互沖突,,以多數(shù)為主,。安全運營平臺正在打造成為安全工作的唯一入口,需要干什么工作都從這上面,。
這套流程是剛才前面講過運營安全的流程,,大家都很熟悉這個模型,是傳統(tǒng)的V字型的軟件開發(fā)生命周期模型,。對于現(xiàn)在經(jīng)常講的(英),,本質(zhì)上是這個模型的縮寫、精簡以及環(huán)節(jié)的減少,。對于整體的流程來說,,現(xiàn)在采取在關(guān)鍵點去做控制的方式,而非整體做SCO這件事,,SCO對于我們太重,,所以選擇可裁減的方式做。
目前在做的是需求分析的做安全評審,,項目向安全評審流程,,不經(jīng)過過流程立項立不起來。我們發(fā)現(xiàn)有一些廠商實現(xiàn)了自動化方式,,點選功能就能夠出現(xiàn)安全機器人,,這個功能非常好。在往后走代碼審計安全測試,,通過應(yīng)用系統(tǒng)上線流程和升級包的升級流程做控制,。什么意思,?自己做代碼審計、自己做安全測試,,我們提供平臺和服務(wù),,做完把它改了之后放到上線流程和升級包的升級流程里,帶著已經(jīng)修復(fù)問題的報告放到流程里,,審核通過沒有問題上線。
ITGRC的平臺,,承接前面剛才講過的IT審計主要工作,。從三個方面去做:策略管理、審計管理和風(fēng)險值,。策略管理跟下面的設(shè)備,、終端去做具體策略的收集、指標(biāo)匯聚,,審計管理是流程方面的東西,,誰要去填東西,誰要去審批,。最后風(fēng)險值通過幾個指標(biāo)去做展現(xiàn),。
整體“3+1”的流程是這樣的,ITGRC平臺作為剛才講過的兩個平臺加一套流程的審計,,全程審計,。ITGRC作為持續(xù)改進(jìn)非常重要的點推動剛才講的安全運營平臺、本地威脅情報平臺,,這一套流程的推動不斷優(yōu)化,。
最近剛剛改過上線的(英)證券基金信息技術(shù)管理辦法要求重大變更和重大的系統(tǒng)上線工作需要提交相關(guān)報告才能做,必須把剛才講過證監(jiān)會要求報告放到流程里才能通過,。通過流程控制,,而非簡單通過技術(shù),這是一種傳統(tǒng)的技術(shù),,通過流程做控制是一件硬性的事情,,必須做,而且介紹工作量,。你要帶著已經(jīng)修復(fù)好的問題,,到我這兒來才可以通過。
剛才講過“2+1”,、“3+1”平臺之后有了初步的PPDR模型,,通過情報做預(yù)測的功能和安全運營平臺做快速響應(yīng)方式。安全運營平臺在做進(jìn)一步優(yōu)化,,每一個安全告警希望通過頁面點選方式后面確認(rèn)與否和怎么處理的標(biāo)準(zhǔn)化模板,。安全運營平臺通過入口更重要,,包括預(yù)測、預(yù)判和全流程過程,。
前面用1—5個人方式展現(xiàn)團(tuán)隊成員的情況,,2016年做基礎(chǔ)建設(shè),縱深防御體系建設(shè),,建立安全防護(hù)體系,,2017年初步建立安全運營體系,搭建安全運營中心提升事件響應(yīng)和發(fā)現(xiàn)的能力,,對信息文件做了可量化的處理,。2019年,也就是今年主要做深耕安全運營中心能力,,并且給它威脅情報賦能,。到2020年,希望進(jìn)一步提供加強自主可控方面的能力,,能夠組建自有的專業(yè)服務(wù)團(tuán)隊,,根據(jù)公司的實際情況提供服務(wù),安全組件提供可以讓他們很快嵌入自己研發(fā)流程里的安全模塊,,實現(xiàn)安全器服務(wù)方式,。
在后面還會講其他的,正好匹配到第一點,。剛才講到了團(tuán)隊一共有五個人,,各種原因有五六個是來回。如果沒有這五個人能做更多的事情嗎,?當(dāng)然是不能,。從自己運營工作當(dāng)中每個人工作量非常的飽滿,來一個人要承擔(dān)起條線工作的情況,。未來還會對安全運營中心做進(jìn)一步的深耕細(xì)化,,安全日志、安全的告警事件都是通過規(guī)則的方式來做的,,今后計劃通過機器學(xué)習(xí)非規(guī)則,、沒有明顯特征的方式模型去發(fā)現(xiàn)更深層次的事件。這個時候需要招更多的人,,這件事也跟領(lǐng)導(dǎo)的關(guān)注有很大的關(guān)系,。在甲方交流群里經(jīng)常看到有一些交流如何向領(lǐng)導(dǎo)要資源的事,,有些方法論,,企業(yè)話述什么的。
業(yè)界最佳實踐好不好,?當(dāng)然好,,是不是公司是另外的一件事,。流程與技術(shù)并用,公司流程是明確的,,技術(shù)對公司來講,,主要是承擔(dān)相互管理的職能。這些技術(shù)自己沒辦法親自上手去做,,流程就變得非常的重要,,這是硬性話題,去做具體把控這樣的事,。
早接觸,、早啟動跟中信建投領(lǐng)導(dǎo)管理有很大的關(guān)系,早接觸,、早啟動,不要市面上有了成熟的方案再去做,。剛才講到證券信息管理辦法提到安全值,,業(yè)界還沒有全流程、全生命周期的解決方案,,已經(jīng)擺到領(lǐng)導(dǎo)案頭很長時間了,,希望通過技術(shù)解決或者方法論有沒有新的可以完善的,而不是僅僅通過關(guān)鍵詞掃描的簡單方式,。
舉個存量盤活的例子,,現(xiàn)在已經(jīng)上了很多的設(shè)備和方法發(fā)現(xiàn)公司的資產(chǎn),有些廠商不同的產(chǎn)品通過互聯(lián)網(wǎng)掃描,、CNBB(音)方式配置去做,。上那么多工具沒有用好,為什么沒有用好,?領(lǐng)導(dǎo)一直跟我們在推動的事情,,存量工具、存量的方法要用起來,。
目前業(yè)界對于安全服務(wù),、咨詢服務(wù)提供的時候,我所接觸到的是通用的咨詢方法,、解決方法,,針對證券行業(yè)有沒有針對性的解決方案?很少,。剛才講到《證券信息技術(shù)管理辦法》里邊一共有60條,,每一條都是自己解讀。業(yè)界有沒有幫我們解讀,?到目前為止還沒有接觸到,,這件事是自己在做,。具體到每一條而言問到誰要拆開,結(jié)合公司自己的特點想一個能夠落地的方案,,所以我在這兒提到的是如果有友商或者是服務(wù)公司能夠提供有金融特性的服務(wù)對我們幫助非常大,。解讀監(jiān)管的文或者是監(jiān)管要求的時候,需要拿出業(yè)界的方案跟公司現(xiàn)狀做結(jié)合,。如果業(yè)界方案這塊有針對性,,拿來就可以,這件事對我們都是共同成長的機會,。