國(guó)內(nèi)信息安全水平比較發(fā)達(dá)的城市，當(dāng)屬北京和上海。兩者的信息化普及程度和人員的IT水平均為國(guó)內(nèi)領(lǐng)先，尤其是后者，由于大批跨國(guó)企業(yè)的存在，其安全市場(chǎng)也更加具有開(kāi)放競(jìng)爭(zhēng)的屬性。除了網(wǎng)絡(luò)安全提供商以外，活躍在安全市場(chǎng)上的，是這個(gè)市場(chǎng)的另一重要角色信息安全官。近日，安全牛記者走訪了一家500強(qiáng)企業(yè)的CISO，顧偉。

個(gè)人簡(jiǎn)介：

一、安全的價(jià)值在于推動(dòng)業(yè)務(wù)

顧偉：網(wǎng)絡(luò)安全工作是多種多樣的，傳統(tǒng)意義上的信息安全主要指技術(shù)上的IT安全，但企業(yè)合規(guī)、內(nèi)部控制、風(fēng)險(xiǎn)管理，甚至是業(yè)務(wù)開(kāi)發(fā)和財(cái)務(wù)管理也都有相應(yīng)的安全工作。

比如，遇到收并購(gòu)的時(shí)候，就需要對(duì)被購(gòu)方進(jìn)行信息安全的風(fēng)險(xiǎn)評(píng)估，因?yàn)樵S多企業(yè)即使?fàn)I收方面非常好，但有可能信息安全能力非常低下。如果又是以數(shù)據(jù)為核心資產(chǎn)的話，其數(shù)據(jù)安全的風(fēng)險(xiǎn)就會(huì)非常大，再加上一些潛在的法律、合規(guī)方面的風(fēng)險(xiǎn)。像埋下了一顆地雷，不管是被私下盜取還是公開(kāi)泄露，都會(huì)對(duì)給公司的價(jià)值評(píng)估帶來(lái)巨大的影響，雅虎被收購(gòu)時(shí)價(jià)值縮水10億美元就是非常典型的例子。

此外，中國(guó)的移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)高速發(fā)展，已經(jīng)超越了國(guó)外。在手機(jī)App上可以做很多事情，電子商務(wù)、移動(dòng)支付、甚至是CRM之類的辦公業(yè)務(wù)辦公，所以在安全運(yùn)營(yíng)的可控范圍內(nèi)，如何讓跨國(guó)企業(yè)更好的借助這些優(yōu)勢(shì)，是我們這些CISO們要做的事。

顧偉：做信息安全有時(shí)相當(dāng)于在放柵欄，必然會(huì)讓業(yè)務(wù)部門感到不便，所以要盡量以業(yè)務(wù)部門習(xí)慣的方式來(lái)處理安全問(wèn)題，讓他們覺(jué)得安全對(duì)業(yè)務(wù)和項(xiàng)目有推動(dòng)作用，最終達(dá)到一種彼此之間擁有信任感的關(guān)系。

顧偉：比如我們的微信平臺(tái)。做微信平臺(tái)是為了與病患以及醫(yī)生有更多互動(dòng)，建立起一個(gè)智能化的雙向溝通渠道。信息安全在其中所做起到的作用，就是保證所有數(shù)據(jù)的平穩(wěn)交付。如最基本的CIA，完整性、可靠性和機(jī)密性，要貫穿整個(gè)數(shù)據(jù)管理生命周期。

數(shù)據(jù)生成之后，不管是在企業(yè)內(nèi)部流動(dòng)，還是通過(guò)微信平臺(tái)流轉(zhuǎn)到外部，都要保證CIA。通過(guò)信息安全團(tuán)隊(duì)的審核，以確定哪些數(shù)據(jù)可以在哪些地方進(jìn)行怎樣的發(fā)布。哪些信息是恰當(dāng)?shù)?，可以給到哪些特定人群。以避免企業(yè)的利益受到損失。這些事情都要和其他部門配合進(jìn)行，包括業(yè)務(wù)部門，甚至還有法務(wù)部門。

還有一個(gè)非常重要的事情，是從公司文化的角度去潛移默化員工，把員工的安全意識(shí)和形為融入到公司整個(gè)的安全戰(zhàn)略里。比如，邀請(qǐng)其他部門的員工參觀我們的安全運(yùn)營(yíng)中心，去看看安全專家每天是如何過(guò)濾垃圾郵件、防御網(wǎng)絡(luò)攻擊，保護(hù)信息資產(chǎn)不被惡意入侵，保障供應(yīng)鏈安全，保障企業(yè)的生產(chǎn)，這些才是信息安全工作的價(jià)值。安全的終極意圖不是在控制或監(jiān)視員工，而是把員工都當(dāng)作體系里面的一份子，充分發(fā)揮自己的作用。

二、最關(guān)注數(shù)據(jù)安全與政策合規(guī)

顧偉：安全的方方面面有很多，對(duì)于我們來(lái)說(shuō)，一個(gè)很大的風(fēng)險(xiǎn)是數(shù)據(jù)泄露。分為外部黑客攻擊和內(nèi)部無(wú)意或惡意的泄露兩大塊。

外部攻擊方面，用的是比較成熟和通用的技術(shù)。如防火墻、IPS、WAF之類的。作為一個(gè)500強(qiáng)跨國(guó)企業(yè)，我們一個(gè)月能收到700萬(wàn)封釣魚(yú)郵件，中國(guó)大陸和美國(guó)都是重災(zāi)區(qū)，還有海量的報(bào)警。目前主要靠全球化的SOC，利用自動(dòng)化工具去做安全防護(hù)，如終端掃描、補(bǔ)丁更新、攻擊告警處理等。內(nèi)部威脅方面則是使用了DLP數(shù)據(jù)防泄露技術(shù)來(lái)防止數(shù)據(jù)的外泄。將來(lái)還要提升本地安全運(yùn)維能力，包括對(duì)業(yè)務(wù)的支撐能力。

內(nèi)部泄露方面，因?yàn)槲覀儗?duì)數(shù)據(jù)保護(hù)更加注重，所以剛才說(shuō)到了使用DLP。并且，我們還在自己的SOC里運(yùn)用了安全自動(dòng)化技術(shù)，智能化的收集和分析日志，結(jié)合外部情報(bào)做判斷，最后再做處置，我們叫ASOC（Advanced SOC）。

顧偉：上云了，但不是全部。無(wú)論國(guó)內(nèi)還是國(guó)際，大家其實(shí)都面臨一樣的問(wèn)題，如果數(shù)據(jù)敏感度很高，是不是還要放到云上？云化并不是指一定要把所有的東西都放在云上。要么全部上云，要么干脆不上云，這兩種思路都有問(wèn)題的。我們要去評(píng)估，哪些數(shù)據(jù)可以放在云上，也有足夠能力去保護(hù)。哪些數(shù)據(jù)不適合放在云上，要進(jìn)行本地保護(hù)。

而且，每個(gè)國(guó)家的安全能力和網(wǎng)絡(luò)態(tài)勢(shì)是不一樣的，這也是一個(gè)評(píng)估因素。是不是需要考慮更多的風(fēng)險(xiǎn)，外部環(huán)境是否可控，有沒(méi)有資源去做這樣的事情等等？而且，安全的決策在西方主要是以業(yè)務(wù)為導(dǎo)向，但是在國(guó)內(nèi)更多的權(quán)重則放在本地法律的合規(guī)上。

我們大部分業(yè)務(wù)已經(jīng)遷移到云上，亞太區(qū)在中國(guó)就租用了AWS。為什么單獨(dú)在中國(guó)做，是為了中國(guó)的網(wǎng)安法。合規(guī)和數(shù)據(jù)保護(hù)一樣，也是對(duì)業(yè)務(wù)的重要促進(jìn)和推動(dòng)。數(shù)據(jù)的流動(dòng)才能創(chuàng)造價(jià)值，但是對(duì)數(shù)據(jù)的本地化保護(hù)是許多國(guó)家和地區(qū)的要求，包括日本、印度、新加坡、香港、泰國(guó)，甚至是臺(tái)灣，都有各自的隱私保護(hù)法。中國(guó)大陸也不例外。

三、安全需要信任感 灌輸和強(qiáng)制反人性

顧偉：主要是業(yè)務(wù)和安全解決方案的契合問(wèn)題，解決方案是否能夠真的幫助業(yè)務(wù)部門。在全球，本地化都是一個(gè)很大的趨勢(shì)。中國(guó)用微信，韓國(guó)則用Line，美國(guó)則是Whatup。不管用什么，數(shù)據(jù)都要放在本地。于是，我們就更傾向于找本地供應(yīng)商，來(lái)省去諸多的合規(guī)流程。

對(duì)內(nèi)則是要比業(yè)務(wù)部門較早地了解新的技術(shù)。不管是大數(shù)據(jù)還是AI，如何把這些技術(shù)和業(yè)務(wù)，在安全的條件下強(qiáng)有力的整合起來(lái)。這就需要不斷的加強(qiáng)學(xué)習(xí)，在技術(shù)語(yǔ)言和業(yè)務(wù)語(yǔ)言之間，做到靈活的轉(zhuǎn)換，這對(duì)安全和業(yè)務(wù)部門雙方都非常有好處。

安全人員可以學(xué)習(xí)到如何把安全嵌入到技術(shù)中去，以及實(shí)現(xiàn)內(nèi)在的控制。而業(yè)務(wù)部門通過(guò)與安全人員的協(xié)同工作和交流溝通，雙方可以逐漸建立信任。我強(qiáng)調(diào)一下，在任何業(yè)務(wù)驅(qū)動(dòng)的組織中，安全人員與業(yè)務(wù)人員之間的信任感，是安全能否更好支撐業(yè)務(wù)最為重要的基礎(chǔ)之一。灌輸和強(qiáng)制都是反人性的。

另外我們也在做大數(shù)據(jù)，通過(guò)數(shù)據(jù)分析精準(zhǔn)研發(fā)方向，節(jié)省人力成本?，F(xiàn)在各種企業(yè)的數(shù)據(jù)已經(jīng)非常之多，但如何妥善使用是一個(gè)很考究的課題，即要帶來(lái)價(jià)值又不能越界。我們的理念就是“永遠(yuǎn)以善為本，不作惡”。我們做的數(shù)據(jù)分析、挖掘，都是要造福于病患，廣告、推銷，那些灰色地帶是絕對(duì)不碰的。

四、國(guó)內(nèi)安全公司的定制化能力優(yōu)于國(guó)外
 

顧偉：國(guó)內(nèi)的安全公司有一個(gè)優(yōu)勢(shì)，就是定制化能力比國(guó)際廠商高，可做到快速迭代，快速響應(yīng)客戶需求，還有服務(wù)能力、工程化能力等，毫不夸張的講，中國(guó)的網(wǎng)絡(luò)安全企業(yè)，已經(jīng)完全有能力能夠獨(dú)當(dāng)一面地為國(guó)內(nèi)企業(yè)服務(wù)，甚至于能夠輸出到國(guó)外。

但是，國(guó)內(nèi)的網(wǎng)絡(luò)安全提供商在國(guó)際化或說(shuō)產(chǎn)品標(biāo)準(zhǔn)化方面，以及創(chuàng)新能力方面，與國(guó)外廠商還有差距。尤其是后者，國(guó)外有好多小公司，在服務(wù)用戶的獨(dú)特需求方面做得很深。反觀國(guó)內(nèi)，跟風(fēng)現(xiàn)象非常嚴(yán)重，每當(dāng)一個(gè)新概念出來(lái)之后就會(huì)有一大堆公司一擁而上。我覺(jué)得這其實(shí)不是我們的技術(shù)能力不夠，而是我們的創(chuàng)新思維較窄，創(chuàng)新意識(shí)弱。

我認(rèn)為，國(guó)內(nèi)的安全公司會(huì)有一個(gè)很光明的未來(lái)。現(xiàn)在很多外企都在使用中國(guó)廠商的產(chǎn)品和服務(wù)，對(duì)于外企來(lái)說(shuō)必須要有一個(gè)強(qiáng)有力的合作伙伴，更貼近業(yè)務(wù)，更快速的響應(yīng)。這種合作模式，會(huì)給廠商未來(lái)的國(guó)際化運(yùn)營(yíng)打下重要基礎(chǔ)。
 

顧偉：使用效果和性價(jià)比是最最關(guān)鍵的兩個(gè)因素，尤其是使用效果，哪怕會(huì)貴上一些。比如某一產(chǎn)品有幾個(gè)供應(yīng)商，如果沒(méi)有其他特定原因的話，一定會(huì)選那個(gè)使用效果最好的。當(dāng)然，性價(jià)比也是一個(gè)重要的考量緯度。畢竟一般來(lái)說(shuō)，產(chǎn)品的價(jià)格和使用效果是成正比的。

五、關(guān)心三大技術(shù)方向：CARTA模型、UEBA和AI
 

顧偉：建議談不上，我談?wù)勛约旱捏w會(huì)吧。首先扎根公司的業(yè)務(wù)，做到自我認(rèn)知。不管是到了新的環(huán)境還是在一個(gè)環(huán)境里，都要不斷的更新自我認(rèn)知。公司的業(yè)務(wù)其市場(chǎng)在哪里，核心因素是什么，關(guān)鍵數(shù)據(jù)有哪些，公司的強(qiáng)項(xiàng)在哪里，競(jìng)爭(zhēng)對(duì)手都有誰(shuí)等等。

再者要借鑒最優(yōu)，參考最佳實(shí)踐。包括參加各種協(xié)會(huì)組織的各種活動(dòng)，與業(yè)務(wù)高管和安全相關(guān)的專業(yè)人員交流，閱讀咨詢公司的報(bào)告、專業(yè)媒體的文章等等，比如你們安全牛的報(bào)告和文章我就經(jīng)常看。

還有一點(diǎn)非常關(guān)鍵，就是排好優(yōu)先權(quán)，把最好的資源投入到最能推動(dòng)企業(yè)業(yè)務(wù)的工作上。以上三點(diǎn)做好之后，再去彌補(bǔ)其他的一些細(xì)節(jié)，安全體系中可能存在的弱點(diǎn)。安全的價(jià)值一種是體現(xiàn)在幫助或推動(dòng)業(yè)務(wù)交付方面，另外一種就“潤(rùn)物細(xì)無(wú)聲”式的，為什么在社會(huì)上從來(lái)沒(méi)有聽(tīng)到過(guò)你的數(shù)據(jù)被泄漏，被黑客攻擊勒索之類的事情，因?yàn)槲覀兙邆浜芎玫姆烙w系，成熟的安全運(yùn)維人員，緊密合作的高級(jí)安全專家，這時(shí)安全的價(jià)值也可以體現(xiàn)出來(lái)。
 

顧偉：最近在關(guān)注三種技術(shù)，第一個(gè)是CARTA模型，持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估?，F(xiàn)在很多公司在上云時(shí)猶豫不決，上了云又不知道該如何做安全，而CARTA就可以很好的幫助決策、選型，再到具體的安全控制措施。

另外一個(gè)是UEBA。把海量的日志結(jié)合起來(lái)，對(duì)用戶和實(shí)體行為進(jìn)行分析和預(yù)測(cè)，可以大大節(jié)省SOC的運(yùn)營(yíng)成本。SOC最大的問(wèn)題就是需要合格的安全運(yùn)維專家，需要24小時(shí)的去看日志。塔吉特就是一個(gè)例子，安全系統(tǒng)已經(jīng)報(bào)警，但沒(méi)有人處理，結(jié)果出了那么大的事情。SOC的安全運(yùn)營(yíng)人員需要有3到5年的安全工作經(jīng)驗(yàn)，我們知道現(xiàn)在安全人員短缺，這樣的人很難招到，而UEBA技術(shù)可代替一部分人力。

最后是AI，人工智能，把AI技術(shù)嵌入到我們的產(chǎn)品設(shè)計(jì)中來(lái)。很多情況下，安全問(wèn)題的產(chǎn)生不是因?yàn)槲覀兊募夹g(shù)不夠，而是我們從一開(kāi)始設(shè)計(jì)的時(shí)候就有問(wèn)題，所以要從設(shè)計(jì)角度著手，一直到開(kāi)發(fā)、測(cè)試、上線，風(fēng)險(xiǎn)評(píng)估、漏洞掃描、合規(guī)管理等，把能夠觸發(fā)警報(bào)的條件全部交給AI，貫穿整個(gè)生命周期。

要和供應(yīng)商達(dá)成信任與合作，必須做審核，要做安全風(fēng)險(xiǎn)管理的評(píng)估。包括了解它的內(nèi)部運(yùn)維環(huán)境，如何存放數(shù)據(jù)，依據(jù)哪些標(biāo)準(zhǔn)，有沒(méi)有加密、命名、容災(zāi)備份等。最終確認(rèn)這個(gè)供應(yīng)商是否處于一個(gè)比較低的風(fēng)險(xiǎn)狀態(tài)。