網+線下沙龍 | 移動APP模式創新：給你一個做APP的理由>>

隨著信息技術及業務場景的不斷更新，企業也面臨了更加復雜多樣的安全威脅，信息安全是一個系統工程，也是一個需要長期實踐并完善的過程，企業需要依據業務自身的需求建立并完善安全保障體系以確保業務的持續進行。那么企業該如何建設一套安全可信的企業信息安全體系呢?

在2016年4月14-15日，由51CTO傳媒主辦的WOT2016互聯網運維與開發者大會上，搜狐安全經理吳建強從技術、流程、管理等多個方面來介紹了企業信息安全體系建設思路及實踐，并在現場接受了記者的采訪。

【嘉賓簡介】

搜狐安全經理 吳建強

吳建強，一位熱衷安全技術自學成才的安全專家。2004年大學畢業后，一直從事安全工作。工作之初，他主要負責提供安全測試與安全服務，為不同的公司做項目，雖然收獲較廣，但是深度不夠。于是，后來十分喜愛安全技術研究的吳建強選擇進入搜狐，塌下心來聚焦核心業務，提升個人技術能力。從工程師做起一直到現在的安全經理，管理整個安全團隊，處理各種安全事件。

云計算時代，運維安全發生的轉變

隨著云計算、大數據，移動互聯網的快速發展，企業的安全運維工作發生了改變。吳老師認為，從運維的角度來看，現在對安全運維人員的要求更加偏重于軟件，強調軟件定義的概念。對于運維人員的能力需求，開發能力是必需，因為如果不具備開發能力很難去自己定義某個東西。尤其大型互聯網公司都有一個特點，公司中絕大部分的軟件不是開源的就是自己開發的，或者在開源的基礎架構上做，這都需要開發能力。另外，云計算時代，運維都是在一個平臺上工作，工作量變小。

從安全的角度講，給安全防護工作帶來了一些好處。比如：以前做安全加固服務時，需要把客戶現有的操作系統做安全配置，主要做安全策略配置工作。而云計算時代，可以通過將安全策略標準化，將安全策略定義，通過SDN的方式下發，降低運維的成本以及復雜度。

如何保障公司自主研發產品的安全?

在自主研發軟件整個生命周期，無論是代碼開發，代碼測試還是代碼的發布環節，都需要在安全方面投入很大精力。一款安全的產品才能發揮它真正的價值，提供安全的服務，保障業務安全。首先，要對公司的所有涉及重要業務的產品進行保護，因為安全運維人員可能是有限的，在人員不足的情況下不可能針對每個產品都投入最大的精力。我們要針對公司關心的產品和業務，做安全開發流程，分析架構是否存在缺陷，考慮產品如何運作，功能如何實現，產品的數據流。再次，在整個代碼開發周期，需要使用源代碼掃描工具等，對代碼進行漏洞檢測。此外，還需要撰寫安全指南，制作安全培訓視頻，提高全體員工的安全意識。

企業應如何建立一套比較完整可信的信息安全防護體系?

吳老師表示，企業要想建立一套完整可信的信息安全防護體系，首先，要做的就是思考自己的企業是否需要安全。然后就是安全需要聚焦到哪里，即是企業的那些產品和業務對安全的需求較高。再就是人，找到合適的人，組建安全團隊，同時讓做產品的人明白組建安全團隊的重要性。想要建立企業信息安全防護體系，在具備了以上三個條件之后，第一階段就是對現有技術架構、系統架構以及網絡架構進行監控。找到發生的安全事件，或正在發生的攻擊，攻擊者是誰，有多少攻擊者，什么類型的攻擊。還要分析哪些產品容易受到攻擊，采用了哪些攻擊技術。第二階段，根據監控結果，思考如何去防御，制定防御方案和監控方案。從監控出發，了解企業的實際狀況。并根據監控結果采購安全產品及服務，讓安全廠商對企業安全情況進行評估，明確企業面臨的風險。

安全體系建設思路

那么如何實現有效的監控呢?吳老師認為必須要從以下幾個層次進行，第一層是網絡監控，看是否存在拒絕服務攻擊，是否出現了網絡流量異常現象;是否有針對在線Web業務和應用的攻擊。以上攻擊可通過網絡分工的技術做流量分析和協議還原等方式進行分析。第二層是應用層監控。針對應用進行用戶追蹤，收集信息。第三層是數據，對所有數據的增刪改，用戶的登錄情況進行全程記錄，方便內外威脅的訪問記錄。此外，還應對各個機房的監控。

安全行業是一個興趣驅動的行業

在采訪最后，記者問到他是在怎樣的機遇下從事現在的職業，吳老師說：“安全行業是一個興趣驅動的行業，里面有很多東西是非常有魔力的。”有很多人從事安全方面的工作，都源于對安全技術的熱愛，不是單純的認為這只是一種職業，而他就是其中之一。

作為電氣自動化專業的畢業生，畢業后他卻進入了網絡信息安全領域，從事安全工作。說起曾經的學習經歷，他表示只要你從心里喜歡，你就可以為了一個漏洞不吃不喝，甚至通宵去鉆研它。走上這條路源于一次大學暑假上網的經歷，讓他感受到了網絡的神奇。于是，自大一開始他就自學網頁設計，做動態程序、聊天室，學習操作系統，研究網絡協議。然后在實踐中接觸到了遠程登錄，最后慢慢的對網絡攻擊和漏洞產生了濃厚的興趣，隨之與網絡安全結下了不解之緣。

【編輯推薦】