最近企業(yè)界信息安全事故頻出，從阿里數(shù)據(jù)泄露到華住集團(tuán)住宿信息數(shù)據(jù)泄露，這些核心數(shù)據(jù)的流出將所涉企業(yè)推到風(fēng)口浪尖，CIO更是焦頭爛額。

數(shù)據(jù)正成為企業(yè)資產(chǎn)與核心，而信息安全一直“被重視”了很多年，在這種重視下仍然是各企業(yè)謹(jǐn)小慎微式的“小預(yù)算”。當(dāng)信息安全在今天云計算等新技術(shù)沖擊下變得沒有邊界時，企業(yè)到底該如何防護(hù)住自己的核心?

楊寧----新東方信息安全主管，采訪到他緣于參加在中關(guān)村大街上舉辦的一次青藤云的媒體活動，筆者被攔在天橋下詢問“姐，你是否需要英語培訓(xùn)數(shù)據(jù)?”教育行業(yè)，無疑是數(shù)據(jù)泄露最多的行業(yè)之一。

新東方作為中國最為出名的教育科技集團(tuán)，其信息安全防護(hù)措施是什么?他們?nèi)绾慰创壳暗陌踩厔?

上圖為：新東方集團(tuán)安全負(fù)責(zé)人楊寧

信息安全和企業(yè)業(yè)務(wù)共生共存

很多人認(rèn)為信息安全跟企業(yè)的關(guān)系是保障，是支撐，也有人認(rèn)為是引領(lǐng)，但楊寧認(rèn)為，信息安全和企業(yè)業(yè)務(wù)已處于共生共存狀態(tài)，企業(yè)的每一條業(yè)務(wù)線都應(yīng)該融入信息安全，每一個業(yè)務(wù)應(yīng)用都應(yīng)該考慮到信息安全，一款產(chǎn)品的開發(fā)應(yīng)該有安全部分的功能，這個功能需要與業(yè)務(wù)需求、用戶需求同等重要。這是安全對于企業(yè)的價值。

信息安全兩大重點：人的安全管理與業(yè)務(wù)安全管理

首先是人的“安全”管理

信息安全所保護(hù)的范圍廣泛，涉及到人員、物理環(huán)境、應(yīng)用、數(shù)據(jù)等等。信息安全離不開每個員工的參與，人員必須要有參與感，不光是安全團(tuán)隊，IT團(tuán)隊參與，業(yè)務(wù)團(tuán)隊也需要參與進(jìn)來才可以保障企業(yè)安全。

其次是業(yè)務(wù)的“安全”管理

新東方是教育行業(yè)，教育行業(yè)的特點對信息安全提出了一些具體要求：

首先是要保護(hù)新東方所有產(chǎn)出的知識成果和敏感信息。這些敏感數(shù)據(jù)包括客戶的個人信息、員工的個人信息等等，保證信息不泄露。

第二是確保業(yè)務(wù)運營安全、合規(guī)，因為一旦網(wǎng)站不合規(guī)，將面臨關(guān)閉的風(fēng)險，整個業(yè)務(wù)就會停滯，合規(guī)是底限。

第三是保障核心業(yè)務(wù)應(yīng)用的安全持續(xù)穩(wěn)定運營

第四是要實現(xiàn)線上和線下業(yè)務(wù)安全風(fēng)險的可識別、可管理和可控制。新東方目前核心的業(yè)務(wù)都在線上，但線下也有大量業(yè)務(wù)，比如老師的講課過程、與學(xué)員的溝通過程、學(xué)生線下報名的過程，這些過程都可能會涉及到學(xué)員信息的采集，甚至可能會造成泄露。因此，無論是線上還是線下，都需要對這些風(fēng)險制定安全策略。

因此，信息安全并不只是信息安全團(tuán)隊的工作，也不只是IT部門的工作，而是全體員工的責(zé)任。但這種責(zé)任策略需要通過培訓(xùn)、措施的制定予以規(guī)避，構(gòu)建起堅固的安全防護(hù)體系。

三重安全防護(hù)體系

新東方安全防護(hù)體系架構(gòu)分為四個層面：

首先是治理的層面，新東方以風(fēng)險管理為核心，以內(nèi)外部的合規(guī)為基線，制定出新東方整體安全目標(biāo)，并隨著集團(tuán)業(yè)務(wù)戰(zhàn)略做實時調(diào)整。在治理層面，新東方非常關(guān)注員工的安全意識，安全部門也會定期向全員發(fā)出信息安全的提示郵件，提升大家這方面的意識。

第二，管理層面，新東方按國家標(biāo)準(zhǔn)構(gòu)建了完整的信息安全管理體系，涉及到十四個領(lǐng)域。包括安全規(guī)范、標(biāo)準(zhǔn)、如何做?怎么做等等。

第三，技術(shù)層面：

針對物理環(huán)境，對機(jī)房的物理環(huán)境管理、報名的前臺、外呼座席的視頻語音監(jiān)控等方面都做了規(guī)范;

針對基礎(chǔ)架構(gòu)安全，包含網(wǎng)絡(luò)的安全、主機(jī)的安全、終端的安全、賬號的安全。

應(yīng)用安全方面，包括應(yīng)用開發(fā)前，開發(fā)過程中和交付、運營過程中的管控，也在技術(shù)了做出了控制措施。

數(shù)據(jù)安全，包括數(shù)據(jù)權(quán)限，數(shù)據(jù)庫審計，動態(tài)數(shù)據(jù)庫的屏蔽，數(shù)據(jù)的加密要求等等，形成了一套技術(shù)體系。

業(yè)務(wù)安全，新東方通過賬號建立了完整的業(yè)務(wù)風(fēng)控體系。

云安全，新東方以語言培訓(xùn)為核心，其主營業(yè)務(wù)是教育培訓(xùn)、教育產(chǎn)品和教育服務(wù)，圍繞主營業(yè)務(wù)，新東方整體IT大環(huán)境以三個云數(shù)據(jù)中心通過萬兆的環(huán)網(wǎng)互聯(lián)，基于數(shù)據(jù)中心，同時拓展了阿里云，騰訊云平臺，并將其非核心業(yè)務(wù)，放在了公有云上。新東方整體云平臺通過自己的多云平臺管理所有的系統(tǒng)，包括媒體云、外呼云、即時消息云、存儲云、日志云、信息安全私有云平臺等。目前，新東方云平臺承載著集團(tuán)400多個業(yè)務(wù)應(yīng)用。在公有云安全方面，要求服務(wù)商提供安全的服務(wù)，但其觸角是新東方集團(tuán)部署的安全體系，

日常安全運營層面，通過審計評估、審計監(jiān)控等措施，監(jiān)督日常運營安全。

漏洞管理，新東方定期進(jìn)行高危安全漏洞通告的發(fā)布，同時針對這些實時提出的漏洞，責(zé)任到人進(jìn)行修復(fù)。

防護(hù)思路：從安全產(chǎn)品系統(tǒng)建設(shè)向數(shù)據(jù)為核心的平臺能力建設(shè)轉(zhuǎn)變

實際上，網(wǎng)絡(luò)虛擬化之后，虛擬化的多租戶隔離怎么實現(xiàn)?用戶自帶設(shè)備到公司辦公的越來越多，這些設(shè)備怎么管理?安全防護(hù)的邊界越來越模糊，傳統(tǒng)網(wǎng)關(guān)式的防護(hù)已經(jīng)跟不上形勢了。而攻擊的復(fù)雜度在不斷提升，攻擊的工具越來越簡單，在這樣的背景下，單一的安全產(chǎn)品已不能解決企業(yè)所有的安全問題，因此，新東方的整體防護(hù)思路已經(jīng)從產(chǎn)品系統(tǒng)的建設(shè)逐步向以數(shù)據(jù)為核心的平臺能力建設(shè)轉(zhuǎn)變。

新東方以數(shù)據(jù)為核心的平臺能力建設(shè)從網(wǎng)絡(luò)邊界防控開始，讓整個安全架構(gòu)與網(wǎng)絡(luò)盡量解耦，不希望因為網(wǎng)絡(luò)架構(gòu)的限制，導(dǎo)致了安全策略無法部署。利用網(wǎng)絡(luò)解耦加主機(jī)防護(hù)的方式，對全體目標(biāo)進(jìn)行防護(hù)。

安全無邊界將是常態(tài)，平臺化、自動化、智能化將是趨勢

當(dāng)業(yè)務(wù)變得越來越開放和復(fù)雜，固定的防御邊界已經(jīng)不復(fù)存在，而黑客的手段卻越來越多樣化，優(yōu)先使用攔截和防御以及基于策略的控制將危險攔截在外，但高級定向攻擊總能輕而易舉地繞過傳統(tǒng)防火墻和基于黑白名單的預(yù)防機(jī)制，安全威脅已防不勝防的情況下，楊寧說：“新東方的安全團(tuán)隊人并不多，只有五個人。所以我們需要把安全系統(tǒng)做成一個平臺化，自動化，智能化的系統(tǒng)，以盡量減少人的經(jīng)驗投入。”為此，新東方近期部署了青藤主機(jī)自適應(yīng)安全平臺，迄今已運行了兩個月。

據(jù)介紹，新東方使用青藤主機(jī)自適應(yīng)安全平臺，可通過對主機(jī)信息和行為進(jìn)行持續(xù)監(jiān)控和分析，快速精準(zhǔn)地發(fā)現(xiàn)安全威脅和入侵事件，并提供靈活高效的問題解決能力，將自適應(yīng)安全理念真正落地，為用戶提供下一代安全檢測和響應(yīng)能力。同時，通過采用模塊化的組織形式，實現(xiàn)了各功能的智能集成和協(xié)同聯(lián)動。“風(fēng)險發(fā)現(xiàn)”可主動、精準(zhǔn)發(fā)現(xiàn)系統(tǒng)中存在的安全風(fēng)險，提供持續(xù)的風(fēng)險監(jiān)測和分析能力;“入侵檢測”可實時發(fā)現(xiàn)入侵事件，提供快速防御和響應(yīng)能力;“資產(chǎn)清點”可主動識別系統(tǒng)內(nèi)部資產(chǎn)情況，并與風(fēng)險和入侵事件自動關(guān)聯(lián)，提供靈活高效的回溯能力。另外，運行在底層的青藤核心平臺架構(gòu)，是下一代主機(jī)安全能力引擎。其插件化的構(gòu)建方式，不僅具備靈活的擴(kuò)展能力，同時能實現(xiàn)各功能模塊之間無縫聯(lián)動;其分布式的部署方式，能夠應(yīng)對客戶大量任務(wù)下發(fā)和大型攻擊來臨的海量數(shù)據(jù)分析處理，并始終保持穩(wěn)固的性能。

楊寧最后指出：“我認(rèn)為，無邊界安全將是一個長期過程，安全系統(tǒng)的平臺化、自動化、智能化必然是未來趨勢”。