在信息爆炸的时代,信息安全成为近年来老生常谈的话题。尤其作为电商的安全运维人员来讲,他们拥有着大量的用户信息,保障用户的信息安全成为他们的一大职责,为了对电商安全运维工作有一个更加清晰的认识,绿盟科技绿盟云联合IT168网络安全频道记者对万达网络科技集团的(安全)主任工程师林鹏先生进行了独家专访,林鹏先生认为作为电商来讲,要将用户的信息安全放在首位,其次才是资金安全,接下来就让我们一起去了解一下本次专访都说了些啥。
▲万达网络科技集团(安全)主任工程师 林鹏
IT168:林鹏您好!很荣幸有机会采访到您,请您简单介绍下目前您在万达网络科技集团所负责的内容。
林鹏:万达网络科技集团的电商平台名为“飞凡网”,我目前所负责的内容分为以下两个方面:一、风控;二、信息安全。在信息安全方面主要包括建立防御体系、流程制度管理、开发IDS,基于storm的实时攻击分析引擎、agent扫描器、流程方面制度规范、上线审核、ISO27000认证等内容。
IT168:能否简单的介绍下万达电商的在安全方面的投入占比如何?万达电商在云计算方面又做了哪些努力?
林鹏:对于网络安全,万达电商上下都很重视,目前拥有二十多人的团队。在投入方面,我们设立了专项资金、设备,并通过外聘其他公司来进行安全扫描渗透测试。在云计算方面,我们在成都的云基地占地一千多平,可提供标准中等密度机柜1700多个,支持超过25000台服务器的全年不间断运行。目前也在谈和IBM合作公有云,将要开始云的尝试,模式可能会类似于微软的Azure。
IT168:万达电商在安全人才的培养和任用上是怎样进行的?
林鹏:我们在人才的任用上主要是依靠高薪+福利的形式进行,万达电商的安全工作人员能够享受公司福利,譬如万达拥有自己的有机农场,员工三餐均来自于万达自己的有机农场。人才培养方面主要是依靠外部招聘和内部交流培训为主,也依靠一些社交媒体发现一些比较有能力的人才并引进来。
IT168:前不久京东内部人员外泄50亿条个人信息事件引起不小的轰动,那万达电商在对内部人员的监管方面都做了哪些?此外您认为内网安全和外网安全哪个更重要一些?
林鹏:在对用户个人信息的防护方面,我们做了很多的工作,在数据防泄漏方面,主要依靠对个人信息进行处理、流程制度(比如搞活动需要运营数据走OA系统申请,在安全部门监督下完成;大数据平台系统对接,不能落地;系统对系统、审计权限访问等等有日志记录;上线时候开发人员和数据库分开、DBA操作有堡垒机……)、技术手段、运维开发业务制度几方面加强。
首要任务是保障用户信息的安全,其次才是资金安全。影响资金安全的主要是刷单行为,我们的团队有三个工作职责:自己建立安全团队开发系统、流程制度上线合规安全审核的制度以及安全教育培训。
IT168:目前黑产市场的发展很是猖獗,譬如勒索软件等给企业带来了诸多困扰,万达电商在面对这类问题时都做了哪些工作?
林鹏:目前主要依靠教育进行防范,我们经常会组织一些模拟攻击,钓鱼邮件来教育员工,尤其是非技术人员,比如财务、行政、销售等文职类岗位,提高他们的安全教育。当然除了勒索软件以外,我们也要对信息窃取、APT攻击、黑产、羊毛党、等进行防范。
IT168:安全厂商过多也会给企业带来很多困扰,数家、十数家甚至于数十家安全厂商的解决方案冗杂在一起对管理会有一定的影响,万达电商在对这些产品的管理方面都做了哪些工作?此外你对于业界提出的协同联动、构建安全生态的口号是怎么理解的?
林鹏:万达电商在运维工作上确实也面临着此类困扰,是选择all in one设备好还是分开比较好也一直困扰着我们。每一个客户端在外网做的都很好,但如何管理好每一个客户端是一个难点。
对于一些安全事态月报这样的推送信息我觉得挺没意思,我希望知道的信息是实时安全事件分析,比如如果我被攻击了,对方是通过什么样的方式攻击的我,我该怎么办,别人应该如何做免遭攻击这样的干货,而不是无意义的过去式文章。再例如真的出现了一个漏洞,最好也应该告诉我们是不是真的有漏洞,危害点在哪里,而不是恐吓式,类似UC震惊部一样的标题党发标题到处刷存在感.
IT168:第四届4.29首都网络安全日刚刚闭幕,在您看来未来的一段时间内,网络安全将有怎样的发展趋势,针对这些发展趋势,您对企业运维安全的工作有哪些可行的建议?
林鹏:通过方程式漏洞的事件可以发现,未来的发展趋势基于异常行为,而非关键字匹配,安全就是你和攻击者谁更快地发现,谁快谁有优势。在运维安全建设方面我们也应该分类讨论:
大型企业:边界广,受攻击范围越大,在运维工作中各个方面都需要引起注意。
中小型企业:安全不能绑架业务,首先要考虑如何活下来的问题,利用公有云的初级防护,别埋大坑,关注一些技术方面的东西,在注入上传漏洞、框架等最基础的方面注意,同时规范运维,借鉴大公司的经验,开发运维环境分开,多注意一些细节问题。
作为运维工作人员要拥有责任心,能够及时对敏感信息进行处理。要有完善的制度流程,但更要有实战。
小结:万达网络科技集团作为拥有诸多用户信息的企业,本着对用户负责的态度将用户的信息安全作为首要防护对象。今年六月份我国首部网络安全法将正式实施,也会对企业的网络安全起到规范完善作用,但仅仅靠法律的约束是远远不够的,企业的自觉和对用户负责的态度才是企业应有的基本原则。