從安全核心轉(zhuǎn)變看新東方的安全攻略

劉沙

隨著IT技術(shù)不斷發(fā)展，網(wǎng)絡(luò)攻擊的方式和手段越來越多樣，讓企業(yè)防不勝防。作為中國(guó)大陸首家海外上市的教育培訓(xùn)機(jī)構(gòu)，新東方是如何實(shí)現(xiàn)安全防護(hù)的？

2018年3月18日，全球最大的社交網(wǎng)絡(luò)服務(wù)網(wǎng)站Facebook被爆出數(shù)據(jù)外泄，超過5000萬用戶數(shù)據(jù)被濫用，導(dǎo)致Facebook股價(jià)大跌，市值蒸發(fā)360億美元；

8月3日，全球芯片代工業(yè)市場(chǎng)占有額超過56%的臺(tái)積電遭受WannaCry勒索病毒攻擊，造成生產(chǎn)線停擺近三天，直接損失高達(dá)17.6億元。

8月28日，擁有漢庭、全季、宜必思、禧玥等10余個(gè)酒店品牌的華住集團(tuán)被曝出客戶數(shù)據(jù)在網(wǎng)上被兜售，包括140G約5億條數(shù)據(jù)信息，涉及用戶1.3億人次，其規(guī)模之大、范圍之廣、影響之深，令人震驚……

近年來，企業(yè)遭受網(wǎng)絡(luò)攻擊或出現(xiàn)網(wǎng)絡(luò)安全事故的新聞一直層出不窮，數(shù)不勝數(shù)。正所謂“道高一尺，魔高一丈”，隨著IT技術(shù)不斷發(fā)展，網(wǎng)絡(luò)攻擊的方式和手段越來越多樣，讓企業(yè)越來越防不勝防。新東方教育科技集團(tuán)信息安全負(fù)責(zé)人楊寧對(duì)此也深有感觸。

從“以產(chǎn)品為核心”到“以數(shù)據(jù)為核心”

有著近二十年信息安全從業(yè)經(jīng)驗(yàn)的楊寧告訴記者，當(dāng)前，新東方在信息安全領(lǐng)域主要面臨著4個(gè)難題：

其一，受網(wǎng)絡(luò)虛擬化和BYOD的趨勢(shì)影響，企業(yè)安全防護(hù)的邊界越來越模糊，通過網(wǎng)關(guān)實(shí)現(xiàn)的防護(hù)越來越難；

其二，攻擊復(fù)雜度越來越高，攻擊成本和門檻越來越低，黑客工具越來越智能；

其三，由于《網(wǎng)絡(luò)安全法》、歐盟GDPR的實(shí)施，對(duì)企業(yè)的合規(guī)要求越來越高，企業(yè)安全合規(guī)壓力越來越大；

其四，單一的安全檢測(cè)產(chǎn)品難以應(yīng)對(duì)多態(tài)病毒、零日攻擊、高級(jí)持續(xù)性威脅等各類安全威脅。

面對(duì)這些挑戰(zhàn)，新東方的安全防護(hù)思路也發(fā)生了轉(zhuǎn)變，從過去以產(chǎn)品和系統(tǒng)為核心，轉(zhuǎn)變成現(xiàn)在以數(shù)據(jù)為核心。過去安全防護(hù)的主要措施是網(wǎng)絡(luò)邊界防護(hù)、安全產(chǎn)品部署、安全系統(tǒng)建設(shè)、特征檢測(cè)，現(xiàn)在則是網(wǎng)絡(luò)解耦+主機(jī)防護(hù)、安全大數(shù)據(jù)整合+實(shí)時(shí)分析、安全能力建設(shè)和行為異常檢測(cè)。

于是，基于自身所處的教育行業(yè)特點(diǎn)、公司的業(yè)務(wù)需求，以及法律法規(guī)的合規(guī)要求，新東方對(duì)信息安全提出了明確的方向：保護(hù)知識(shí)成果和敏感數(shù)據(jù)信息不泄露；確保業(yè)務(wù)運(yùn)營(yíng)安全合規(guī)；保障核心業(yè)務(wù)應(yīng)用安全、持續(xù)、穩(wěn)定運(yùn)營(yíng)；實(shí)現(xiàn)線上及線下業(yè)務(wù)應(yīng)用和活動(dòng)中的信息安全風(fēng)險(xiǎn)可識(shí)別、可管理、可控制。

安全與業(yè)務(wù)應(yīng)共生共存

楊寧指出，由于信息安全涉及的范圍包括物理環(huán)境、人員、系統(tǒng)、應(yīng)用和數(shù)據(jù)等多個(gè)領(lǐng)域，所以對(duì)企業(yè)來說，信息安全不應(yīng)該只是信息安全部門的工作，而是需要每個(gè)員工的參與和行動(dòng)。

為此，新東方設(shè)立的信息安全架構(gòu)涵蓋了4個(gè)層面：

信息安全治理，包括組織戰(zhàn)略、風(fēng)險(xiǎn)控制、安全合規(guī)和意識(shí)教育。“我們主要以風(fēng)險(xiǎn)管理為核心，以內(nèi)外部合規(guī)為基線，根據(jù)集團(tuán)戰(zhàn)略去實(shí)時(shí)調(diào)整，定期的通過漫畫、視頻、期刊、測(cè)評(píng)等方式進(jìn)行全員的信息安全意識(shí)宣傳。”

信息安全管理，包括安全策略、安全組織、人員安全、資產(chǎn)管理、訪問控制、密碼管理、物理安全、操作安全、通訊安全、開發(fā)維護(hù)、供應(yīng)商管理、安全事件、業(yè)務(wù)連續(xù)性和合規(guī)性；

信息安全技術(shù)，包括云安全、物理安全、基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全和業(yè)務(wù)安全六大領(lǐng)域；

信息安全運(yùn)營(yíng)，包括審核評(píng)估、審計(jì)監(jiān)控、應(yīng)急響應(yīng)、漏洞管理和安全基線。

“事實(shí)上，對(duì)于企業(yè)來說，安全和企業(yè)業(yè)務(wù)的關(guān)系已經(jīng)不僅僅是保障、支撐、引領(lǐng)業(yè)務(wù)的關(guān)系，而是共生共存的關(guān)系。”楊寧向記者強(qiáng)調(diào)，“信息安全應(yīng)該融入到企業(yè)的每一條業(yè)務(wù)線和每一個(gè)業(yè)務(wù)應(yīng)用中。每一款產(chǎn)品的開發(fā)都應(yīng)將安全作為基本功能進(jìn)行架構(gòu)設(shè)計(jì)，安全功能的重要性等同于業(yè)務(wù)功能。”

據(jù)介紹，新東方當(dāng)前的IT環(huán)境是由3個(gè)萬兆環(huán)網(wǎng)互聯(lián)的私有云數(shù)據(jù)中心構(gòu)建而成，在私有云PaaS平臺(tái)上已經(jīng)部署了媒體云、外呼云、IM云、容器云、數(shù)據(jù)云、存儲(chǔ)云、日志云、安全云，新東方有400多個(gè)業(yè)務(wù)應(yīng)用都在之上運(yùn)行，此外，還有部分業(yè)務(wù)應(yīng)用放在阿里云和騰訊云的公有云上，由多云平臺(tái)進(jìn)行統(tǒng)一管理。目前，信息安全私有云平臺(tái)正在建設(shè)完善中，信息安全能力平臺(tái)將以私有云模式為集團(tuán)各業(yè)務(wù)提供自服務(wù)。

選對(duì)主機(jī)安全防護(hù)系統(tǒng)

楊寧告訴記者，新東方希望打造一個(gè)智能化、可視化、能自服務(wù)、能實(shí)時(shí)感知威脅、能分析攻擊過程和確認(rèn)攻擊源、能自動(dòng)響應(yīng)攻擊處理和攔截的信息安全能力平臺(tái)。因此，在主機(jī)安全防護(hù)方面，他主要關(guān)注系統(tǒng)功能、Agent、廠商及產(chǎn)品。

所以，在選型時(shí)，除了功能、性能和部署模式必須滿足新東方的需求，楊寧還會(huì)考慮豐富和有價(jià)值的數(shù)據(jù)輸出，以及服務(wù)接口的多樣性和可集成性。

經(jīng)過半年的調(diào)研，在評(píng)估了多個(gè)公有云類、開源類和成型的企業(yè)端產(chǎn)品后，新東方選擇了青藤主機(jī)自適應(yīng)安全平臺(tái)。

據(jù)了解，部署主機(jī)安全防護(hù)系統(tǒng)主要解決了主機(jī)層面入侵發(fā)生時(shí)的問題：

入侵前：漏洞檢測(cè)及基線檢查彌補(bǔ)了網(wǎng)絡(luò)漏洞掃描的缺陷。

入侵中：不僅基于特征防范已知的入侵方法或后門，還能基于異常檢測(cè)防范未知的漏洞或病毒攻擊。同時(shí)，可以快速部署的蜜罐功能幫助捕獲來自內(nèi)部的蠕蟲或橫向滲透攻擊。

入侵后：將主機(jī)安全入侵事件人工調(diào)查取證時(shí)間降低了80%，而且入侵過程和行為識(shí)別更加精準(zhǔn)，提升了應(yīng)急響應(yīng)效率。

楊寧補(bǔ)充到：“青藤的主機(jī)自適應(yīng)安全平臺(tái)不僅幫助我們?cè)谥鳈C(jī)安全層面建立起了一個(gè)實(shí)時(shí)有效的防護(hù)體系，還拓展了我們?cè)谶h(yuǎn)程分支機(jī)構(gòu)及公有云端的系統(tǒng)安全防護(hù)能力。”