如果说企业是海,数据就是海里的鱼。
一眼看到的,不足千万分之一。想要统计一下这些鱼长得好不好、一共有多少。难。
最开始的时候,大家都下海摸鱼(原始的人工数据处理),后来,开船捕鱼(搞起自动化、智能化大数据处理),但船只有限,掌舵人(企业安全部门人员)有限,几条船“称霸”不了海洋。所以,经常听到安全圈的朋友说,数据安全治理太难做了。
“(网络安全)是为了人类福祉”。
乍一听有点中二,再一听,有点意思。
这句话被锐少,也就是今天的主角赵锐反复说到。这是一个曾在游戏里和好友互称“少侠”,最后顶着“锐少”这个名字在安全圈行走十几年的网安人,或者用锐少的话来说,一个网络安全布道者。
或许,一些人对锐少(赵锐)这个名字会有点耳熟,没准你可能在国家网络安全宣传周的公益培训上,Open Group年度峰会、C3安全峰会、CIFI安全峰会、DevOps国际峰会甚至FreeBuf过往举办的安全峰会上听过他的演讲,又或者,在一些信息安全专业书籍、报告里见过他的名字。
赵锐(锐少),世界500强企业中国区信息安全和风险负责人,联合国ITU-T DevOps国际标准核心编写专家、国家网络安全周(上海地区)网络安全金牌讲师、CSA云安全联盟专家、上海市信息网络安全管理协会专家、金融网络安全优秀解决方案评委、GOPS金牌讲师、GOPS优秀讲师、上海新金融风险实验室安全专家、CCSF优秀首席信息安全官、网络安全公益大使、诸子云上海会长。
再多介绍先就此打住,先来聊聊一些更有意思的事情。
网络安全“三道口”
十几年前,锐少的面前摆着2条路:金融机构or电网。这是父母辈的期望。但是,走一条不一样的路,去看规划以外的风景,这个念头一直埋在了他心里。
九十年代,锐少拥有了人生中的第一台电脑。那个高中毕业的暑假里,他郑重地填下了计算机专业的志愿,也是在那段时间,折腾着家里的电脑开发web相关软件,结果发现了微软浏览器的一个JAVA漏洞。当时把漏洞上报给微软中国社区后,锐少甚至收到了邀请,请他去参加微软技术大会TechEd。
不过,最后没去成。因为门票免费,路费自理,当时的穷学生果断放弃之。当然,最后还是收到了一件微软技术大会TechEd的纪念冲锋衣作为漏洞奖励……
从十几岁到过了三十而立,锐少对于计算机网络的好奇和兴趣好像一直没有消失,就像2005年的毕业季,他决定放弃国家电网的工作机会,接下了信雅达的offer。他做好了走自己想走的这一条路的准备。
如果说,在15年的走向网络安全的工作历程中,信雅达是一个开始——在那里锐少负责开发风险预警系统,管理银行业务安全风险,了解了银行所有零售业务、公司业务和个人银行卡的业务逻辑及相关风险。那么,2007年,一定是一个重要的转折点。
这一年,锐少为爱情奔赴上海。
因为对银行业务安全的工作经验,锐少收到了来自银联的橄榄枝。他真正从开发、风控转向网络安全,几个契机都发生在银联的4年里。
彼时,上海作为等保的试点,而金融行业又一向是政策先行区,这样的背景下,锐少被委任全权负责等保的落地工作,这让他在法规层面对于网络安全有了全面的直观的了解。后来,由于银联开展PCI DSS(支付卡行业数据安全标准)项目——全球最严格、级别最高的金融数据安全认证标准。主要针对支付卡行业数据安全,降低持卡人数据在支付处理环节被泄露的安全风险。这个阶段,由于当时是国内首个PCI DSS项目,所以团队也是摸着石头过河,从0到1,从数据安全标准、保护持卡人数据,维护漏洞管理程序到保障支付卡安全地一步步推进。可以说,等保和PCI DSS在银联的逐步落地,见证了锐少在网络安全领域的成长轨迹:将网络安全相关的内容融会贯通,也在漏洞扫描和渗透测试方面有了更多的学习和积累。
至于第三个契机,则是前文提到的“安全布道者”。正逢银联准备建立企业讲师体系,锐少听闻后自告奋勇,又因为口才好能力强,顺利地成为了银联的企业内部讲师。将自己的网络安全认知与经验通过生动有趣的方式传播给更多的人,安全布道就此成为锐少的一个关键标签。(后来,他连续多年参加国家网络安全宣传周的公益培训,给多个政府部门、各类院校、企事业单位分享网络安全、信息安全。)
上海给他留下了爱情和面包,还有理想。
术业有专攻
不是所有人都有一样的数据安全意识
2011年,锐少加入了农商银行。当时,农商银行正在准备建设新一代核心银行系统,锐少又被委任负责新一代的整体数据安全,参与核心数据分类分级(包括客户数据、源代码、生产密钥,生产运维和业务运营过程中的重要数据)并采取合适的保护措施。此后,他先后参与并推动了开发测试数据变形的标准和方案以及桌面虚拟化的落地,在开发测试环境中使用人造数据或是变形数据,以此保护农商银行生产数据安全。
或许是金融机构的人总是对数据安全更敏感一些吧,其实从2007年开始,因为负责PCI DSS的原因,锐少就开始关注金融数据安全问题,尤其是持卡人数据的安全。他还负责过某银行信用卡核心系统从新加坡迁移到上海项目的数据安全,在项目中积累了丰富的数据安全经验。
数据就像石油一样,重要性不言而喻。4月9日,中央发布重磅意见《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》,数据首次正式被纳入生产要素范围,文件中还提出需要加强数据资源整合和安全保护。而早在2015年,Gartner研究中已经提出了数据安全治理这一概念和相应的原则与框架。过去的一年里,我国更是一直致力推动数据隐私保护与合规。
但是,数据安全事件依然在全球范围内几乎每天都在发生。在个人、企业乃至国家对数据安全与隐私保护的高度重视之下,是数据安全事件频出的现实矛盾,而矛盾的出路或许就在数据安全治理上。
锐少认为,身为安全从业者、IT从业者甚至企业法务人员,由于自身职能,一般会相对确切地知道数据安全与合规的重要性,日常对于数据泄露网络攻击时刻关注,但除他们之外的业务、市场、人力资源、财务等等其他部门,对数据安全的认识的水位线是不一样的。
这种对数据安全的认知偏差、重视程度有别都是阻碍企业数据安全治理的首要问题。但这个问题无关对错,只是大家的角色不一样,工作职能有区别。对此,企业可以通过培训和内部数据安全规范的制定来弥补这种安全意识上的差距。
1、人员意识
开展定期的内部人员安全意识培训,让数据安全融入企业的文化之中。对于新出台的法律法规、重大安全事件、监管通报,以每季度乃至每个月为周期,通过邮件、易拉宝或海报的形式,进行全员宣传。在安全意识培训下,潜移默化地提升员工对数据的安全敏感。
2、流程制定
在人员有了安全意识后,还需要有相关行为依据作为参考。企业可以参考最佳实践,结合国家的法律法规,制定数据安全的规章制度,明确红线。
3、技术补充
技术作为补充手段,进一步保障企业数据安全。如控制数据只能存储在企业服务器,员工有权利进行登录访问但不能本地下载等。
锐少认为,“每个人都要对安全负责”,这是企业应该传递给每一个员工的理念。当所有人都有了基本的安全意识后,企业的内防才能有效。
数据安全治理
独木难成舟
数据的流动性,海量性,导致很多企业对于已有数据看不全理不清,加上网络安全部门在人力物力方面的权利有限,这些都是企业数据安全治理面临的现实问题。
数据安全治理的思路,是将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。核心5个字:独木难成舟。所以还是那句话,“每个人都要对安全负责”。
安全部门忙不过来指挥不动?
数据安全治理不是一个部门的事,要做,就要拉上利益相关部门一起做。比如,风控合规部门要处理数据使用过程中的风险与合规问题,法务部可以处理有关数据合作过程中的法律问题…………
1、数据安全治理为什么要“一起做”?
数据安全问题一出,相关部门同样有责任,要承担对应风险;
数据规范化、标准化以后,相关部门是受益者,比如业务部门更容易获取、分析、应用数据,可以直接推动公司业务发展。
当安全部门站在其他部门的角度思考他们的需求,可以将利益相关部门联合起来。第一步,建立一个数据安全治理委员会(也可以叫别的名字,总之是一个专门的企业数据安全治理机构),确定落实和监督不同环节的数据安全治理是由谁长期负责,也就是每个部门需要选出数据安全治理负责人和联系人,保证责任到人。第二步,梳理企业所有的业务流和数据流,明确数据安全治理的策略和流程,以及制定面向企业内部的、外部供应商的统一数据质量要求和标准。第三步,数据安全技术支持。
在“命运共同体”的理念下,安全部门一定要牵头,让更多部门参与整体性系统化的数据安全治理,这个过程中,业务等其他部门能够更深刻地了解到安全的重要性并自然纳入流程之中,安全部门也能更深入业务,对于开展业务安全工作有很大的帮助。
2、企业存在运行已久的老旧系统,隐藏数据安全隐患?
面对“历史遗留问题”,如何用最小的成本,最高的效率去解决。首先,安全部门要帮助公司揭示数据安全风险,通过对系统的业务流和数据流进行梳理,将存在的安全风险及可能造成的损失都梳理罗列出来,然后和相关部门沟通,沟通重点在于:这些风险对于公司的业务会造成怎样的危害和损失;在合规需求下,这些安全问题让企业不能满足监管要求;一旦引发数据泄露事件,相关部门都有不可推脱的责任;最后,只需要从每年的系统运维、改造的费用中拿出一部分经费去解决问题即可。
最后,其实我们还谈到了这些:
锐少说,“在这个(网络安全)圈子里,你努力了就会有回报,你所接触的同行大多数是诚实可信的人,是能够依赖、一同进步的伙伴。很多时候,大家也愿意来分享工作中踩过的坑,而分享者也能收获成就感。”
所以,他始终热衷于布道、演讲分享,一方面是希望能够在网络安全周,网络安全进校园等活动的宣传中,提升普通大众的网络安全意识,尽可能降低网络诈骗等日常网络攻击事件,另一方面,虽然中国在网络安全领域起步比较晚,但是希望安全圈内前辈的有效分享,能够帮助新人迅速地成长,助力中国网络安全行业发展。
网络安全是为了人类的福祉。他想得挺简单,做得也很认真。
*本文作者:kirazhou,转载请注明来自FreeBuf.COM