史經(jīng)偉  中信建投證券信息技術(shù)部VP

　　五六年前，那個(gè)時(shí)候只有一個(gè)人專職做安全。計(jì)算機(jī)都是（英）會(huì)選擇防病毒軟件。這些活很瑣碎，占據(jù)了這個(gè)人幾乎所有工作，后來(lái)又來(lái)一個(gè)人負(fù)責(zé)邊界防御，也是理所當(dāng)然的，辦公筆記本、辦公終端、服務(wù)器終端都做了防病毒控制，根據(jù)預(yù)控做了同步管理。接下來(lái)到很傳統(tǒng)的邊界防御過(guò)程中，做安全的人都知道防火墻、IPS、IBS逐漸出現(xiàn)網(wǎng)絡(luò)安全的事兒。

　　對(duì)于券商來(lái)說(shuō)，有一個(gè)比較多的工作量，營(yíng)業(yè)部聯(lián)合總部，光是介紹都會(huì)覺(jué)得活非常多，兩個(gè)人占據(jù)了所有的工作量。后來(lái)又來(lái)一個(gè)人做安全審計(jì)，為什么專門把安全審計(jì)放在第三個(gè)位置？領(lǐng)導(dǎo)覺(jué)得外部（音）的審計(jì)、內(nèi)部的審計(jì)、機(jī)關(guān)審計(jì)部的審計(jì)工作量越來(lái)越多。這個(gè)活誰(shuí)來(lái)干？放到安全審計(jì)里陪同他們做這件事，還有對(duì)IT內(nèi)部做審計(jì)這件事。

　　再往下才有了應(yīng)用安全，應(yīng)用安全這塊是來(lái)做的事。之所以寫(xiě)應(yīng)用安全，但是沒(méi)有說(shuō)SDL，大家如果做過(guò)SDL知道這張圖是SDL圖。為什么寫(xiě)應(yīng)用安全？可以裁減的一定要裁減。SDL實(shí)現(xiàn)應(yīng)用安全沒(méi)有錯(cuò)，實(shí)現(xiàn)應(yīng)用安全要全部上，業(yè)界實(shí)現(xiàn)SDL，這件事對(duì)公司來(lái)說(shuō)是裁減的事情，裁減完之后再回來(lái)落地，我們是需要控制住幾個(gè)關(guān)鍵的點(diǎn)。安全審計(jì)、安全評(píng)估、上線前的測(cè)試，再通過(guò)流程做控制，這幾個(gè)點(diǎn)控制之后，即使沒(méi)有整體去過(guò)SDL這件事，沒(méi)有建大平臺(tái)做SDL這件事，但是應(yīng)用安全建立了全生命周期管控的方式。

　　現(xiàn)在團(tuán)隊(duì)大概5個(gè)人左右，這個(gè)時(shí)候初步建立起PC的閉環(huán)，才有了持續(xù)改進(jìn)的方式，去囊括網(wǎng)絡(luò)終端應(yīng)用等等幾個(gè)層面，才會(huì)去從整體的安全建設(shè)方面去考慮事情。這個(gè)時(shí)候問(wèn)題緊接著而來(lái)，這個(gè)活基本上是以單位為主，人負(fù)責(zé)領(lǐng)域。這個(gè)時(shí)候這么多的設(shè)備產(chǎn)生告警該怎么做？每一個(gè)設(shè)備都要去盯著它?，F(xiàn)在的量是非常大的，一億三千萬(wàn)條的安全相關(guān)認(rèn)證，150次年均安全評(píng)估，上線之后在我們這兒過(guò)流程跟基線碰一下，50+次的上線代碼審計(jì)測(cè)試。這么多的工作量5個(gè)人干嘛？考慮到集中運(yùn)營(yíng)、統(tǒng)一管理的方式去做。

　　最終解決方案是通過(guò)“3+1”方式。3是指3個(gè)平臺(tái)，1是指1套流程。大概看一下3和1分別有什么東西。

　　首先，兩個(gè)平臺(tái)關(guān)注程度比較高：一個(gè)是安全運(yùn)營(yíng)平臺(tái)、一個(gè)是本地威脅情報(bào)平臺(tái)。安全運(yùn)營(yíng)平臺(tái)從網(wǎng)絡(luò)終端接收日志、告警流量。本地威脅情報(bào)是做內(nèi)部情報(bào)和購(gòu)買外部情報(bào)員做外部情報(bào)。這兩個(gè)是雙輪驅(qū)動(dòng)的方式。同時(shí)，安全運(yùn)營(yíng)平臺(tái)和本地威脅情報(bào)平臺(tái)是互為驅(qū)動(dòng)的方式，安全運(yùn)營(yíng)平臺(tái)可以產(chǎn)生聚合的情報(bào)吐給本地威脅情報(bào)平臺(tái)，本地威脅情報(bào)平臺(tái)作為安全平臺(tái)的重要支持，接下來(lái)進(jìn)一步看怎么處理。

　　辦公終端、服務(wù)終端、網(wǎng)絡(luò)，不管是設(shè)備、硬件、軟件，提供自己的資產(chǎn)信息給安全運(yùn)營(yíng)平臺(tái)，安全運(yùn)營(yíng)平臺(tái)接收本地威脅情報(bào)作為情報(bào)賦能，把這兩塊東西做融合，產(chǎn)生的東西做安全編排。目前是跟防火類的設(shè)備做自動(dòng)化空間。本地威脅平臺(tái)是從外部和內(nèi)部?jī)蓚€(gè)方式接收情報(bào)，外部情報(bào)員采用的是3+的方式，如果情報(bào)之間有相互沖突，以多數(shù)為主。安全運(yùn)營(yíng)平臺(tái)正在打造成為安全工作的唯一入口，需要干什么工作都從這上面。

　　這套流程是剛才前面講過(guò)運(yùn)營(yíng)安全的流程，大家都很熟悉這個(gè)模型，是傳統(tǒng)的V字型的軟件開(kāi)發(fā)生命周期模型。對(duì)于現(xiàn)在經(jīng)常講的（英），本質(zhì)上是這個(gè)模型的縮寫(xiě)、精簡(jiǎn)以及環(huán)節(jié)的減少。對(duì)于整體的流程來(lái)說(shuō)，現(xiàn)在采取在關(guān)鍵點(diǎn)去做控制的方式，而非整體做SCO這件事，SCO對(duì)于我們太重，所以選擇可裁減的方式做。

　　目前在做的是需求分析的做安全評(píng)審，項(xiàng)目向安全評(píng)審流程，不經(jīng)過(guò)過(guò)流程立項(xiàng)立不起來(lái)。我們發(fā)現(xiàn)有一些廠商實(shí)現(xiàn)了自動(dòng)化方式，點(diǎn)選功能就能夠出現(xiàn)安全機(jī)器人，這個(gè)功能非常好。在往后走代碼審計(jì)安全測(cè)試，通過(guò)應(yīng)用系統(tǒng)上線流程和升級(jí)包的升級(jí)流程做控制。什么意思？自己做代碼審計(jì)、自己做安全測(cè)試，我們提供平臺(tái)和服務(wù)，做完把它改了之后放到上線流程和升級(jí)包的升級(jí)流程里，帶著已經(jīng)修復(fù)問(wèn)題的報(bào)告放到流程里，審核通過(guò)沒(méi)有問(wèn)題上線。

　　ITGRC的平臺(tái)，承接前面剛才講過(guò)的IT審計(jì)主要工作。從三個(gè)方面去做：策略管理、審計(jì)管理和風(fēng)險(xiǎn)值。策略管理跟下面的設(shè)備、終端去做具體策略的收集、指標(biāo)匯聚，審計(jì)管理是流程方面的東西，誰(shuí)要去填東西，誰(shuí)要去審批。最后風(fēng)險(xiǎn)值通過(guò)幾個(gè)指標(biāo)去做展現(xiàn)。

　　整體“3+1”的流程是這樣的，ITGRC平臺(tái)作為剛才講過(guò)的兩個(gè)平臺(tái)加一套流程的審計(jì)，全程審計(jì)。ITGRC作為持續(xù)改進(jìn)非常重要的點(diǎn)推動(dòng)剛才講的安全運(yùn)營(yíng)平臺(tái)、本地威脅情報(bào)平臺(tái)，這一套流程的推動(dòng)不斷優(yōu)化。

　　最近剛剛改過(guò)上線的（英）證券基金信息技術(shù)管理辦法要求重大變更和重大的系統(tǒng)上線工作需要提交相關(guān)報(bào)告才能做，必須把剛才講過(guò)證監(jiān)會(huì)要求報(bào)告放到流程里才能通過(guò)。通過(guò)流程控制，而非簡(jiǎn)單通過(guò)技術(shù)，這是一種傳統(tǒng)的技術(shù)，通過(guò)流程做控制是一件硬性的事情，必須做，而且介紹工作量。你要帶著已經(jīng)修復(fù)好的問(wèn)題，到我這兒來(lái)才可以通過(guò)。

　　剛才講過(guò)“2+1”、“3+1”平臺(tái)之后有了初步的PPDR模型，通過(guò)情報(bào)做預(yù)測(cè)的功能和安全運(yùn)營(yíng)平臺(tái)做快速響應(yīng)方式。安全運(yùn)營(yíng)平臺(tái)在做進(jìn)一步優(yōu)化，每一個(gè)安全告警希望通過(guò)頁(yè)面點(diǎn)選方式后面確認(rèn)與否和怎么處理的標(biāo)準(zhǔn)化模板。安全運(yùn)營(yíng)平臺(tái)通過(guò)入口更重要，包括預(yù)測(cè)、預(yù)判和全流程過(guò)程。

　　前面用1—5個(gè)人方式展現(xiàn)團(tuán)隊(duì)成員的情況，2016年做基礎(chǔ)建設(shè)，縱深防御體系建設(shè)，建立安全防護(hù)體系，2017年初步建立安全運(yùn)營(yíng)體系，搭建安全運(yùn)營(yíng)中心提升事件響應(yīng)和發(fā)現(xiàn)的能力，對(duì)信息文件做了可量化的處理。2019年，也就是今年主要做深耕安全運(yùn)營(yíng)中心能力，并且給它威脅情報(bào)賦能。到2020年，希望進(jìn)一步提供加強(qiáng)自主可控方面的能力，能夠組建自有的專業(yè)服務(wù)團(tuán)隊(duì)，根據(jù)公司的實(shí)際情況提供服務(wù)，安全組件提供可以讓他們很快嵌入自己研發(fā)流程里的安全模塊，實(shí)現(xiàn)安全器服務(wù)方式。

　　在后面還會(huì)講其他的，正好匹配到第一點(diǎn)。剛才講到了團(tuán)隊(duì)一共有五個(gè)人，各種原因有五六個(gè)是來(lái)回。如果沒(méi)有這五個(gè)人能做更多的事情嗎？當(dāng)然是不能。從自己運(yùn)營(yíng)工作當(dāng)中每個(gè)人工作量非常的飽滿，來(lái)一個(gè)人要承擔(dān)起條線工作的情況。未來(lái)還會(huì)對(duì)安全運(yùn)營(yíng)中心做進(jìn)一步的深耕細(xì)化，安全日志、安全的告警事件都是通過(guò)規(guī)則的方式來(lái)做的，今后計(jì)劃通過(guò)機(jī)器學(xué)習(xí)非規(guī)則、沒(méi)有明顯特征的方式模型去發(fā)現(xiàn)更深層次的事件。這個(gè)時(shí)候需要招更多的人，這件事也跟領(lǐng)導(dǎo)的關(guān)注有很大的關(guān)系。在甲方交流群里經(jīng)?？吹接幸恍┙涣魅绾蜗蝾I(lǐng)導(dǎo)要資源的事，有些方法論，企業(yè)話述什么的。

　　業(yè)界最佳實(shí)踐好不好？當(dāng)然好，是不是公司是另外的一件事。流程與技術(shù)并用，公司流程是明確的，技術(shù)對(duì)公司來(lái)講，主要是承擔(dān)相互管理的職能。這些技術(shù)自己沒(méi)辦法親自上手去做，流程就變得非常的重要，這是硬性話題，去做具體把控這樣的事。

　　早接觸、早啟動(dòng)跟中信建投領(lǐng)導(dǎo)管理有很大的關(guān)系，早接觸、早啟動(dòng)，不要市面上有了成熟的方案再去做。剛才講到證券信息管理辦法提到安全值，業(yè)界還沒(méi)有全流程、全生命周期的解決方案，已經(jīng)擺到領(lǐng)導(dǎo)案頭很長(zhǎng)時(shí)間了，希望通過(guò)技術(shù)解決或者方法論有沒(méi)有新的可以完善的，而不是僅僅通過(guò)關(guān)鍵詞掃描的簡(jiǎn)單方式。

　　舉個(gè)存量盤(pán)活的例子，現(xiàn)在已經(jīng)上了很多的設(shè)備和方法發(fā)現(xiàn)公司的資產(chǎn)，有些廠商不同的產(chǎn)品通過(guò)互聯(lián)網(wǎng)掃描、CNBB（音）方式配置去做。上那么多工具沒(méi)有用好，為什么沒(méi)有用好？領(lǐng)導(dǎo)一直跟我們?cè)谕苿?dòng)的事情，存量工具、存量的方法要用起來(lái)。

　　目前業(yè)界對(duì)于安全服務(wù)、咨詢服務(wù)提供的時(shí)候，我所接觸到的是通用的咨詢方法、解決方法，針對(duì)證券行業(yè)有沒(méi)有針對(duì)性的解決方案？很少。剛才講到《證券信息技術(shù)管理辦法》里邊一共有60條，每一條都是自己解讀。業(yè)界有沒(méi)有幫我們解讀？到目前為止還沒(méi)有接觸到，這件事是自己在做。具體到每一條而言問(wèn)到誰(shuí)要拆開(kāi)，結(jié)合公司自己的特點(diǎn)想一個(gè)能夠落地的方案，所以我在這兒提到的是如果有友商或者是服務(wù)公司能夠提供有金融特性的服務(wù)對(duì)我們幫助非常大。解讀監(jiān)管的文或者是監(jiān)管要求的時(shí)候，需要拿出業(yè)界的方案跟公司現(xiàn)狀做結(jié)合。如果業(yè)界方案這塊有針對(duì)性，拿來(lái)就可以，這件事對(duì)我們都是共同成長(zhǎng)的機(jī)會(huì)。