【WOT2015】郝轶:移动互联网安全运维管理体系构建
今天带来“剧透”的是百度云安全资深安全专家郝轶,在本次的WOT移动互联网开发者大会中,郝轶老师将在“运维安全专场”为大家带来主题为《移动互联网安全运维管理体系构建》的分享。下面就让我们跟随记者,去探听郝轶老师将为我们带来哪些精彩、劲爆、实用的独家内容。
【讲师简介】
百度云安全资深安全专家 郝轶
郝轶,百度资深安全专家,拥有14年渗透测试经验,熟悉Windows/Linux/Unix,具有PHP/Java开发经历,第一个在首届国家网络安全周安全大讲堂演讲的安全专家;共青团中央、中航国际、北京市科委项目评审专家;OWASP(国际开放WEB应用安全项目)成员;DAMA(国际数据库管理协会)成员;曾在Oracle全球最佳实践单位担任DBA;率先组织翻译了OPENSTACK安全指南和CCM;熟悉国际国家/部分行业信息安全政策标准:ISO、等级保护、SOX,并参与部分政策制度建设。郝轶还具有13年个人站长经历。
移动互联网下的信息安全问题
移动互联网是移动通信和互联网发展到一定阶段的必然发展方向和融合产物,我们每个人都享受到了由之带来的便利。但随着移动互联网的迅猛发展,引发了一些突出的安全问题。而且,由于其自身具有的一些特点,使得信息安全问题越来越成为人们关注的热点。移动互联网的特点主要体现在以下几个方面:
- 终端多样
- 通讯方式多样
- 网络边界模
- 软件迭代速度
这些特点导我们需要保护的资产类型多样化、涉及到的协议多样化、难以控制边界以及对安全工作的迭代速度的挑战。
这引申出了另外一个问题。面对保障移动信息的安全与提升工作效率这两个企业最为关心的话题上,我们的运维人员有时很难做到兼顾。郝轶谈到,目企业在安全运维中团队和个人遇到的主要问题归纳为以下个方面:
1.安全运维中的监测、检测、防护、加速、分析对任何组织都是非常消耗资源的工作。
2. 信息安全工作是到技术、资源等方面的综合博弈,信息安全人才在国内一直比较稀缺。
3.移动互联网的发展给了创业者更多机会和可能,而人力成本和经济成本的匮乏,使初创团队的信息安全问题面临着非常严峻的挑战。
4.在移动互联网时代,对信息安全问题响应、处理的速度要非常高,所以运维组织和个人都需要通过学习找到新的突破口,从而得到效率上的提升。
安全运维应对策略
信息安全对于企业的影响是深刻的,不仅仅是用户隐私,资金安全,信息安全的影响已经渗透到企业运营的方方面面,比如公关战等。对于我们该如何打好这场移动互联网下,技术、资源等综合方面的信息安全博弈,郝轶也提出了以下的应对策略:
1.信息安全工作是系统工程,具体安全控制措施在形式上仍然是监测、检测、评估、加固、应急响应等,但要充分考虑到保护对象的变化、通讯协议的变化、移动互联网业务的特点。也包括针对于移动互联网的特点在安全管理上的策略调整。
2.充分考虑成本和安全能力的平衡,尽量采用公认成熟的外部安全产品或服务资源。
3. 在移动互联网安全运维管理体系的构建上,可以学习ITIL、ISO27000这些经验模型,然后根据自身工作情况灵活调整。模型只是知识,而管理是一门实践。
4.鉴于初创公司在人力、技术和经济方面的考量,建议选择提供一站式网络安全服务的公司。因为这样的网络公司可以为企业提供7*24小时不间断的网站运行和安全监测服务。
像百度云安全团队通过构建云安全服务对外提供了监测、检测、防护、加速、分析,这些对任何组织这些非常消耗资源的工作。并在事前、事中,事后等方面全方位考虑到对安全运维工作的完善。并同样针对于软件安全的全生命周期提供了相应的网络安全解决方案。不仅如此,还凭借百度在大数据方面的优势,能够第一时间感知各种已知和未知的安全威胁,并且及时部署升级安全策略,让用户免受黑客攻击。
5.对于运维组织和个人来讲,都需要做出转变来应对挑战。
对运维人员个人:为学日益,个人有兴趣、对工作有帮助的任何新知识的获取都是有益的,但只有练习才能提升实践技能。
但是对运维组织:组织的目标就是通过分工协作使成员实现各自难以完成的整体目标。组织获得技能全面的人才这个愿望是美好的,但岗位设计也需要科学合理。
最后,郝轶还向大家透露,在本届WOT峰会上,他将与大家分享如何通过一种科学、系统的方法,来使移动互联网下IT服务管理(ITSM)与信息安全管理体系(ISMS)是大中型组织运维和安全相关工作得到整合实施。
1、在安全运维的理论上,我们将共同了解很多模型和知识。
2.在安全运维实践的介绍上,将会讨论如何将管理变得简单。管理是一门实践,能够用简单的方法高效的实现目标不是更好么?
3.演讲中还将介绍百度云安全在安全技术控制措施的实现上,如何帮助用户来实现:零部署、零维护、零修改。