作者:简一
随着大数据、人工智能、工业互联网等为代表的新一代信息技术不断发展与深度运用至各行各业,数据也变成了社会新的生产要素,正在成为驱动经济发展的新引擎。在企业纷纷加快数字化转型的当下,利用数据驱动企业的规划与决策,实现增长已成为共识。
然而任何事情都是有两面性的,在数据驱动的过程中,一系列信息安全问题也日益凸显,包括数据泄露等在内的各种数据安全问题,不仅让许多企业蒙受巨大损失,也给社会和个人带来了危害。那么,企业在数据应用过程中,该如何保护数据安全?一种合理有效的数据安全建设体系该如何架构?如何有效地保护企业的信息安全从而让企业在各种信息体系下都保有非常安全的信息体系,是每个企业主和企业的信息安全负责人都需要思索的事情。
李达就是这样一位在中国首屈一指的信息安全专家,从大学计算机科学与技术专业毕业以来,李达已经从事信息安全事业18年。这18年来,李达先生所就任过的公司皆是世界五百强企业,且他在企业内都担任着信息安全部门的重要职位。2019年5月起,李达开始全面管理某全球知名主题乐园度假区位于上海信息安全业务。该主题乐园于2016年开园,是中国规模最大的现代服务业中外合作项目之一。李达目前担任的职位该企业的信息安全负责人。
在进入该企业工作之前,李达也拥有熠熠闪光的履历和资质,他曾获得过行业内非常有含金量的CISSP证书,CISSP证书作为信息安全领域的金牌证书,历史悠久,成绩斐然,一直备受IT安全人士喜爱。曾经有一位世界500强IT安全总监这么说过:“没有CISSP证书,就没有今天的我”。这句话虽然有一点夸大的成分,但是足以说明CISSP证书在信息安全界的重要性。
作为行业资深资质的信息安全专家,2008年,李达成为了ISO27001认证的首席审核员;李达还曾获得过2009年CNAS认证信息安全顾问,为众多央企、大型私有企业都做过信息安全顾问,服务过的客户有万科、交通银行、MetLife、国家电网等大型企业、跨国公司及大型国有企业,在行业内树立了良好的个人口碑。
开发美国某头部人寿保险公司安全信息体系并成功运用至全球各分公司
该美国头部人寿保险公司在中国,储存有大量的中国国内的个人信息,这些个人信息包括已有客户的,还有通过获客渠道得到的潜在的客户。对于保险公司而言,最重要的信息资产就是客户的个人信息,这些信息一旦被泄露,就会给企业带来极大的业务损失,例如别的不法分子会通过黑客技术得到公司客户的信息,再高价卖个别的保险公司,就会造成客户通过各种手段劝客户退掉其原有保险,购买其它保险公司的保险,为企业的业务量带来巨大的影响。而在几年前,这样的现象在保险行业经常出现,从而导致了公司整体业绩的严重下滑。
在意识到了这个巨大风险以后,该企业聘请李达作为企业驻中国的首席信息安全官,进行全面的信息安全管理工作,当时企业的信息系统面临着一些很难解决的问题,例如如果全面兼顾信息安全(把客户匿名化),就根本无法推进业务,而不技术性的解决信息泄露问题,业绩的下滑只能越来越严重。为了更加有效的监管公司的客户个人信息,李达带领他的团队在无数次试验下,最大化地保持了企业各个部门的使用习惯,降低由于改变带来的负面影响效率降低;针对现有的上百个系统不要做很大的改造,却能够让这些系统从web页面上默认显示被打了掩码的客户个人信息。
李达和他的团队创建了这一适合公司的安全信息系统并被企业广泛运用以后,极大降低了个人信息泄露的范围,即使有信息泄露,由于有足够的日志记录,也可以通过快速的定位查到谁泄露了个人信息。此系统的运用,使得公司能够第一时间追责并控制个人信息的继续泄露,由于改造成本低,实现起来时间周期相对短,这个方案展示给了企业的亚太团队和美国总部的架构团队,总部目前已经将这个技术在全球范围内进行实施。
助力某全球知名主题乐园系统安全迁移至公有云
早在三四年前的2018年、2019年,那个时候国内的公有云刚起步,相比国外的AWS, AZURE, GCP等公有云各方面的成熟度都要低很多,因此当时的该主题乐园的系统并没有“安营”在公有云,也无法“驻扎”在其他的系统,因为中国相关的网络安全法律法规等限制,企业的数字化工作无法顺利进行,然而有着巨大流量的企业在当时又亟需需要进行数字化转型,将企业的系统迁移到公有云上是势在必行。
当时的李达已成为该企业在中国的信息安全部门负责人,他带领团队经过了对2个国际性的公有云评估后,发现这两个公有云所能提供的功能要远远落后于其国际版本。接下来,李达建议重新评估国内某知名公有云系统,在横向对比后,他和团队发现国内某知名公有云平台在部分功能虽然没有一些国际版公有云那么多,但比之前对比的公有云在国内使用上更加有优势,最终李达成功将企业的系统成功安全的迁移到国内某知名公有云平台上。
但新问题又出现了,作为公有云,面向社会开放,数据安全问题如何解决呢?李达针对公有云上企业需要使用的各种云原生功能进行了逐一测试和使用,并针对公有云上的各种需要的云原生功能,写出了一系列缜密的安全加固指南,李达还带领团队根据公司本身的安全要求,将这些接口的数据进行整合来监控公司部署在公有云上的各种服务是否有严格遵守了其所编写的安全加固指南要求。经过了这一系统化的安全策略和统一的监控部署以及李达亲自撰写的加固指南,整体提升了企业在该公有云的安全保障能力,也帮助了其它企业保护了其在公有云上的资产,间接帮助了其它企业参考李达所在企业在公有云系统防护,作为自己公司的防护蓝本。
敏捷式开发安全运维:体制增速的同时保证企业核心竞争力
当下,越来越多的企业在进行着数字化转型,因为其能够给企业的业务增速,帮助企业快速的将自己的产品推向市场,同时又能降低企业的成本,某全球知名主题乐园位于中国的度假区为了拥抱数字化转型,由李达主导设计,引入了敏捷开发安全运维的模式,敏捷开发安全运维大大缩短了运维时间,提升了企业的效率,为企业不断带来核心竞争力。
相比于传统的瀑布式模式,敏捷开发运维的模式更加快速,自动化,通过产品快速迭代的方式将系统快速上线。但同时带来了很大的安全风险。因为在传统的瀑布式模式下,安全团队有足够的时间进行按部就班的各项技术评估和测试,例如在产品需求分析阶段,安全团队通过评估整个系统架构,给出很多安全的需求,那么这个时间通常会是1-2个月。然而在敏捷式开发模式下,2个月下来产品早就上线了,甚至都已经迭代了几次了。这样就导致安全团队无法及时有效的识别出各种安全的问题,让产品带着安全隐患发布后会对产品本身带来影响,比如安全隐患被黑客利用,从而攻击企业的系统。
在此背景下,李达提出将网络安全功能左移并自动化的理念创新设计开发出敏捷开发安全运维模式。敏捷开发安全运维模式下的方式是一个迭代周期一个迭代周期。通过这种高速的敏捷开发安全运维模式,能够让应用团队早期便知道各种网络安全的需求并加入到设计开发当中,通过开发各种自动化工具,替代了以前的人为工作量,在效率上得到大幅的提升,通过完善开发安全运维,可以将一个系统的迭代周期从之前的数月甚至几年缩短到两周,并且还能有效的保证了系统的安全性,不会存在架构上的安全隐患,代码上也不会存在高危漏洞。由于产品上线快,能够快速的满足业务的需求,抢占市场。
在业内做出了许多成功案例后,“成功信息安全专家”的标签被不断贴到李达身上,在很多人眼里,李达所经过的事业走向就是成功的标志。然而他自己这样看待成功:“我并不希望被贴上‘成功’这个标签。能够在帮助企业实现良性运转、让企业不断具备核心竞争力的同时顺便也实现了自己的理想才是成功。”这样理智又沉稳的信息安全专家,就是整个行业的希望与未来。
