网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　证通资深安全工程师黄凯

　　ThreatBook较真之作第二期，看看作为金融科技企业的证通股份有限公司(以下简称 “证通”)如何理解网络安全？

　　“别人家的安全”是安全威胁情报(微信ID：ThreatBook)近期推出的一档专栏。

　　合规、管理、构建、应急……安全问题千千万，层出不穷。我们没办法给出这些问题的标准答案，但我们可以用Case Study的形式，让你看看——“别人家的安全”。

　　本期受访者资料：黄凯，8年安全从业经验，目前就职于证通股份有限公司，安全技术负责人，职责包括信息安全技术体系管理、安全监控系统运营、安全技术调研。

　　Q：作为金融科技企业的证通股份有限公司(以下简称 “证通”)如何理解网络安全？

　　A：证通股份有限公司成立于2015年，是由国内多家证券机构、互联网企业和金融服务机构以市场化方式共同发起成立的金融综合服务企业，证通的团队来自银行、证券、互联网企业以及业内领军科技公司，其中核心科技人员占员工总数一半以上。实力雄厚的股东背景及团队优势，让证通有责任更有义务在面向金融行业的IT创新输出上有所作为。因此证通上至管理层、下至基层员工，大家对安全都非常重视，对新技术也保持着积极学习与探索的状态。证通安全架构是在满足合规要求基础上，结合新思想和新技术的“创新工场”。一方面是为了自身的安全能力的提升，毕竟网络安全发展到现在，单纯防御性的措施已经不如之前那么有效了;另一方面，我们也希望通过我们的技术革新，建立起成熟的与时俱进的安全体系架构，更好地为股东单位及行业机构服务。

　　现在证通安全团队的职责已覆盖安全合规、安全开发生命周期、安全运维、安全监控、安全技术调研等方面，是一支综合能力很强的团队。

　　Q：证通的整个安全体系是如何构建的？

　　A：证通的安全体系已经覆盖了安全技术管控、安全运营管控、安全策略制定等各个方面。以具体场景为例，我们有三张网：生产网、测试网和办公网。我们以生产网为重，对其管控力度也是三张网里最强的，生产网的安全设备部署与测试网、办公网隔离，并且从建设之初便着手全量的安全日志收集，实现第一时间的安全事件告警和响应。对测试网，我们配置了网络安全设备和日志收集系统;对办公网，我们配置了齐全的安全管控和检测手段，并定期对证通全体员工进行安全培训，重点防止敏感数据泄漏。

　　Q：适应性安全是安全圈现在很火爆的理念，态势感知系统是这个理念比较典型的实践品，证通启动态势感知项目的大致情况如何？

　　A：态势感知在2016年上半年的时候就已经是非常成型的概念了，我们也非常认可这个理念并自建了一套态势感知系统以满足自身安全需求。目前已经完成了一期建设，包括安全测试模块、自动阻断模块、蜜罐模块、智能漏洞验证模块等。做态势感知，首先要知道自己有什么资产，有什么风险，再结合外部的数据去防护。之所以强调外部数据是因为企业光靠自己收集的数据通常是不够的，而且数据分析成本很高，必须要有获得外部情报数据的途径。比如我们看到一个IP来扫描，我们怎么判断他大致是一个什么样的人，他到底是恶意地来扫描，准备进行攻击，还是说他只是一个“广撒网”的扫描，威胁情报可以让我们心里有底。

　　Q：那您觉得态势感知项目本身需要具备什么条件才能够有效？

　　A：态势感知项目要成功，我觉得主要有以下几个条件。第一是数据源要丰富，对数据的理解要足够充分，得知道现有的数据源到底是哪个系统产生的什么日志，从而进行解析和分析。日志解析和分析工作对人员的技术能力以及对数据理解的要求很高，对于正则表达式需要非常熟悉，还需要理解网络层、系统层、应用层、中间件、开发框架等多方面的数据，与相关团队的沟通成本也很高，是一个非常费时费力而不怎么能获得成就感的工作，但是把这些日志结构化是非常有用的，因为到后面可以做统计、呈现、数据关联，做好这些工作是先决条件。提高对数据的理解和数据的准确性，还要靠自己不断地在运行中总结经验，同时也需要依靠外部的数据源来做一些辅助，有时我们做告警就依赖于威胁情报，结合外部数据可以达到一个相对准确的效果，我们自己其实也有建自己的情报源，但是仅靠自己的数据不足以做出足够准确的判断。