2019中国金融科技产业峰会丨长江证券陈传鹏：可持续的网络安全运营实践分享？

2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开。11月1日下午举办的金融业互联网信息安全分论坛上，长江证券股份有限公司信息技术总部总监陈传鹏带来了可持续互联网安全运营实践共享。

下午好！我来自长江证券，负责安全与大数据相关的工作。

昨天晚上到了之后，和安全专家的朋友一起吃饭，他说安全很痛苦，甲很痛苦，乙也很痛苦。乙方认为百万或几十万的名单很大，但资本至少为零，千万小。但作为甲方，我们压力也很大，面临的风险、威胁和内部安全。刚才赵老师谈到了如何防止安全和风险的平衡、新技术和再生风险，甲方面面临的风险更大。这位安全专家的朋友说我们似乎很痛苦，我们还有点感情，做安全是保护家庭国家的事，至少治病救人，还是有点感情。我们不想赚多少钱，但至少保护一方，保护一方的安全。

我讲的题目叫可持续的网络安全运营实践。刚才讲到可持续、安全运营、场景化，土话是人少，活多，场景化。安全运营，生活过多，开发者_JS百科通过智能技术自动减少人重复的工作量的场景化，威胁和风险过大，可以通过场景关注主要矛盾，解决主要问题，使安全人员不成为救火员，不成为紧急医生。例如，安全与医生有点相似，我们甲像医生，每天系统把脉，对安全人员进行意识教育乙方提供更好的药物，更好的工具，我们可以更快地诊断疾病，更好地治疗。但是，我希望大家不要把自己当作紧急医生，每天去灭火，工作没有提高。我们希望安全可持续。就像我刚来国家电网一样，上司问我:你来了就没有安全问题吗？不会出现漏洞吗？不发生黑客攻击吗？我说不行，如果你有这个目标，我们谈不拢。安全并不是买系统就能解决所有的问题。此时，大家都很高兴。我相信乙方这个产品也很受欢迎。刚才赵老师谈到了体验、风险平衡、攻击和防护的错误等，安全工作不变，不能一蹴而就，也不能一劳永逸，是持续运营的工作。

为什么被称为可持续安全运营？我今天分享的东西不适合所有企业，也不适合所有乙方参考，更多的是我将适合我们产业证券的想法、实践过程中的东西分享给大家。安全往往是由于时间、土地、人员的适当性，必须根据企业的目标和管理层的交流达到安全目标的一致性，制定相应的措施。不是我必须保证没有问题，而是只能如何控制风险。

毛主席三大着名论着:矛盾论、持久战、实践论。矛盾论跟我们安全很像，有些事情很矛盾。实践论，要依据实践，依据公司当前的研发水平、运维水平成熟度，去制定相应的安全策略。关于持久战，以前说安全是持续改变优化的过程，不能一蹴而就。今天不是给我买500万台设备，明天可以睡觉。告诉领导目标、定位和计划，告诉他我的目标是持续保护，而不是消除漏洞。我必须继续不发生安全事件，不发生错误操作。二是目标。第三，建立团队。安全必须投入，所有安全工作都不能依赖网络、防火墙管理者，需要专业团队，需要持续的安全演进结构，工作机制必须持续运营。

最终的结果是，安全可见、感知可见、监测可见，发现后迅速处理，三种风险的量化可视控制，威胁后可感知、定位、追溯，安全行为迅速、准确、有效。短期做外防、内控至少要把问题得住，中期主动防御，把问题巩固起来，最后做运营，能够预先预判和预发现问题。

构想有几点:

1、开设商业和开源融合，以专业力量实现我的目标。很多厂商做的专业化很好，审计、日志收集等等，但是很多时候业务安全或者我们自身的安全依赖于我对业务的理解，这时候需要我做个性化的开发。现在讲自动编排、讲场景化就是这个概念，每一关都拿最好的产品堆迭起来以后能解决安全问题吗？无法解决，还是会发生安全事件。此时，自己的安全团队必须结合商业和开源，创造个性化的场景。

2、架构团队要融通。买了安全产品睡大觉吗？不要依赖厂家，要自己完善工具。买航母至少要配备一个队伍开航母。

3、加强管理意识。让管理层达成安全共识，意识到安全是发生的，一是最大限度地减少影响，二是缩短处理时间，三是减少损失。让全体人员参加工作，安全不是安全队的团队，而是全体人员。我们现在公司很好。运输同事积极参加安全审计，开发同事进入新系统时，要求我进行安全审计，发行开发的结构方案。这个很好。

另外，IT全过程的共享共治和共担。举个简单的例子，我们有在线营销的业务。例如，双十一立即进行市场营销活动，研究开发团队可能开发市场营销活动的场景。那个生存是7天，但是我们检查后发现了一些漏洞。这个时候，只有3天就在线了。我同意在线，但是我帮助你进行安全监视。发生重大安全风险时，请按照我的安全处理要求关闭或处理。此时:一是保证业务活动的顺利推进，二是我必须和你一起承担风险，保证你的业务顺利推进。

技术和数字驱动是2018年我们制作的网络安全图像，与唐先生的态势感觉相似，追溯过去的所有数据，分析过去系统的样子、现在的样子、未来的样子。

4、内外资源协同防御。共同合作共同防御，金融行业、证券行业、期货等必须守望协助共同防御，共同共享有无、信息。

5、从无到有，从有到无。安全融合，融入研究开发和运输的各条线，使研究开发和运输与我一起承担安全风险，可以预防风险。

回顾安全目标中的外防、内控、警告，我来长江证券做了三个阶段的工作。我和领导人报告说，

第一步是消灭外面的敌人，防止外面的风险。例如监督检查、外面的黑客攻击、面孔攻击等。

第二步是内部控制，内部风险应控制，漏洞修复、修补。

第三步是警告、风险量化、可视控制、网络流量追踪、数据形势感知、措施建议等。

第一阶段打抗日战争，第二阶段团结一切可以团结一致的力量防范内部风险，第三步走出去，至少要知道谁在打我，谁在偷我的东西，什么时候受到什么攻击。我们做过网络安全图像的好课题。我的业务IP和攻击IP不同，我可以把所有的网络流量IP分成黑、白、灰，缩小我的范围，关注真正的攻击。

最后是运营体系，从技术体系、团队体系、运营体系来看，我需要什么样的人，需要什么样的工具，日常需要做什么样的工作，形成持续的运营机制。即使我今天来会议，或者请一个月假，长江证券也可以安全工作，不会因为某个团队的人退休或者系统错误而导致安全工作的重大失误。

这是2016年、2017年、2018年、2019年四年间的三个阶段：

1、规划建设。主要是建团队、建架构、做平台、融入行业生态。

2、运营优化。提高人员能力，持续完善结构。

3、持续改进。实现安全可持续、无感、智能我治愈。

可持续性至少能够持续提高安全性的工作。第一，我们必须继续提高可持续性的提高方法。第二，工作必须持续改善。所有设备都不能100%推进安全工作。第三，能力必须持续提高。第四，结构必须持续优化。安全只能从点上突破获得优势，说服领导的安全可以提高质量，提高效率，创造利益，说服领导投入更多资源。

最后，希望甲乙在安全中共同获得最大的回报。