史經(jīng)偉  中信建投證券信息技術(shù)部VP

　　五六年前，那個時候只有一個人專職做安全。計算機(jī)都是（英）會選擇防病毒軟件。這些活很瑣碎，占據(jù)了這個人幾乎所有工作，后來又來一個人負(fù)責(zé)邊界防御，也是理所當(dāng)然的，辦公筆記本、辦公終端、服務(wù)器終端都做了防病毒控制，根據(jù)預(yù)控做了同步管理。接下來到很傳統(tǒng)的邊界防御過程中，做安全的人都知道防火墻、IPS、IBS逐漸出現(xiàn)網(wǎng)絡(luò)安全的事兒。

　　對于券商來說，有一個比較多的工作量，營業(yè)部聯(lián)合總部，光是介紹都會覺得活非常多，兩個人占據(jù)了所有的工作量。后來又來一個人做安全審計，為什么專門把安全審計放在第三個位置？領(lǐng)導(dǎo)覺得外部（音）的審計、內(nèi)部的審計、機(jī)關(guān)審計部的審計工作量越來越多。這個活誰來干？放到安全審計里陪同他們做這件事，還有對IT內(nèi)部做審計這件事。

　　再往下才有了應(yīng)用安全，應(yīng)用安全這塊是來做的事。之所以寫應(yīng)用安全，但是沒有說SDL，大家如果做過SDL知道這張圖是SDL圖。為什么寫應(yīng)用安全？可以裁減的一定要裁減。SDL實現(xiàn)應(yīng)用安全沒有錯，實現(xiàn)應(yīng)用安全要全部上，業(yè)界實現(xiàn)SDL，這件事對公司來說是裁減的事情，裁減完之后再回來落地，我們是需要控制住幾個關(guān)鍵的點。安全審計、安全評估、上線前的測試，再通過流程做控制，這幾個點控制之后，即使沒有整體去過SDL這件事，沒有建大平臺做SDL這件事，但是應(yīng)用安全建立了全生命周期管控的方式。

　　現(xiàn)在團(tuán)隊大概5個人左右，這個時候初步建立起PC的閉環(huán)，才有了持續(xù)改進(jìn)的方式，去囊括網(wǎng)絡(luò)終端應(yīng)用等等幾個層面，才會去從整體的安全建設(shè)方面去考慮事情。這個時候問題緊接著而來，這個活基本上是以單位為主，人負(fù)責(zé)領(lǐng)域。這個時候這么多的設(shè)備產(chǎn)生告警該怎么做？每一個設(shè)備都要去盯著它?，F(xiàn)在的量是非常大的，一億三千萬條的安全相關(guān)認(rèn)證，150次年均安全評估，上線之后在我們這兒過流程跟基線碰一下，50+次的上線代碼審計測試。這么多的工作量5個人干嘛？考慮到集中運營、統(tǒng)一管理的方式去做。

　　最終解決方案是通過“3+1”方式。3是指3個平臺，1是指1套流程。大概看一下3和1分別有什么東西。

　　首先，兩個平臺關(guān)注程度比較高：一個是安全運營平臺、一個是本地威脅情報平臺。安全運營平臺從網(wǎng)絡(luò)終端接收日志、告警流量。本地威脅情報是做內(nèi)部情報和購買外部情報員做外部情報。這兩個是雙輪驅(qū)動的方式。同時，安全運營平臺和本地威脅情報平臺是互為驅(qū)動的方式，安全運營平臺可以產(chǎn)生聚合的情報吐給本地威脅情報平臺，本地威脅情報平臺作為安全平臺的重要支持，接下來進(jìn)一步看怎么處理。

　　辦公終端、服務(wù)終端、網(wǎng)絡(luò)，不管是設(shè)備、硬件、軟件，提供自己的資產(chǎn)信息給安全運營平臺，安全運營平臺接收本地威脅情報作為情報賦能，把這兩塊東西做融合，產(chǎn)生的東西做安全編排。目前是跟防火類的設(shè)備做自動化空間。本地威脅平臺是從外部和內(nèi)部兩個方式接收情報，外部情報員采用的是3+的方式，如果情報之間有相互沖突，以多數(shù)為主。安全運營平臺正在打造成為安全工作的唯一入口，需要干什么工作都從這上面。

　　這套流程是剛才前面講過運營安全的流程，大家都很熟悉這個模型，是傳統(tǒng)的V字型的軟件開發(fā)生命周期模型。對于現(xiàn)在經(jīng)常講的（英），本質(zhì)上是這個模型的縮寫、精簡以及環(huán)節(jié)的減少。對于整體的流程來說，現(xiàn)在采取在關(guān)鍵點去做控制的方式，而非整體做SCO這件事，SCO對于我們太重，所以選擇可裁減的方式做。

　　目前在做的是需求分析的做安全評審，項目向安全評審流程，不經(jīng)過過流程立項立不起來。我們發(fā)現(xiàn)有一些廠商實現(xiàn)了自動化方式，點選功能就能夠出現(xiàn)安全機(jī)器人，這個功能非常好。在往后走代碼審計安全測試，通過應(yīng)用系統(tǒng)上線流程和升級包的升級流程做控制。什么意思？自己做代碼審計、自己做安全測試，我們提供平臺和服務(wù)，做完把它改了之后放到上線流程和升級包的升級流程里，帶著已經(jīng)修復(fù)問題的報告放到流程里，審核通過沒有問題上線。

　　ITGRC的平臺，承接前面剛才講過的IT審計主要工作。從三個方面去做：策略管理、審計管理和風(fēng)險值。策略管理跟下面的設(shè)備、終端去做具體策略的收集、指標(biāo)匯聚，審計管理是流程方面的東西，誰要去填東西，誰要去審批。最后風(fēng)險值通過幾個指標(biāo)去做展現(xiàn)。

　　整體“3+1”的流程是這樣的，ITGRC平臺作為剛才講過的兩個平臺加一套流程的審計，全程審計。ITGRC作為持續(xù)改進(jìn)非常重要的點推動剛才講的安全運營平臺、本地威脅情報平臺，這一套流程的推動不斷優(yōu)化。

　　最近剛剛改過上線的（英）證券基金信息技術(shù)管理辦法要求重大變更和重大的系統(tǒng)上線工作需要提交相關(guān)報告才能做，必須把剛才講過證監(jiān)會要求報告放到流程里才能通過。通過流程控制，而非簡單通過技術(shù)，這是一種傳統(tǒng)的技術(shù)，通過流程做控制是一件硬性的事情，必須做，而且介紹工作量。你要帶著已經(jīng)修復(fù)好的問題，到我這兒來才可以通過。

　　剛才講過“2+1”、“3+1”平臺之后有了初步的PPDR模型，通過情報做預(yù)測的功能和安全運營平臺做快速響應(yīng)方式。安全運營平臺在做進(jìn)一步優(yōu)化，每一個安全告警希望通過頁面點選方式后面確認(rèn)與否和怎么處理的標(biāo)準(zhǔn)化模板。安全運營平臺通過入口更重要，包括預(yù)測、預(yù)判和全流程過程。

　　前面用1—5個人方式展現(xiàn)團(tuán)隊成員的情況，2016年做基礎(chǔ)建設(shè)，縱深防御體系建設(shè)，建立安全防護(hù)體系，2017年初步建立安全運營體系，搭建安全運營中心提升事件響應(yīng)和發(fā)現(xiàn)的能力，對信息文件做了可量化的處理。2019年，也就是今年主要做深耕安全運營中心能力，并且給它威脅情報賦能。到2020年，希望進(jìn)一步提供加強(qiáng)自主可控方面的能力，能夠組建自有的專業(yè)服務(wù)團(tuán)隊，根據(jù)公司的實際情況提供服務(wù)，安全組件提供可以讓他們很快嵌入自己研發(fā)流程里的安全模塊，實現(xiàn)安全器服務(wù)方式。

　　在后面還會講其他的，正好匹配到第一點。剛才講到了團(tuán)隊一共有五個人，各種原因有五六個是來回。如果沒有這五個人能做更多的事情嗎？當(dāng)然是不能。從自己運營工作當(dāng)中每個人工作量非常的飽滿，來一個人要承擔(dān)起條線工作的情況。未來還會對安全運營中心做進(jìn)一步的深耕細(xì)化，安全日志、安全的告警事件都是通過規(guī)則的方式來做的，今后計劃通過機(jī)器學(xué)習(xí)非規(guī)則、沒有明顯特征的方式模型去發(fā)現(xiàn)更深層次的事件。這個時候需要招更多的人，這件事也跟領(lǐng)導(dǎo)的關(guān)注有很大的關(guān)系。在甲方交流群里經(jīng)?？吹接幸恍┙涣魅绾蜗蝾I(lǐng)導(dǎo)要資源的事，有些方法論，企業(yè)話述什么的。

　　業(yè)界最佳實踐好不好？當(dāng)然好，是不是公司是另外的一件事。流程與技術(shù)并用，公司流程是明確的，技術(shù)對公司來講，主要是承擔(dān)相互管理的職能。這些技術(shù)自己沒辦法親自上手去做，流程就變得非常的重要，這是硬性話題，去做具體把控這樣的事。

　　早接觸、早啟動跟中信建投領(lǐng)導(dǎo)管理有很大的關(guān)系，早接觸、早啟動，不要市面上有了成熟的方案再去做。剛才講到證券信息管理辦法提到安全值，業(yè)界還沒有全流程、全生命周期的解決方案，已經(jīng)擺到領(lǐng)導(dǎo)案頭很長時間了，希望通過技術(shù)解決或者方法論有沒有新的可以完善的，而不是僅僅通過關(guān)鍵詞掃描的簡單方式。

　　舉個存量盤活的例子，現(xiàn)在已經(jīng)上了很多的設(shè)備和方法發(fā)現(xiàn)公司的資產(chǎn)，有些廠商不同的產(chǎn)品通過互聯(lián)網(wǎng)掃描、CNBB（音）方式配置去做。上那么多工具沒有用好，為什么沒有用好？領(lǐng)導(dǎo)一直跟我們在推動的事情，存量工具、存量的方法要用起來。

　　目前業(yè)界對于安全服務(wù)、咨詢服務(wù)提供的時候，我所接觸到的是通用的咨詢方法、解決方法，針對證券行業(yè)有沒有針對性的解決方案？很少。剛才講到《證券信息技術(shù)管理辦法》里邊一共有60條，每一條都是自己解讀。業(yè)界有沒有幫我們解讀？到目前為止還沒有接觸到，這件事是自己在做。具體到每一條而言問到誰要拆開，結(jié)合公司自己的特點想一個能夠落地的方案，所以我在這兒提到的是如果有友商或者是服務(wù)公司能夠提供有金融特性的服務(wù)對我們幫助非常大。解讀監(jiān)管的文或者是監(jiān)管要求的時候，需要拿出業(yè)界的方案跟公司現(xiàn)狀做結(jié)合。如果業(yè)界方案這塊有針對性，拿來就可以，這件事對我們都是共同成長的機(jī)會。