从安全核心转变看新东方的安全攻略
2018-11-26刘沙
刘沙
随着IT技术不断发展,网络攻击的方式和手段越来越多样,让企业防不胜防。作为中国大陆首家海外上市的教育培训机构,新东方是如何实现安全防护的?
2018年3月18日,全球最大的社交网络服务网站Facebook被爆出数据外泄,超过5000万用户数据被滥用,导致Facebook股价大跌,市值蒸发360亿美元;
8月3日,全球芯片代工业市场占有额超过56%的台积电遭受WannaCry勒索病毒攻击,造成生产线停摆近三天,直接损失高达17.6亿元。
8月28日,拥有汉庭、全季、宜必思、禧玥等10余个酒店品牌的华住集团被曝出客户数据在网上被兜售,包括140G约5亿条数据信息,涉及用户1.3亿人次,其规模之大、范围之广、影响之深,令人震惊……
近年来,企业遭受网络攻击或出现网络安全事故的新闻一直层出不穷,数不胜数。正所谓“道高一尺,魔高一丈”,随着IT技术不断发展,网络攻击的方式和手段越来越多样,让企业越来越防不胜防。新东方教育科技集团信息安全负责人杨宁对此也深有感触。
从“以产品为核心”到“以数据为核心”
有着近二十年信息安全从业经验的杨宁告诉记者,当前,新东方在信息安全领域主要面临着4个难题:
其一,受网络虚拟化和BYOD的趋势影响,企业安全防护的边界越来越模糊,通过网关实现的防护越来越难;
其二,攻击复杂度越来越高,攻击成本和门槛越来越低,黑客工具越来越智能;
其三,由于《網络安全法》、欧盟GDPR的实施,对企业的合规要求越来越高,企业安全合规压力越来越大;
其四,单一的安全检测产品难以应对多态病毒、零日攻击、高级持续性威胁等各类安全威胁。
面对这些挑战,新东方的安全防护思路也发生了转变,从过去以产品和系统为核心,转变成现在以数据为核心。过去安全防护的主要措施是网络边界防护、安全产品部署、安全系统建设、特征检测,现在则是网络解耦+主机防护、安全大数据整合+实时分析、安全能力建设和行为异常检测。
于是,基于自身所处的教育行业特点、公司的业务需求,以及法律法规的合规要求,新东方对信息安全提出了明确的方向:保护知识成果和敏感数据信息不泄露;确保业务运营安全合规;保障核心业务应用安全、持续、稳定运营;实现线上及线下业务应用和活动中的信息安全风险可识别、可管理、可控制。
安全与业务应共生共存
杨宁指出,由于信息安全涉及的范围包括物理环境、人员、系统、应用和数据等多个领域,所以对企业来说,信息安全不应该只是信息安全部门的工作,而是需要每个员工的参与和行动。
为此,新东方设立的信息安全架构涵盖了4个层面:
信息安全治理,包括组织战略、风险控制、安全合规和意识教育。“我们主要以风险管理为核心,以内外部合规为基线,根据集团战略去实时调整,定期的通过漫画、视频、期刊、测评等方式进行全员的信息安全意识宣传。”
信息安全管理,包括安全策略、安全组织、人员安全、资产管理、访问控制、密码管理、物理安全、操作安全、通讯安全、开发维护、供应商管理、安全事件、业务连续性和合规性;
信息安全技术,包括云安全、物理安全、基础架构安全、应用安全、数据安全和业务安全六大领域;
信息安全运营,包括审核评估、审计监控、应急响应、漏洞管理和安全基线。
“事实上,对于企业来说,安全和企业业务的关系已经不仅仅是保障、支撑、引领业务的关系,而是共生共存的关系。”杨宁向记者强调,“信息安全应该融入到企业的每一条业务线和每一个业务应用中。每一款产品的开发都应将安全作为基本功能进行架构设计,安全功能的重要性等同于业务功能。”
据介绍,新东方当前的IT环境是由3个万兆环网互联的私有云数据中心构建而成,在私有云PaaS平台上已经部署了媒体云、外呼云、IM云、容器云、数据云、存储云、日志云、安全云,新东方有400多个业务应用都在之上运行,此外,还有部分业务应用放在阿里云和腾讯云的公有云上,由多云平台进行统一管理。目前,信息安全私有云平台正在建设完善中,信息安全能力平台将以私有云模式为集团各业务提供自服务。
选对主机安全防护系统
杨宁告诉记者,新东方希望打造一个智能化、可视化、能自服务、能实时感知威胁、能分析攻击过程和确认攻击源、能自动响应攻击处理和拦截的信息安全能力平台。因此,在主机安全防护方面,他主要关注系统功能、Agent、厂商及产品。
所以,在选型时,除了功能、性能和部署模式必须满足新东方的需求,杨宁还会考虑丰富和有价值的数据输出,以及服务接口的多样性和可集成性。
经过半年的调研,在评估了多个公有云类、开源类和成型的企业端产品后,新东方选择了青藤主机自适应安全平台。
据了解,部署主机安全防护系统主要解决了主机层面入侵发生时的问题:
入侵前:漏洞检测及基线检查弥补了网络漏洞扫描的缺陷。
入侵中:不仅基于特征防范已知的入侵方法或后门,还能基于异常检测防范未知的漏洞或病毒攻击。同时,可以快速部署的蜜罐功能帮助捕获来自内部的蠕虫或横向渗透攻击。
入侵后:将主机安全入侵事件人工调查取证时间降低了80%,而且入侵过程和行为识别更加精准,提升了应急响应效率。
杨宁补充到:“青藤的主机自适应安全平台不仅帮助我们在主机安全层面建立起了一个实时有效的防护体系,还拓展了我们在远程分支机构及公有云端的系统安全防护能力。”