主持人:各位领导,各位来宾,大家下午好!非常高兴在大会当中,能够遇到这么多热爱安全的朋友。我是来自于京东商城信息安全部的李学庆,是在京东主要负责京东整个安全响应、安全运营、京东的攻防。大家知道,京东现在开始有京东云了,包括在云上安全所有的内容都由我们这边来负责,我在京东是从2011年到现在做这个事情。
今天非常有幸和主办方一起联系了一下,还是想让我在这个会议上给大家串个词,所以,今天也是给大家整体做些串场的内容。今天会场的主题还是行业当中比较不错的,云安全的,电商安全。我的理解,这两块还是比较落地的,做的所有内容如果你的实力不强,你这个网站,这个云绝对是扛不住的,半点虚的都没有。今天很多朋友能够来到这个会场我的感觉还是来着了,还是挺好的。今天的议程还是有大佬级的人物来到会场当中,今天下午我们就拿出最认真的倾听态度一起听听各位大佬来给大家讲的这些内容。
首先,有请国家信息中心安全管理处处长邵国安给大家演讲“政务云安全要求及安全态势感知平台建设”,有请!
——————分割线——————
主持人李学庆:感谢邵处长的精彩演讲,很多内容,做政务云的,对大家的帮助还是挺大的。我看邵处长讲的每一块还是非常细的,后面大家针对云上怎么做建设,刚才也提到PaaS层和IaaS、SaaS层,每一层应该怎么去做,下面大家可以和邵处长多聊聊。
开场时,大家都在说WannaCry漏洞,这个事件对整个安全行业来说还是个很好的驱动,包括这个事件出来之后,有很多不是安全圈的人都已经对这个事情非常了解了。大家就能体会到,我们也一直在瞧这个事情,安全无小事。在出现这个事情以后,后边很多公司连电脑都不敢打开了,每一台电脑都进行升级。如果安全上面没有做到位的话,对一个公司安全上的考量以及整个公司的发展还是有很大阻力的。
下一个议题是由天空卫士合伙人杨明非与大家分享“核心数据资产的管理和保护”。
——————分割线——————
主持人:感谢杨总,刚才讲的内容还是比较落地的,不知道大家在企业里遇到的是什么样子,针对电商来说,大家对数据泄露还是非常难解决的一个问题。我看到杨总这边还是有很好的解决方案。
我们现在有个新的项目,可能和杨总这边有点类似,我们也会把类似DLP一类东西全部放到我们这里面,包括外面的情报都会通过一个平台收集过来。收集过来之后,对于我们来说这个情报可能是其中一个点,泄露当中它只是作为我们参考的一部分。所以,我们过段时间要启个项目叫“迈向平台”,这个平台是,把我们所有数据在底层铺上。杨总刚才提到的DLP以及情报内容全在里面,经营的所有资产以及IP域名、DNS、框架、组件全部放好。这几年来每个资产上面出现的安全风险,把我们一些历史的东西全部放在这儿,包括京东所有的订单,用户信息所有的放到一起,后面还会关联很多。
在上层我们会做个东西,每个数据的关联性,比如每个IP会关联哪个系统,整个业务模块是属于谁负责的,在这个基础上还有哪些人在用这上面的数据,会有很强的关系。再往上一层就是接口层,整个底下这两层为我们服务的,第一出现大型漏洞泄露时可以通过这套系统完全定位风险范围;第二类似于这种泄露的,不管是用户泄露还是订单泄露,我们把这个数据直接放进去就可以把整个脉像展示出来,我们就可以从中定位我们的数据哪块可能会出现问题。这是我们整个要做的项目,但这上面还是基于其他的数据,包括威胁情报、DLP内容。
我的感觉,在一个企业当中,我们慢慢做的过程中,做这套系统就是在解决京东遇到的重大漏洞或难以解决的问题,我们统称为痛点,去给他建设这样的平台,做这样的事情。这个思路大家可以学学。
下面一个议题是由央视网网络安全专家黄乐为大家分享“央视网信息安全的前世与今生”。欢迎!
——————分割线——————
主持人:感谢黄乐给大家的精彩分享,刚才黄乐也说了,自己的团队还是需要去扩张的,其实还有个选择,京东是个很好的选择,可以带团队过来,没有问题。刚才黄乐提到《网络安全法》,对每个云安全公司、电商公司都慢慢提上一个高度,前段时间公安部也组织会议,召集大家把等保和安全方面的工作提上一个台阶,在这上面,如果大家在行业当中能够看一些新闻的话应该也可以看到,现在每家都在解读、学习安全法,前段时间京东也在做一个事情,《网络安全法》出来之后,很多白帽子挖漏洞的时候还是说哪些行为是OK的,哪些行为是违规的,我们也帮助白帽子合规,包括合法挖漏洞的事情,甚至包括整个《网络安全法》出来之后,公司级别我们有哪些制度还不完善,也梳理了一遍,这个思路大家也可以学学,包括京东在整个过程当中,我们把相关部门整个做了一遍安全培训,包括法务部门。后面大家针对《网络安全法》上,还是需要拿出一些时间,包括黄乐刚才提到的合规层面,大家可以多去考虑考虑。
——————分割线——————
主持人:议题继续,下一位是由安普诺创始人、CEO张涛给大家介绍Webshell检测。欢迎!
——————分割线——————
主持人:非常感谢张涛为大家做的精彩分享,针对Webshell每一家公司在检测、发现感知、阻断还是有很大的瓶颈,线下大家可以多和张总交流。
下一个议题是由北京农信互联科技有限公司安全服务部经理李元龙为大家分享“登山之路——互联网公司安全建设的心得体会”,欢迎!
——————分割线——————
主持人:感谢李总精彩演讲,刚才提到,我也记了很多,我在这里也简单跟大家说几个,李总提到DDoS,游戏公司最怕这个,以前互联网电商可能没有感受到,现在电商公司慢慢感受到了,因为有大促了,马上就要“6·18”了,以前还有“双十一”,我看还出来5·18”,各种各样的大促越来越多。活动出来之后,这种DDoS的事情肯定是难免的,这上面非常需要落地方案。我们的理念,我们也会慢慢灌输公司CTO体系,这个DDoS攻击,不是我们现在有防护就OK了,我的感觉就应当像测试一样,功能测试、性能测试、自动化,应该慢慢成为开发生命周期当中的一部分,我上一个什么样的业务,上去之后必须要满足多大量的攻击,什么类型的攻击。后面我们一个理念,就是把DDoS演变测试变成例行检测。
刚才李总提到整体事件驱动,其实在于有些公司没有办法,我们当初也是一点点这样过来的。初期时,事件驱动是最好的一种方式,京东现在这个规模,事件驱动就需要往后放放了。大家在做安全时,事件驱动可以是个方法,这个过程中,我们还加了一些点,把整个事件驱动的事件全部转化为现金。出现这个事件之后你给京东损失多少钱,按这个方法做。
SDL,我们从去年到现在也在做这个,很多人都在提,国内SDL到底能不能做成?也在考虑这个事情。很多人说合规这个东西到底有用没用,是不是贴好就完了。其实这里面有很多灵活点。京东做SDL时,刚才李总提到这个思路还是很好的,我们也基本上按照这样的思路,但我加进去一个东西,我给每个部门施以“问诊”模式去做的,比如各个部门做之前,会把他们部门出的安全风险拿出来,他们部门安全风险有什么背景,每个人员以前经受过这样的安全培训没有?他们的安全风险以前是由于失误导致的还是由于安全意识导致的,全部给他分析出来,最终分析出来,它会有一个打分的,比如这个部门出来有60分,我会告诉他SDL确实在哪块了,告诉他老板达到多少分,最后告诉他哪个阶段应该怎么做,每个阶段像快速培训一样,我们每一个阶段是两周,做完之后会有一个考核,这需要一些灵活的方式。
李总最后提到安全意识,这是很重要的。说白了现在已经灌输到我们CEO层面了,这是怎么灌输的,一点点地让京东每个角落全部都是信息安全,每天都在关注,甚至到厕所看小报都是安全,没办法,这需要一点点灌输这个东西。还需要一个强有力的东西,我们现在有个安全委员会,最高的leader是老刘,如果要把安全做好,这两个东西哪一个都是缺不了的。
下面进入最后一个分享,由公安部第三研究所云计算安全测评实验室负责人陈妍为大家分享“等级保护2.0时代下的云上用户安全指引”,欢迎!