作者：簡一

　　隨著大數(shù)據(jù)、人工智能、工業(yè)互聯(lián)網(wǎng)等為代表的新一代信息技術(shù)不斷發(fā)展與深度運(yùn)用至各行各業(yè)，數(shù)據(jù)也變成了社會新的生產(chǎn)要素，正在成為驅(qū)動經(jīng)濟(jì)發(fā)展的新引擎。在企業(yè)紛紛加快數(shù)字化轉(zhuǎn)型的當(dāng)下，利用數(shù)據(jù)驅(qū)動企業(yè)的規(guī)劃與決策，實(shí)現(xiàn)增長已成為共識。

　　然而任何事情都是有兩面性的，在數(shù)據(jù)驅(qū)動的過程中，一系列信息安全問題也日益凸顯，包括數(shù)據(jù)泄露等在內(nèi)的各種數(shù)據(jù)安全問題，不僅讓許多企業(yè)蒙受巨大損失，也給社會和個人帶來了危害。那么，企業(yè)在數(shù)據(jù)應(yīng)用過程中，該如何保護(hù)數(shù)據(jù)安全？一種合理有效的數(shù)據(jù)安全建設(shè)體系該如何架構(gòu)？如何有效地保護(hù)企業(yè)的信息安全從而讓企業(yè)在各種信息體系下都保有非常安全的信息體系，是每個企業(yè)主和企業(yè)的信息安全負(fù)責(zé)人都需要思索的事情。

　　李達(dá)就是這樣一位在中國首屈一指的信息安全專家，從大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)畢業(yè)以來，李達(dá)已經(jīng)從事信息安全事業(yè)18年。這18年來，李達(dá)先生所就任過的公司皆是世界五百強(qiáng)企業(yè)，且他在企業(yè)內(nèi)都擔(dān)任著信息安全部門的重要職位。2019年5月起，李達(dá)開始全面管理某全球知名主題樂園度假區(qū)位于上海信息安全業(yè)務(wù)。該主題樂園于2016年開園，是中國規(guī)模最大的現(xiàn)代服務(wù)業(yè)中外合作項(xiàng)目之一。李達(dá)目前擔(dān)任的職位該企業(yè)的信息安全負(fù)責(zé)人。

　　在進(jìn)入該企業(yè)工作之前，李達(dá)也擁有熠熠閃光的履歷和資質(zhì)，他曾獲得過行業(yè)內(nèi)非常有含金量的CISSP證書，CISSP證書作為信息安全領(lǐng)域的金牌證書，歷史悠久，成績斐然，一直備受IT安全人士喜愛。曾經(jīng)有一位世界500強(qiáng)IT安全總監(jiān)這么說過：“沒有CISSP證書，就沒有今天的我”。這句話雖然有一點(diǎn)夸大的成分，但是足以說明CISSP證書在信息安全界的重要性。

　　作為行業(yè)資深資質(zhì)的信息安全專家，2008年，李達(dá)成為了ISO27001認(rèn)證的首席審核員；李達(dá)還曾獲得過2009年CNAS認(rèn)證信息安全顧問，為眾多央企、大型私有企業(yè)都做過信息安全顧問，服務(wù)過的客戶有萬科、交通銀行、MetLife、國家電網(wǎng)等大型企業(yè)、跨國公司及大型國有企業(yè)，在行業(yè)內(nèi)樹立了良好的個人口碑。

　　開發(fā)美國某頭部人壽保險(xiǎn)公司安全信息體系并成功運(yùn)用至全球各分公司

　　該美國頭部人壽保險(xiǎn)公司在中國，儲存有大量的中國國內(nèi)的個人信息，這些個人信息包括已有客戶的，還有通過獲客渠道得到的潛在的客戶。對于保險(xiǎn)公司而言，最重要的信息資產(chǎn)就是客戶的個人信息，這些信息一旦被泄露，就會給企業(yè)帶來極大的業(yè)務(wù)損失，例如別的不法分子會通過黑客技術(shù)得到公司客戶的信息，再高價(jià)賣個別的保險(xiǎn)公司，就會造成客戶通過各種手段勸客戶退掉其原有保險(xiǎn)，購買其它保險(xiǎn)公司的保險(xiǎn)，為企業(yè)的業(yè)務(wù)量帶來巨大的影響。而在幾年前，這樣的現(xiàn)象在保險(xiǎn)行業(yè)經(jīng)常出現(xiàn)，從而導(dǎo)致了公司整體業(yè)績的嚴(yán)重下滑。

　　在意識到了這個巨大風(fēng)險(xiǎn)以后，該企業(yè)聘請李達(dá)作為企業(yè)駐中國的首席信息安全官，進(jìn)行全面的信息安全管理工作，當(dāng)時企業(yè)的信息系統(tǒng)面臨著一些很難解決的問題，例如如果全面兼顧信息安全（把客戶匿名化），就根本無法推進(jìn)業(yè)務(wù)，而不技術(shù)性的解決信息泄露問題，業(yè)績的下滑只能越來越嚴(yán)重。為了更加有效的監(jiān)管公司的客戶個人信息，李達(dá)帶領(lǐng)他的團(tuán)隊(duì)在無數(shù)次試驗(yàn)下，最大化地保持了企業(yè)各個部門的使用習(xí)慣，降低由于改變帶來的負(fù)面影響效率降低；針對現(xiàn)有的上百個系統(tǒng)不要做很大的改造，卻能夠讓這些系統(tǒng)從web頁面上默認(rèn)顯示被打了掩碼的客戶個人信息。

　　李達(dá)和他的團(tuán)隊(duì)創(chuàng)建了這一適合公司的安全信息系統(tǒng)并被企業(yè)廣泛運(yùn)用以后，極大降低了個人信息泄露的范圍，即使有信息泄露，由于有足夠的日志記錄，也可以通過快速的定位查到誰泄露了個人信息。此系統(tǒng)的運(yùn)用，使得公司能夠第一時間追責(zé)并控制個人信息的繼續(xù)泄露，由于改造成本低，實(shí)現(xiàn)起來時間周期相對短，這個方案展示給了企業(yè)的亞太團(tuán)隊(duì)和美國總部的架構(gòu)團(tuán)隊(duì)，總部目前已經(jīng)將這個技術(shù)在全球范圍內(nèi)進(jìn)行實(shí)施。

　　助力某全球知名主題樂園系統(tǒng)安全遷移至公有云

　　早在三四年前的2018年、2019年，那個時候國內(nèi)的公有云剛起步，相比國外的AWS, AZURE, GCP等公有云各方面的成熟度都要低很多，因此當(dāng)時的該主題樂園的系統(tǒng)并沒有“安營”在公有云，也無法“駐扎”在其他的系統(tǒng)，因?yàn)橹袊嚓P(guān)的網(wǎng)絡(luò)安全法律法規(guī)等限制，企業(yè)的數(shù)字化工作無法順利進(jìn)行，然而有著巨大流量的企業(yè)在當(dāng)時又亟需需要進(jìn)行數(shù)字化轉(zhuǎn)型，將企業(yè)的系統(tǒng)遷移到公有云上是勢在必行。

　　當(dāng)時的李達(dá)已成為該企業(yè)在中國的信息安全部門負(fù)責(zé)人，他帶領(lǐng)團(tuán)隊(duì)經(jīng)過了對2個國際性的公有云評估后，發(fā)現(xiàn)這兩個公有云所能提供的功能要遠(yuǎn)遠(yuǎn)落后于其國際版本。接下來，李達(dá)建議重新評估國內(nèi)某知名公有云系統(tǒng)，在橫向?qū)Ρ群?，他和團(tuán)隊(duì)發(fā)現(xiàn)國內(nèi)某知名公有云平臺在部分功能雖然沒有一些國際版公有云那么多，但比之前對比的公有云在國內(nèi)使用上更加有優(yōu)勢，最終李達(dá)成功將企業(yè)的系統(tǒng)成功安全的遷移到國內(nèi)某知名公有云平臺上。

　　但新問題又出現(xiàn)了，作為公有云，面向社會開放，數(shù)據(jù)安全問題如何解決呢？李達(dá)針對公有云上企業(yè)需要使用的各種云原生功能進(jìn)行了逐一測試和使用，并針對公有云上的各種需要的云原生功能，寫出了一系列縝密的安全加固指南，李達(dá)還帶領(lǐng)團(tuán)隊(duì)根據(jù)公司本身的安全要求，將這些接口的數(shù)據(jù)進(jìn)行整合來監(jiān)控公司部署在公有云上的各種服務(wù)是否有嚴(yán)格遵守了其所編寫的安全加固指南要求。經(jīng)過了這一系統(tǒng)化的安全策略和統(tǒng)一的監(jiān)控部署以及李達(dá)親自撰寫的加固指南，整體提升了企業(yè)在該公有云的安全保障能力，也幫助了其它企業(yè)保護(hù)了其在公有云上的資產(chǎn)，間接幫助了其它企業(yè)參考李達(dá)所在企業(yè)在公有云系統(tǒng)防護(hù)，作為自己公司的防護(hù)藍(lán)本。

　　敏捷式開發(fā)安全運(yùn)維：體制增速的同時保證企業(yè)核心競爭力

　　當(dāng)下，越來越多的企業(yè)在進(jìn)行著數(shù)字化轉(zhuǎn)型，因?yàn)槠淠軌蚪o企業(yè)的業(yè)務(wù)增速，幫助企業(yè)快速的將自己的產(chǎn)品推向市場，同時又能降低企業(yè)的成本，某全球知名主題樂園位于中國的度假區(qū)為了擁抱數(shù)字化轉(zhuǎn)型，由李達(dá)主導(dǎo)設(shè)計(jì)，引入了敏捷開發(fā)安全運(yùn)維的模式，敏捷開發(fā)安全運(yùn)維大大縮短了運(yùn)維時間，提升了企業(yè)的效率，為企業(yè)不斷帶來核心競爭力。

　　相比于傳統(tǒng)的瀑布式模式，敏捷開發(fā)運(yùn)維的模式更加快速，自動化，通過產(chǎn)品快速迭代的方式將系統(tǒng)快速上線。但同時帶來了很大的安全風(fēng)險(xiǎn)。因?yàn)樵趥鹘y(tǒng)的瀑布式模式下，安全團(tuán)隊(duì)有足夠的時間進(jìn)行按部就班的各項(xiàng)技術(shù)評估和測試，例如在產(chǎn)品需求分析階段，安全團(tuán)隊(duì)通過評估整個系統(tǒng)架構(gòu)，給出很多安全的需求，那么這個時間通常會是1-2個月。然而在敏捷式開發(fā)模式下，2個月下來產(chǎn)品早就上線了，甚至都已經(jīng)迭代了幾次了。這樣就導(dǎo)致安全團(tuán)隊(duì)無法及時有效的識別出各種安全的問題，讓產(chǎn)品帶著安全隱患發(fā)布后會對產(chǎn)品本身帶來影響，比如安全隱患被黑客利用，從而攻擊企業(yè)的系統(tǒng)。

　　在此背景下，李達(dá)提出將網(wǎng)絡(luò)安全功能左移并自動化的理念創(chuàng)新設(shè)計(jì)開發(fā)出敏捷開發(fā)安全運(yùn)維模式。敏捷開發(fā)安全運(yùn)維模式下的方式是一個迭代周期一個迭代周期。通過這種高速的敏捷開發(fā)安全運(yùn)維模式，能夠讓應(yīng)用團(tuán)隊(duì)早期便知道各種網(wǎng)絡(luò)安全的需求并加入到設(shè)計(jì)開發(fā)當(dāng)中，通過開發(fā)各種自動化工具，替代了以前的人為工作量，在效率上得到大幅的提升，通過完善開發(fā)安全運(yùn)維，可以將一個系統(tǒng)的迭代周期從之前的數(shù)月甚至幾年縮短到兩周，并且還能有效的保證了系統(tǒng)的安全性，不會存在架構(gòu)上的安全隱患，代碼上也不會存在高危漏洞。由于產(chǎn)品上線快，能夠快速的滿足業(yè)務(wù)的需求，搶占市場。

　　在業(yè)內(nèi)做出了許多成功案例后，“成功信息安全專家”的標(biāo)簽被不斷貼到李達(dá)身上，在很多人眼里，李達(dá)所經(jīng)過的事業(yè)走向就是成功的標(biāo)志。然而他自己這樣看待成功：“我并不希望被貼上‘成功’這個標(biāo)簽。能夠在幫助企業(yè)實(shí)現(xiàn)良性運(yùn)轉(zhuǎn)、讓企業(yè)不斷具備核心競爭力的同時順便也實(shí)現(xiàn)了自己的理想才是成功。”這樣理智又沉穩(wěn)的信息安全專家，就是整個行業(yè)的希望與未來。