总第14期
Practice    实践
Practice    实践
新东方安全构建实践:以产品/系统为核心到以数据为核心
文/陈广成
分享

说起新东方,很多人并不陌生,它以语言培训为核心,业务涵盖了教育培训、教育产品研发、教育服务等方面,服务对象覆盖了学前、中小学、高中、大学、在职员工等众多人群。

不过作为一家教育培训机构,新东方在信息安全保护上却有着很多行业体会不到的苦恼,那就是保护数据安全的重要性,其中主要包括培训教育的知识成果和敏感的客户信息,这两者可视为一家教育培训机构开展业务的核心。

在北京中关村,这里遍布着大大小小的各类教育机构,竞争激烈,谁能提前一步获取用户数据,谁就优先掌握了竞争优势。事实上,由于教育机构竞争环境导致的数据贩卖、通过非法手段获取数据的事情发生并不稀奇。

作为一家大型综合性教育科技集团、中国大陆首家海外上市的教育培训机构,新东方面临的数据安全保护挑战巨大。新东方教育科技集团信息安全负责人杨宁告诉记者,新东方每月遭受的应用层攻击(如扫描、SQL注入等攻击尝试)高达上千万次。除了面临外部攻击风险,内部数据泄露也是巨大的潜在风险之一,在电商、银行、电信等行业由内鬼导致的数据泄露事件屡见不鲜。

所以,保护数据安全是杨宁工作的重中之重。另外,也许是源于对数据安全的重视,至今新东方部署到公有云环境中的业务都不包含核心业务,新东方根据业务应用的重要程度依次划分为P1-P4的等级级别,P1自然是最核心的业务,例如网上报名系统等。因此,P1-P3前三类业务均是部署在由3个万兆环网互联的私有云数据中心中。

信息安全防护从“以产品/系统为核心”到“以数据为核心”

可以看出,保护数据安全是一家教育培训机构信息安全工作的核心要务。在新东方信息安全建设的早期阶段是以部署产品、系统为核心,杨宁称之为救火式的安全体系。然而,以产品/系统为核心的安全不能提供全面的安全保护、难以应对各类安全威胁,尤其是随着防护边界越来越模糊、攻击复杂度越来越高,这种防护思路渐渐失效。

并且随着合规要求的监管政策越来越高,例如国内的《网络安全法》、欧盟GDPR等法规要求实施生效。内外部环境下,新东方开始转变信息安全防护思路,也就是“以数据为中心”。杨宁将这种转变总结为4个能力建设:网络解耦+主机防护;安全数据整合;安全能力建设;行为异常检测。

这其中的关键在于围绕数据安全事件的全链条防护,在事件发生之前:能够做到很好的评估+预防,识别风险;事中:进行实时的监控、分析和告警,及时发现问题;事后:提升应急响应和处置的效果。

要达到这样的目标,主机安全防护变得异常重要。围绕主机安全,新东方主要关注三个方面:

系统功能:包括资产管理、风险发现、漏洞识别、入侵检测、基线合规、日志及告警、服务接口集成、入侵事件的误报率和漏报率;

Agent:包括支持的服务器操作系统平台、Agent性能及影响、Agent自身的安全、Agent异常监控及响应;

厂商及产品:包括技术支持能力、应急响应能力、产品部署模式等等。

围绕这样的要求,新东方在公有云类、传统企业级类的主机安全产品,以及开源的OSSEC 产品中进行了评估和调研,最终新东方选择了在功能和性能指标方面表现出众、且部署模式灵活的主机安全防护系统,以对数据资产、状态、关键活动等进行感知、分析和监控。

建立起一个实时有效的防护体系

利用主机安全防护系统,新东方在主机安全层面建立起了一个实时有效的防护体系,并拓展了在远程分支机构及公有云端的系统安全防护能力。入侵前:漏洞检测及基线检查,弥补了不带信任凭证漏洞扫描的缺陷;入侵中:实现主机系统的实时安全监控,入侵的实时告警和响应;入侵后:进行系统被入侵后的系统分析和取证,以及应急响应。

目前,利用这套系统,新东方将主机安全入侵事件人工调查取证时间降低了80%,而且入侵过程和行为识别更加精准,提升了应急响应的效率。

并且基于此,新东方正在搭建安全私有云平台,以保障集团400多业务应用的运行。杨宁表示,目前信息安全私有云平台在不断建设完善之中,安全服务能力平台将会以私有云的模式为集团各业务提供自服务。他谈到这套安全能力平台的特性包括:智能化、可视化、自服务、威胁实时感知、自动响应攻击处理和拦截等。在围绕安全平台的选型方面,除了功能、性能、部署模式必须满足需求,新东方更关注丰富和有价值的数据输出,以及服务接口的多样性和可集成性。

目前,新东方的信息安全架构覆盖了信息安全治理、信息安全管理、信息安全技术、信息安全运营4个层面。信息安全要保障企业的信息资产不受损害,涉及的范围从物理环境、人员、系统、应用及数据等众多领域。

在杨宁看来,对于企业尤其对于新东方这样的教育培训机构来说,安全和业务的关系已经不仅仅是保障、支撑、引领业务的关系,而是共生共存的关系。

新东方的目标是将安全能力融入到企业的每一条业务线,每一个业务应用中去。从而保护知识成果和敏感数据信息不泄露,确保业务运营安全合规,保障核心业务应用安全、持续、稳定运营,实现线上及线下业务应用和活动中的信息安全风险可识别、可管理、可控制。

分享到
关闭