安全人才缺口巨大企业安全体系亟待破题

12月18日-19日，首届“360安全特训营”在京举办。来自政府、金融机构等企业的40多位信息安全负责人与360公司的顶级安全专家们共聚一堂，探讨企业级信息安全之道，全面深入地了解了当前企业面临的攻击威胁及最新的防御措施。全国顶尖“黑客”仅几千人图：与会者围住演讲结束的360副总裁谭晓生，继续交流探讨。“我们公司招不到足够的安全人才，想做完备的体系有点有心无力，有没有什么好办法能解决这个问题?”某大型企业信息安全负责人在“360安全特训营”上问360副总裁谭晓生。“目前的现状是，安全人才的缺口确实很大，专业的安全公司对于安全人才的抢夺很激烈，所以大量普通企业安全未来的出路应该是安全服务外包。”谭晓生回答。谭晓生透露：“目前在全国范围内，能独立组织网络攻防的顶尖‘黑客’，白道黑道全算上，只有几千人，这些人里有100多人在360公司，许多小的安全公司里，可能只有一到两位这样的人。安全人才呈现极度碎片化状态。”随着传统企业不断的互联网化，企业的安全需求呈现爆炸式增长。基于目前的人才现状，以及顶尖安全人才培养的难度，比较现实的做法应该是将顶尖人才聚集成一个团队，由这个团队同时为若干家企业提供安全服务。人是企业安全防护成败的关键图：员工在企业安全中极其重要，“人”才是企业安全防护成败的关键。在“360安全特训营”整整两天的讲解与交流中，安全专家们多次提到人对企业安全防护的影响，总结起来说，“人”才是决定企业安全防护成败的关键。前段时间，国内某网络设备巨头的服务器遭NSA入侵监听。这一事件的
曝光再次敲响了企业安全防护的警钟。360网络攻防实验室负责人林伟表示，据对这个事件的分析，对方可能是利用APT手段“搞定”了公司老总的秘书，进而入侵到公司内网。林伟进一步提醒企业的信息化负责人：“秘书、前台、快递、碎纸机这些看似毫无关联的人和物，都会成为泄露商业机密的关键因素。”他认为，在云计算与移动互联网全面普及、社交网络大行其道的今天，“人”是决定企业安全防护成败的关键。新一代的企业安全防御体系不仅需要优秀产品和技术，更需要企业全员高度统一的安全意识，这样才能事半功倍。360网站卫士产品经理董方也认为: “员工在企业安全中极其重要，无论问题最初看起来怎样，它始终是人的问题”。企业需构建立体联动安全体系图：360 UnicornTeam负责人杨卿展示的无线威胁场景引起与会者围观。随着万物互联时代的到来，单一的安全产品已不能满足企业的网络防御需要。当360 UnicornTeam负责人杨卿讲解国内无线安全现状的时候，汽车、防盗门、银行卡、地铁、停车管理等多个威胁场景，让与会者都直观感受到了这种无处不在的安全隐患。针对这种无处不在的威胁，360高级安全咨询经理张晟表示，我们已经进入新的企业安全时代，不仅要配备专业安全运营维护团队，还迫切需要建立一个立体联动的安全体系，这个基于大数据的体系，需要取得决策层的全力支持，更需要内部员工的集体参与。”360企业安全售前总监李博以360公司独有的的立体联动安全防御体系为例，让与会者对立体联动有了更深入的了解。这套体系没有配置网络防火墙，也没有设置IPS，李博将这套防御体系概括为“一个整体防护中心、两个安全原则、三道安全防线和四个被威胁假设。”谭晓生的比喻颇为形象：“立体联动安全防御体系，说穿了就是由过去的城墙防御变成塔防游戏”。在塔防游戏体系下，企业在云、网、端上部署了若干防御点，攻击者如果要发动威胁需要过一道一道的关，而各个关口可以联动防御，直至攻击威胁被消除。背景链接：“360安全特训营”，是由360公司推出的全方位增值培训服务，面向政府和企业的信息化安全负责人。通过一线安全专家的亲身讲解，真实攻防案例的现场演示，最新安全产品和技术的体验，360公司安全防御体系的分享等四大环节，深入探讨企业级信息安全之道，帮助企业度身制定最适合自身的安全防护体系。