易支付安全
男:易寶支付和青藤雲安全的合作使用了青藤哪些產品,解決了哪些問題,解決解決方案是怎樣的?
陳:跟青藤雲應該是兩年前有往來,開始是一些技術和經驗分享,張福過來過,還有一位我忘記名字的過來過,一起交流過,討論過一些關注的安全問題,應該是去年底還是今年,我們也用了青藤雲的一些解決方案,應該說對易寶來說安全是比較關鍵的,因為我們是做交易的,尤其是大量處理資金,所以安全是特別重要,特別考察了市場裡很多產品,然後把青藤雲選出來,用他們的解決方案來加強我們的安全,就是這方面做了一些合作。
男:能有具體一些的,產品主要解決什麼樣的安全問題?
陳:特別具體的要等廖威來,他是上手做資訊保安的,從我的角度是知道我們跟青藤雲,應該是去年底,你們記得清楚嗎?去年底籤的協議,引進的解決方案,具體的解決方案,詳細的使用效果要等廖威來說。
男:對青藤雲這家公司有什麼樣的印象和認識。
陳:我本身在美國也做過一段安全,2002-2004年這段時間,911以後,我是先從防火牆,反DDOS攻擊,後來反滲透和綜合的資訊保安體系搭建方面,當時在諾基亞,在Abacus做了一些專案,這個行業也算是熟悉的。青藤這邊,我感覺國內國外有很多資訊保安解決方案,這次回去我跟他們聊過幾次,現在越做越比較深入,大家不像以前說做過防火牆,做一做加密就簡單解決了,現在更多地是整體防護,我前兩天和廖威說過,我們的概念應該算與時俱進,去年跟他強調過要全棧加密,不分內外網,因為按以前的概念,搞出防火牆,裡面的,外面的,DMZ的,再分其他的區,把要保護的資訊資產分類之後分別採取措施,現在是說內外都一樣,沒有完全安全的地方,外網的做法有的用到內網,包括了剛才講全棧加密,加密到什麼程度,即使是資料處理在我內網的不同伺服器之間呼叫,我要求加密,曾經在我們支付行業界出現過一個很大的問題,不是易寶,是在美國出現過一個,我跟大家說一下,在2012年的時候,美國有家特別大的零售公司,超級百貨市場Target,上千萬到上億條個人資訊,卡資訊洩露,當時的原因很簡單,有人把木馬放在pos機,就是收錢的裝置商,每個人刷卡,刷完之後在Memory的資訊拷貝一份送到什麼斯,什麼斯那個國家就把這些積累起來,在網上賣掉了,這是一個小例子,端對端,使用者接觸裝置到防火牆進來,到中間和後端處理全面都要採取安全措施,都有風險,沒有一個地方是安全的。而且長期經驗告訴我們說,有的時候裡面的風險比外面還大,尤其像我們這種支付公司擁有大量的卡資訊,賬戶資訊,個人資訊,PCI的資料,要麼是對人生命有威脅的資料,拿到你家裡的住址,身份證,可以找你,到門口埋伏一下,對生命有危險的,生命安全。還有對財產有安全的,比如拿一張卡,把你卡號拿去了,信用卡的磁條就是16個數字,沒什麼別的,對財產有安全威脅的,從我們的角度來講,易寶這麼多需要受到保護的資訊,我們就秉承前面說到的要全面防護,沒有完全可信,沒有完全沒有風險的地方,我們應該是比較體系化的做,除了說剛才前面提到的,在裝置上跟青藤雲有合作以外,更多地是在防護體系上,比如說怎麼去貫徹資訊保安的這些理念,比如說怎麼把資產找出來,怎麼分,分完之後怎麼分級,怎麼採取流程規範,這些是我們一直在做的,而且是做得非常好的,應該說我們資訊保安等級保護國家要求二級就可以,我們已經是三級了。
男:這種支付性質的公司應該是三級的。
陳:我有PCI,27000,早已經覆蓋,整體的資訊保安策略上,從整體的體系建設上,這是我們做得比較多的,然後才是說技術層面,比如說涉及到程式碼上的黑盒子,白盒子測試,整體的防護滲透的檢驗,黑白雙方的紅的和黑的,雙方攻防的東西才是技術層面的,我們更看重前面的層面,後面是說有基礎和理念的情況,去做一下,怎麼做,各種辦法都有了,包括我們跟青藤雲合作,就是說剛才前面說了具體合作的實際的比較細的效果,就找資訊保安總監來說是更有比較詳細的數字和資料的,到我這裡是比較體系化。
男:巨集觀的,他是比較專業。
陳:是的。
男:廖總談一下,青藤雲的自適應理念,以及做的Agent這種做法是業內比較關注的,因為是比較前沿的技術,前沿的安全技術大家最關注的是落地,尤其你們是作為支付,非常有說服力的使用者,想聽一下對青藤雲的安全是怎麼用的,解決了哪些問題,在哪些場景下,好用在哪。
陳:細的等會兒他說,我說一下整體上不論是前段時間,我回去和palo alto的架構師在聊,palo alto防火牆和思科的在聊,整體這個行業的趨勢是大家在做資訊保安的保護措施時,已經沒有辦法像以前那樣簡單做個策略,這個可以進,這個不可以進,這個可以進這,可以進那,更多地是像青藤雲這種有一個根據情況的變化,外面的輸入,外面的態勢變化,可以自己採取反映,就好想你一動我自動的打你一下,是這樣的,我們內部叫智慧化的安全防護,他們也在往這個方向走,不知道你們內部提不提這個說法,叫智慧化的,邏輯應該是一樣的,不需要傳統的手工部署,而是自動化地根據情況變化,適應外面安全態勢變化的情況。
男:他們叫自適應。
陳:拔個高叫智慧呀,搞一個虛擬小機器人。
男:陳總對中外的IT建設和安全方面非常資深的,可以有一些大的理念和概念多和陳總聊一聊。
男:陳總說了和思科聊過,提智慧基於主動意識的網路,您站在CTO的角度,甲方CTO的角度,您認為未來安全有哪些趨勢,挺希望聽到使用者的聲音。
陳:接著剛才我說的智慧化,今年八九月去上海蔘加國務院網路安全專家組,這個專家組專門有一個金融安全分組,專門在上海開了一次會,咱們人民銀行的科技司喊我過去,這裡面,上次大家談的時候,在那個會上談的時候,大家的方向跟我們內部做的和想的方向都差不多,就是說資料越來越多,變化越來越快,不可能等著你再手工慢慢玩,這種基於人工智慧,基於大資料的快速的反應和自適應的做法就是未來的方向,已經沒有辦法達到說咱們像前面講的搞一條策略,不行再搞一條策略,已經玩不過去了,所以不管是哪種防護,都是在這個方向往下走。
男:必須智慧化,否則管不過來。
陳:沒有辦法了,我們要求反應快,等到想明白可能危機已經發生了。
男:支付行業有沒有比較自己行業化的特點方向?
陳:支付比較特別地是說我們既有這種資料資產,比較需要保護的,前面講了跟生命安全相關的PIC,跟卡相關的PCI的相關資料,支付行業有一個特別的地方,就是欺詐,欺詐和安全是有差別的,安全是說攻擊你,進來想拿你的東西,欺詐是比較隱晦的辦法,搞一個卡號假的,但是適應你的流程往下走,這兩件事既有差別,但是很多地方是有相似的,就是解決問題的方法也是相似的,比如我們反欺詐的時候,每天大概,上個月,這個月增加了110萬筆,一天增加110萬筆交易,一秒鐘得處理多少,加上原來的基數就很大的,我們一年做2萬億交易,這個基書架上新增的基數,要讓我幾個人,五六個人資訊保安團隊去幹這個事,去做兩件事,第一,防資訊保安的各種漏洞,感知態勢,然後做各種防護措施,各種預防性措施,各種演練,各種資訊保安的測試,他們都在,還有配合各種審計,各種認證的審計,不可能的。尤其是剛才我提又有欺詐的問題出現,欺詐是20毫秒必須作出反應,給我一個交易,這個交易能做不能做,這個卡是真的假,是不是偷來的,20毫秒要做出反應,做不出反應就過了,安全和欺詐類似,快速的反應,這麼大量的情況下,這麼大的併發情況下,反應不過來就沒了,所以說不管是從欺詐,從資訊保安的角度很類似,都是要求在大量的資料,快速變化的情況下快速反應。
男:您提到了有ISO27000,等保,TCI,整個安全體系框架需要什麼放一個規則,還是自頂向上,從諮詢和規劃有一個整體的壓力設計?
陳:我們有自己的整體規劃和策略,這些等級保護只是說業界的一些最佳實踐,按照業界的最佳實踐從不同的角度,不同的維度來度量我們,一方面是我們自己願意做的一些,27000是我們自己做的,不是強制的,PCI是強制的,PCI是卡處理,資訊保安等級保護不是強制。
男1:GBT推薦,國標推薦。
陳:所謂推薦就是必須做了。
男1:明年開始必須強制了。
陳:我們是先有體系,先有策略,然後這些等級保護,27000最佳實踐這樣走我們看做得怎樣,除了我提到的PCI,ISO27000,等級保護之外我們內部還有安全審計,自己資訊保安部門會主動對不同的產品拿出來審,我們自己有審計部,會反過來審資訊保安部,一層套一層。
男:你們屬於內審,不是第三方的。
陳:內審審他們,他們再審產品,一環套一環,這個體系還是相當全面和完善的。
女:審計部門是在公司下面還是獨立的?
陳:審計是歸公司的,審計直接報告給大老闆,報告給CEO的。
男:IT審計?
陳:是資訊保安審計和IT審計都有。
男:你們的整個體系,您認為是基於網路的還是基於資料的,還是基於應用的,有沒有一個核心的點?
陳:我倒不覺得我們能側重在哪個點上,因為你說這幾樣東西我們全都有,我們是有了產品,解決了使用者的問題,所以帶來了一堆資料,然後因為做這些事,我們有網路,所以這三樣東西我們都有,沒有辦法側重哪個,其實我們自己叫Total defense,也不能說全面防護,也不能這麼簡單提,實際情況就是這樣,資料我們內部有一堆這種規範,流程,去對資料的儲存處理和請求,怎麼看呢,很多很多,每天有很多來做審批,應用呢,我們是怎麼樣,每個應用出來了,做黑盒白盒的審計,現在正在做自動化測試,可能除了做功能和效能上的覆蓋測試以外,資訊保安也會加上去,願意不願意,應用只要一出來一個新的程式碼,就可以覆蓋上去了,對我們來說,特別是怕一些已經見過的漏洞,已經見過的後門,已經吃過虧了,再進來,我們又覆蓋上去了,應該真的是Total defense,沒有辦法說側重資料,網路這邊我們不用一秒鐘,一眨眼400毫秒,最少50萬沒有了,網路安全,DDOS進來搞我10分鐘多少錢,所以網路層的一定要用。應用層的,誰在上面加一個後門,錢轉走了,轉一個億行不行,我們可以轉12個9,轉轉試試吧,加一個後門轉,別搞12個9,五六個9就夠了,應用上的安全更重要,對我們來講,我們大概裡裡外外有400個不同的應用,這400個應用,特別重要,特別關鍵性的,大概得有個一二十個吧,甚至還多。
男:會不會經常的迭代,上線下線。
陳:天天都在迭代,特別多。
男:DevOpos正在用?
陳:敏捷的。
男:作為CTO認為未來支付行業,肯定是越來越線上化,越來越元老化,越來越實時化,越來越數字化,可能所有的業務都和安全是緊密貼合的,在防範這種安全和業務緊密貼合的情況下,怎麼樣才可能更好地,除了剛才說的很大,就是基於智慧的這種智慧化,有沒有一些稍微具體一些的安全方向怎麼做,業務和安全貼得太緊密。
陳:支付行業不知道你們瞭解多少。
男:比較少。
陳:就是大家每天上街買個地瓜用的都是掃碼,那叫C2B的支付。使用者給商家的支付,還有B2C的支付,是老闆給你發工資,錢從銀行發出來,進到你工資賬戶裡,B2B的支付很清楚,賬戶之間的,還有C2C交易,你倆中午吃飯,欠他多少錢還一下,這裡面的格局,假定這個市場的容量是100的話,其實這個容量是2311萬億,這個數,C2B的交易。
男:我國的GDP是80多萬億。2311萬億,300倍。
陳:天天用的騰訊的微信支付和阿里的支付寶,主要做的是C2B,也可以做C2C,C2B和C2C兩種交易,在2311萬億佔30%,B2C,就是銀行給你發工資,發社保這些事,佔20%,還剩下50%叫B2B的交易,易寶主要是做B2B的,我們是不做C2B的,所以會說在市場上易寶幹什麼的,賣水的?但是我們做的是2B的交易,回答你剛才的問題,2B交易的特點是什麼呢?就是處理的錢,這個邏輯比較複雜,C2B的交易,拿卡我在你賬上一口完事了,B2B的交易,這邊一個小的B做了交易,收了錢,這個錢往上面一層拿的時候,扣掉一個稅,扣掉聯盟的加盟費,扣掉個費,上到上面,上面可能還有其他的邏輯要處理,這個處理的邏輯跟層次性會比較強,這種業務是屬於比較難開展的我跟你談這個事,咱倆可能談兩年不一定談得成,比如航空公司,我們國內所有的航空公司都是易寶客戶,咱倆談兩年談不成,談成了接上了,我的系統和你的系統幾乎是整合在一起的,這時候他再來了,說我很牛,你倆再慢慢談吧,得費多大牛勁能把我的拆開,我們這種是門檻相對來講比較高一點,邏輯比較複雜一點,做的交易額度會很大,機構和機構不可能玩五毛一塊的,怎麼也是幾千幾萬,十萬百萬這種的,這是支付的特點,我們向未來發展,剛才講支付向未來發展,可以看到說之前如果大家都是00後的,都沒有經歷過之前是給現金的,咱們都知道,後來有卡了,工資發到卡上,用卡支付的,這大概是90年代到2000年一段時間,2000年以後,尤其是2008年以後基於手機支付,拎個手機四處買東西。再強前發展就是兩個比較大的方向,一個是說手機這個東西還會接著去用,但是呢,別忘了手機其實後面是綁了一個卡的,或者是裡面已經充了現錢的,這個卡還是要先解決了態度用的,未來的支付,更多地是基於真實的個人生物特徵,刷臉,美女一出來,臉一出來,就是她,這肯定沒錯的,不用查身份證,就是她,已經抓到人的現行了,她支付了多少,你說我還用不用輸入密碼,都是她了,還用輸入密碼幹啥,或者說到一個地方支付,上海有這種演示的,牆上有可以取指紋的,拿手往上一拍,五個手指頭和掌紋都收了,一定是你嘛,哪裡跑,尤其是移動裝置有電子柵欄,就是手機劃一個線,只要進到我的線裡就知道誰的手機,MEI多少號,UID多少,記錄了,沒的跑。這種支付更加是基於真正的,真實的個人身份完成的支付,這種支付要求的安全情況就更加不一樣了,現在沒有看到的,比如說現在這個圈裡劃一個電子柵欄,可以想法通過電子柵欄,廢掉我電子柵欄,很多辦法就出來了,刷臉可以戴個面罩,手可以戴個指紋套,都可以,安全的情況就變了,會有很大新的變化。就像現在又有什麼這種包括欺詐和電信詐騙的裡面,劫持訊號什麼這些都會有發生,所以新的情況會更加複雜,更加高科技,不僅僅是這種通用的比較笨的搞個DDOS,放個小後門,搞個木馬這種老套的東西了,這種都是大家必須容易搞定的事了。更加複雜的是現在能想到的基於這種真實交易的場景,這是一個方向,還有一個方向是什麼呢?
我們在做支付的時候,現在你們支付,剛才前面講了,後面就是一張卡,未來的應收數可能跟卡沒有關係,未來是電子現金,我們叫Digital Cash,賬戶裡的電子現金和電子身份證EID連在一起,相當於每個人發一個U盾,公安部發的,每次交易的驗證直接拿這個EID來做,怎麼保護這些資訊,絕不是現在這種保護方法,前面提到了有效的,就是(議應)新的資料也好,移動的手段和場景也好,出現新的這種支付的變化。解決方案應該說是自動化,智慧化,一定是方向,因為很多東西只能在了邏輯上想,想明白之後用到場景上,不能逐個場景現做,現去考慮。
男:沒錯,基於規則的已經跟不上變化了。你們具體的IT設施,我也看過你們的一些資料,有一百多萬這樣的客戶都是企業方面的,有聯通,移動,運營商,汽車製造,什麼都有,你們在之間的這種支付,是用什麼,你們各自應該有自己的私有云,或者是各自自己本地的資料中心,IDC,你們是通過一個公有云,共同在公有云做,還是私有云之間彼此的打通,大概的邏輯架構是怎樣的?
陳:很多場合聊過這個事,雲這個問題在支付行業裡面目前還不是特別常見的,原因是如果基於雲,特別是公有云,我們有私有云,如果是公有云,當你的支付資訊在這個雲上存在或者是處理的時候,舉個例子,下面有塊硬碟壞了,然後說戴爾硬碟壞了,戴爾的服務很好,拿個哥們把硬碟拿出來換走了,硬盤裡有一百萬卡號,找地方就恢復了,可以吧,這就是為什麼我一直不上公有云,不管是華為還是騰訊,都來找我商量過這個事,但這是沒有辦法的,除非我所有物理設施全部加密,又對計算效率有很大影響,一旦出了故障,比如key找不到就是一堆垃圾了,這個東西基於支付的業務,上雲的是極其罕見的,不敢說沒有,但是國內大家我是沒看到,就是大的支付行業,大的支付廠家是沒有用到這個公有云的。但是私有云是我們自己搭的,自己做的,易寶的私有云主要是基於Docker3040,已經廢掉了VMware和虛擬機器,在Docker上做,基於Docker的私有云是我們自己架好的,剛才你問的問題比較直接,就是所有我的服務物件,就是我們英文叫PSP(Payment sevice provider),支付服務提供商,我的支付服務提供商,我們本身會和我的客戶進行整合,可以把我想成一個API閘道器,要用我支付的時候調我API閘道器,整合到他的應用上,不管是移動還是系統,整合上去,我們之間肯定是加密的通道,我們本身相當於一個RA,不是CA,我們自己有一套中樞系統,會給客戶發證書,該到期的,該換的都是自己內部管理,同時也有做交易的加密通道進來,還有很多商戶每天天黑了,說我今天做了多少錢,會上來看,我們客戶可以通過網際網路提供一個商戶的後臺,可以查交易,這個其實也是一套加密的通道過來,同時也用手機做,用Token做了雙因子認證,確保別到時候誰把這個東西拿去,光加密,人都換了就麻煩了,也在做這些。這個相對來講拓骨很簡單,可以想成一箇中心的,接了我們,我們再和銀行接,銀聯接,網聯接,人民銀行接,資訊傳過去,一環接一環。
男:之間走的是HTPS,CFC給你們做,這個必須規定是有CA證嗎?
陳:我們是CFC的。
男:基本就是這些問題。
男:對於網際網路金融行業來說風控是特別重要的一塊,想問一下我們的風控系統這塊建設怎麼做?
陳:兩件事,第一是網際網路金融這個詞太大,而且用得太爛了,現在不要亂用,一用之後會被人家刪掉了,現在隨便講網際網路金融發出去就會被刪掉,現在比較時髦的是Fintech,第二我們講網際網路金融純粹是中國國內硬造的詞,其實不存在網際網路金融這個事,當年有過汽車,有過電報,什麼時候有過電報金融的,通訊都用電報了,那個時候,什麼時候叫電報金融了,是不存在的一個事,只是中國的網際網路發展到了今天,有了一個契機,這裡面的小故事,如果時間夠我就稍微說一說,中國在2008年以前,在世界的這些國家裡相比,我們的網際網路滲透率是很低的,大概只有10%左右,就是所謂的網際網路滲透率,就是說上網算一個,一百個人有多個人上網,這個滲透率,2008年以前,我們之所以網際網路滲透率低,原因是第一中國地下鋪的光纜太少,老美,我家院裡都鋪,想接光纖,給錢就接,早鋪好了,人家的基礎設施完善。第二是老美有錢,家裡電腦好幾個,老婆有老婆的電腦,兒子有兒子的電腦,老公有老公的電腦,一人一臺電腦不成問題的,中國搞一人一臺電腦,一家一臺電腦都費勁的這兩個因素造成了整個中國的網際網路滲透率比較低。但是2008年,蘋果手機一聲春雷把中國送進了新的時期,因為我們太多手機工廠,你想想什麼OPPO,VIVO,華為,很多的,這些手機廠商,記得最清楚還有海信,這些手機生產商,500塊錢就搞定一臺,直接上網,可以上微信,直接跨入網際網路時代,中國網際網路滲透率就起來了,超過了美國。
男:對,移動網際網路超過美國。
陳:美國家家是能通,但是我們現在不放光纜了,直接無線的,買電腦,人手一份手機,一下子超過了,這就造成了我們的網際網路有這個大的發展,也造成了剛才你說的網際網路金融的事。這是一個,第二是中國今年改革開放40週年,40週年老百姓賺了很多錢,賺很多錢想幹啥,說咱萬元戶能否把錢賺得再多一點,通過錢來賺錢,都想理財,還有很多老闆做事,想貸款,這個時候中國的大銀行,其實是忙不過來的,咱們的大銀行是為人民服務很好的,但是忙不過來的,只忙什麼?只忙一些特別大的,比如說特別大的國企肉比較肥的來吃,你上銀行借20萬是什麼下場,所以忙不過來,他是為人民服務的,只是忙不過來。這種情況下網際網路上有一些比較簡單的辦法,開始的餘額寶,小錢生錢,後來理財,P2P,尤其是今年到去年,叫現金貸,結婚差五萬,現金貸吧,不能別的辦法去抵押,可以把身份證,人家給你評估,怎麼也給借點錢,都可以做到的,所以這一波,是造成了中國整個網際網路發展的兩個原因,一個是手機發展的,第二是我們的金融服務相對於其他國家有一個發展的過程,還沒有到那個過程,中間有這樣一段,正好網際網路給補上了,你剛才講的風險控制,這個事稍微複雜一點,風險控制是有兩個方面,一個方面是指信貸風險控制,就是說我把錢借給你了,我借給你,你能不能安全地在規定時間內還給我,這個風險。
另一個就是像易寶做的交易風險,所謂交易風險就是在交易過程中存在的欺詐現象,比如說我拿薅羊毛,拿一分錢支付跟你扯淡的這些事,這是我們面臨的交易風險易寶是不做信貸的,我們不借錢,不放貸款,或者是借錢出去,信用風險我們是不去處理的,但是交易風險是特別大的問題,但是在剛才回答你的問題,風控的方面,在這個新的形勢下,就特別顯得重要,美國的風控相對於中國有一個落差是什麼?美國有一個很完善的叫信用服務,信用服務是150年來一直建立發展的過程,就形成了三大徵信公司加300家小徵信公司,形成了完善的徵信體系,要去了解誰,瞭解他,把身份證一遞,馬上給你一份,這個哥們兒三家公司給你一份,一家給二十份,一家給五十份,一看大概知道怎麼回事了,中國沒有這個,28%的人有在央行比較好的,比較完善的徵信記錄,還有72%的人一查說白戶,什麼叫白戶,就是光有你的名,是合法公民,但是沒有貸過房,沒有貸過車,我們也不知道你怎麼著,這是比較麻煩,這是我們中國所謂的金融科技風險控制當中比較挑戰性的一塊。但是,幸運的是我們在2008年以後,因為移動網際網路技術發展,大量的資料出來了,看你手機,電腦,各種網際網路上的活動,大量的資料出來了,這些資料加上我們近期,特別是近三兩年出現了人工智慧的技術,能夠快速的讓我們找到,就是給這個人打標籤,人家一看良民,可以多借點錢,儘管你說我在人民銀行徵信系統沒有什麼記錄,一看這個不錯的,工作幾年了,職業是什麼,借貸能力很強,可以把錢借給你,這是歷史給中國一個很好的機會,這個機會就像前面講的,在2008年中國超越美國,在移動支付上中國也超越美國在信用管理方面。老美是四平八穩的,傳統的東西沒有跳躍,我們是一下子跳過去了,不知道回答你的問題沒有。
男:這兩年國家對於網路安全重視程度特別大,去年《網路安全法》落地了,今天好像是正式實施的一個公安部下發的,11月1日正式上線,《公安機關網際網路安全監督檢查規定》,上面有一些相關的規定,您覺得國家現在對網路安全越來越重視,國家的這些措施對企業來說,能達到怎樣的效果?
陳:想要達到什麼效果?
男:您覺得有哪些改觀?網路安全這塊。
陳:是這樣的,去年6月1日的《網路安全法》出來,對行業是件好事,之前大家都有這方面的想法,但是沒有一個規矩可循,做到什麼樣算合法了,算是做到盡責了,不太好衡量。《網路安全法》出來之後明確界定了什麼資料,多少條算犯法,搞多少條可以進去多少天,這事比較清楚了,這樣的話,對這些接觸網路資料的,尤其是個人隱私資料的,和做網路安全的人,相對來講就有一個比較清晰的界限和尺度,可以去自我衡量,自我評估,說我做的時候太過了,還是說我做的不足,就有一個比較好的評估,這是對企業的好事。還有一方面是有了網路安全法,對向他們這種專門提供專業安全服務的,也是有好處。以前網路安全處永遠沒完的,網路安全說白了,其實是一個成本很高的事,你說做網路安全,做到什麼程度,做到每一個數據,所有的環節都加密,所有的環節都怎麼保護,可以,但是很麻煩,很多成本,很多的效率問題,有了網路安全法,他們在服務,像我們這些使用者的時候就知道說使用者有網路安全法,要守法,這是個機會,要用我的裝置,但是我提供到這樣就好了,對他們也是很好的事。
男:問一下廖總,青藤雲叫自適應安全,不知道我們公司有沒有使用其他的態勢感知的產品,您對比來說,他們之間您覺得有哪些區別,青藤雲安全有哪些優勢?
廖:我理解青藤是態勢感知的一個環節,一個數據來源,為態勢感知提供很底層的資料,因為現在安全防禦都是叫縱深防禦嘛,IFT,從網路到主機到應用,到應用底層,監控是全方位的,把所有的資料,可能人處理不了形成一張圖,可以知道什麼情況,我覺得青藤在HIDS方面,主機方面是很好的入口,會把主機各個形式發現,傳統的IPS都是在網路層,只能看到一層的資料,看不到更底層的,剛好青藤的主機上面有資料,為我們判斷是否攻擊,網路上漏網之魚提供很全的資料來源,這是我的理解。
男:終端端點是資料真相追原,主要是裝在主機上的。
廖:還有更深在應用層的。
男:剛才只說了一個需求,要對資料進行知道,監測,還有沒有其他的需求。
廖:網路嘛已經很長時間了,IPS和RASP和自建IDS資料分析,主機之後還有很多業務,JAVA和RASP4600執行保護,基於應用層的監控,可能會更底層,我們從頭到尾一條線縱深下來,完完全全知道一個請求從外面應用處理,資料庫儲存,到底層究竟做了什麼事情,從一條線從前往後串起來,全鏈條展現出來。
男:青藤可以做到嗎?
廖:可以做到中間一個重要環節,主機層是一個連線,以前是缺失,都是開元的,開元的可能甲方維護成本太高,要維護,他們有一個很全面的,做到了細粒度,顆粒度很好的。
陳:以前大家更關注前端和網路,對主機本身應該說基本上也就是通過這個主機加固。
廖:都是夜觀天象,看主機被入侵沒有,網路層看的。都是知道特別晚的,就像我們老大說的20毫秒,一般是20天之後發現這個主機有流量,一查發現被入侵了。
陳:已經入機N天了,才知道。
男:應該已經用了一段時間了。
廖:對。一年了。
男:一年的使用過程中有沒有相容性,使用效率,佔用資源和其他的安全產品的適配度,有沒有這些方面的問題,或者是一些好的現象和好的東西可以說一下。
廖:相對來說挺不錯的,可能每個軟體都有自己的bug,bug肯定是有的,但是整體還是很好的,整體執行很穩定的。
陳:沒有那麼重,不會給機器造成特別大的負擔。還算是一個比較輕量級的Low Footprint留下的尋跡比較淺。
男:在相容性方面呢,因為需要管理平臺,需要對其他的硬體結合,需要和其他的系統之間。
陳:這個沒有問題。
廖:相容性很好的,我們的系統也挺穩定的,它的相容性也沒有問題。
男:怎麼樣關注到它。
陳:為什麼選它。
男:也有類似的產品。
陳:當時張福過來,交流了好幾波,我們的技術人員交流過,我記得很多波。
廖:跟了一年多,因為我們是第一個吃螃蟹的。
男:這個東西的落地是業內非常關注的事情,而且也代表了一個比較前沿的技術,前沿的技術大家一般都是比較觀望。
陳:算是填補國內空白,以前全鏈條的,現在如果做Total Defense,全面的防護一定是從每個環節做起,主機層,我們只做到加固,作業系統,殼留下,其他的東西亂糟糟的丟掉,該關的關,加固,現在看是不夠的,有的怎麼說,這種木馬和指令碼已經很深入了,一定是要在這個角度上,這個環節上要特別加固,他們是找到了一個比較好的切入點,空白補上了。不知道你們還有別的客戶沒有,我們是唯一一家嗎?
男:還有很多的。比如說像金融類的,在網際網路金融的前十名的九家都是我們的客戶,我們跟中信銀行,光大銀行,吉林銀行,金融類的基本都有合作,還有九富這些,平安科技。
男:大概是什麼樣的業務主機上,還是所有的業務主機。
廖:我們基本是所有的都裝了。
男:只要新上的肯定都裝了?
廖:新上的必須上,老的也裝了。
陳:我們是作業系統,不是Docker層。
男:需要作業系統許可權。
廖:對。
男:Docker的話你們趕緊上。
廖:我們提需求了。
陳:Docker應該有考慮,也是新生事物。
男:是一個方向。
廖:對安全來說就是輕量性的程序。
女:易寶是用青藤的第一家客戶嗎?
廖:不是。
陳:最佳客戶。
男:B2B的。
陳:誰是第一個客戶,他是吃螃蟹的。
男:互金是。您本身對安全的要求就非常之高,這種高標準下是第一個吃螃蟹的。
女:青藤還有易寶提供什麼服務嗎?
廖:據說服務很好的,我們有問題他們都是及時跟進,比如有軟體補丁推送都是很好的,比如一幫外界的情報,漏洞推送方面。
男:青藤的A主要輸送,作為資料的輸出,主要輸出哪些其他的系統裡面?
廖:現在目前我們是主要在青藤有一個引擎去處理,A把資料收集到他的系統中處理,現在偏向於用它,未來會對接到日誌中心,統一的處理。
男:日誌中心是你們的?
廖:我們的。現在是在青藤處理。
男:資產這塊呢?
廖:他們處理,因為有Agent,所以資產可以做得很精細化,這就比我們之前原來用Osack好的地方,資產資料有指令碼,自己會梳理。
男:資產的,日誌的,終端行為的東西。
廖:對。
男:還有嗎?反欺詐方面有沒有可能?
廖:反欺詐主要是風控層面,兩回事,偏業務,特別底層資料支撐,可能為攻擊欺詐行為提供資料支援,應用層接不著了。
陳:性質不一樣。
男:是做業務邏輯的,這個是系統。
陳:從技術角度是可以往這方面走,但是其實反欺詐關注的點不是這種硬的攻擊,是這種業務邏輯上的,是繞。
廖:要繞道風控系統,要薅羊毛,太底層了。
男:夠不到。
廖:對。GS層,應有層估計好一點。
男:再往上走就可以了,Docker往上做就是Workload工作流,這個時候是否有可能?
廖:工作流還有偏底層,如果是Rasp層更偏業務,Java資料階層就接壤了,有一些Rasp就提供自寫的GS,看到行為是爬蟲或者機器…會發GS或者指紋識別。
男:用RASP?
廖:還在測試,一年多,因為特別穩重,我們先測再上,有計劃,大概今年底明年初。我們用了open ,在測百度的,因為他做的,效能和壓力測試挺滿意的,這方面,其他開元的測過,商業的沒有測過。
男:按License還是按年。
廖:年和License都有。
陳:我倒推薦你們去參加11月16日金融科技大會,在上海,全部都是金融科技行業的CTO,銀行,保險,證券,網際網路公司,網際網路金融行業。因為都是搞技術的,不是討論業務的,討論技術的。