文 | 流蘇
安在引言:
ISG,全名為中國信息安全技能競賽,從2009年第一屆舉辦至今,迎來了第十個年頭。
值此十週年之際,安在新媒體特邀專訪了十位曾經和ISG共同成長髮展的專家、選手與合作伙伴代表,希望以此作為回顧系列,向ISG十週年致敬。
正文
目前而言,券商是如何打造信息安全團隊的相關報道並不多見。帶著這樣的疑問,信息安全新媒體安在和ISG競賽有幸採訪到東方證券信息安全部主要人員,聊聊東方證券是如何打造自己的信息安全團隊。
上午十點,我們在東方證券總部會議室見到了信息安全部幾位主要工作人員,清一色的帥哥,顏值不是一般的高。
信息安全部主要人員:(左起)陳炎津、鄔曉磊、魯軼
經過簡單的自我介紹後,安在君發現東方證券的安全部門還真是臥虎藏龍,三位主要工作人員在信息安全行業工作時間都達到10年以上,而作為負責人的鄔曉磊更是深耕信息安全行業長達18年。
信息安全人員常常隱於幕後,鄔曉磊也是如此,“低調”、“務實”是鄔曉磊的工作作風,也是其真實寫照。
與ISG競賽不解之緣
2013年,東方證券首次參加ISG競賽,鄔曉磊作為安全部門負責人帶隊參加比賽。除了安全部門人員參與之外,東方證券還從內部挑選系統、網絡、開發等部門人員參與其中;共同參與,共同進步是東方證券參與此次ISG競賽的原因。
令人驚喜的是,東方證券首次參加比賽便斬獲證券組第一名。自2013年參加ISG競賽開始,之後每一屆ISG競賽,東方證券都有參加,迄今為止共參加5屆比賽。其中,2015年,東方證券參賽團隊再次拿到了證券組第一名。
作為歷屆參賽隊伍的隊長,鄔曉磊帶領東方證券團隊獲得了兩次第一名,在聊到競賽時,鄔曉磊對此頗有感觸。
安全部門因為工作性質的原因,註定只能站在幕後為業務保駕護航,在參加此類競賽的時候,才有機會將自己的能力展現在人們面前,這也算是對安全部門工作人員的一個小小的補償和讚揚。
2000年,非科班出身的鄔曉磊進入到信息安全領域,那時候甚至沒有明確的信息安全細分領域,依舊還被籠統的稱為計算機。和許多技術大牛一般,鄔曉磊在大學期間對當時略顯神秘的信息安全技術十分好奇。雖然不是計算機系的學生,但這並不妨礙他常常和計算機系的學生、導師混在一起,甚至一位計算機系的導師對鄔曉磊十分青睞並鼓勵他繼續堅持下去。就這樣,憑著一股興趣愛好,鄔曉磊在大學的四年時光一直沒有放鬆學習,畢業後,鄔曉磊進入到信息安全領域。
說起ISG競賽,鄔曉磊似乎有著聊不完的話題。作為一名參加過5屆ISG競賽的信息安全老兵,鄔曉磊認為,參加ISG競賽後,不論是對自身、團隊還是企業,在信息安全方面都有著不同程度的提升。
參加ISG競賽對個人能力的提升有很大的幫助,鄔曉磊在採訪時表示,每參加一次ISG競賽自己的能力和技術都獲得提升。ISG競賽競爭十分激烈,相互之間差距並不是很大,稍有鬆懈便被別人搶先。學如逆水行舟,不進則退,每一屆競賽中鄔曉磊都是拼盡全力,而每一次參加競賽也是對自己的一次鞭策。
安全是一個整體,需要所有人共同參與,鄔曉磊表示,東方證券一直以來都是在內部挑選各個部門的人共同參與ISG競賽。安全的覆蓋面非常廣,因此需要不同崗位、不同角色的員工參與其中,而ISG競賽無疑是一個很好的方式。
同時,參加ISG 競賽也可以取長補短,發掘員工的閃光點:系統管理的參賽者自然是對操作系統層面的問題更加熟悉;而網絡管理的員工則更擅長解決網絡方面的問題;開發部門的員工自然更加熟悉和開發相關的內容。對於企業新員工而言,參加ISG 競賽不僅可以將學校的知識和實際應用相結合,還可以讓該員工更好的融入到集體中。
東方證券參加ISG競賽的團隊成員並不固定,東方證券有意識的讓更多員工、更多部門參與其中。這讓我想到了古代軍隊的輪換制度,儘可量的讓部隊都參與到戰鬥中來,以戰養戰,最終所有的部隊都經受過戰火的洗禮,其戰鬥力自然不可同日而語。除了安全部門以外,東方證券也在有意識的鍛鍊著公司其他部門的員工。建設更好的安全防禦體系單單依靠安全部門是不現實的,網絡、系統、開發等部門共同提升才是最有效的。
低調務實的券商信息安全
相對銀行保險等其他金融機構而言,券商信息安全相對起步較晚。因為業務的性質不同,對信息安全的側重點也有所不同。但對信息安全的重視程度同樣是非常高的,東方證券信息技術部門在成立之初便已經確定網絡管理員、系統管理員,安全管理員和數據庫管理員四個關鍵崗位,可以說,信息安全建設貫穿東方證券的發展。
在本次採訪中,我們也有幸邀請到東方證券系統運行總部副總經理陳利先生。
陳總表示,“堅韌執著”、“耐得住寂寞”、“低調務實不張揚”、“不服輸”、“不折騰”是東方證券企業文化中所提倡的東方氣質。一直以來,東方證券安全團隊都在工作中堅持著這樣低調務實的作風。日常生活中如何評定安全團隊所做出的貢獻呢?答案是,不要出事。公司不發生信息安全事件是對安全部門工作人員最大的肯定。安全團隊工作性質決定安全工作人員只能在幕後,默默奉獻,保障公司信息系統的安全運行。
那怎麼樣才能展現安全團隊的能力以及工作績效呢?東方證券的做法具備一定的參考性。
第一,工作量化和可視化。安全團隊除了要完成各類安全系統的運維,應對各種各樣的威脅外,還需要完成各種數據統計分析,並定期完成運行報告。報告不是簡單的羅列流水賬,需要對各種分析結果進行可視化展現,展示公司當前的安全運行等級。
第二,參加行業競賽活動(ISG競賽)。每年參加ISG競賽,既能鍛鍊和提升安全團隊能力,也是向公司及社會展現安全團隊水平的機會,同時也有機會為公司爭取榮譽。
第三,舉辦安全相關活動和意識培訓。東方證券每年都會舉辦信息安全周活動、、信息安全宣講活動、信息安全意識培訓和考核等等。通過現場活動、宣傳視頻、線上測評考核多種更直觀的形式,將信息安全與普通員工接軌,宣傳安全理念,提升公司員工整體的信息安全意識。
提高信息安全意識
近幾年來,東方證券正著力提升員工安全意識。
安全工作人員肯定都遇到過這樣的問題:當你和業務部門的同事溝通安全問題時,業務部門的人可能一臉茫然,雙方的溝通完全不在一個頻道上。當公司其他人缺乏信息安全意識時,對於安全部門的人而言,不亞於是一場災難,所花費的時間和精力將會成倍增加。
如何能夠快速提高企業員工信息安全意識?有人說,出一場影響較大但後果不嚴重的信息安全事故。當然,這只是玩笑話,誰也不希望發生這樣的安全事故,但這確實是見效最快的辦法。心理學上講,人們總是對已經出現的問題心懷恐懼:一朝被蛇咬,十年怕井繩,說的就是因為被蛇咬過後,用戶的恐懼發生泛化,因此連井繩都害怕。
玩笑歸玩笑,然而員工安全意識的提升對於信息安全工作的開展有著重要的作用。近年來,東方證券正在不斷加大對信息安全意識的投入。通過信息安全周、信息安全宣講、信息安全意識培訓等活動不斷強化員工的信息安全意識,打破員工對於信息安全的誤區,提升公司整體信息安全意識。
如今,東方證券在所有部門設置“信息安全專員”,除了保證業務流程的合規性以外,信息安全專員還將負責和安全部門人員進行溝通,幫助安全部門更好的落實安全防禦措施、方案。除此之外,東方證券還將加大員工安全意識培訓規模和力度,加大考核力度,甚至是和員工的績效相掛鉤,逐步提升員工信息安全意識水平。
員工是企業的第一道防線,也是最重要的一道防線,企業員工安全意識的提升,將會大大增強企業的信息安全防禦效果。
主辦方總結
王懷賓
ISG競賽組委會負責人
鄔曉磊,加入東方證券前曾擔任天融信上海公司技術總監多年,技術根底紮實,產業經驗豐富。而在證券行業,安全團隊主管來自產業屆的情況不在少數,ISG每年參賽的證券戰隊在30只左右,無論單兵的技術水平還是團隊的整體能力都非常突出,競爭極其激烈。而在行業排名中,證券行業的整體平均成績始終位列前三,這一點也反應了證券行業對信息安全的重視程度。
ISG的競賽宗旨之一:體現價值,就是希望通過賽事方式,把企業安全運維管理團隊的能力展現出來,創造一個行業交流、經驗分享的平臺。正如鄔曉磊提到的,目前ISG競賽已經逐漸成為諸多企業選拔、鍛鍊安全團隊的重要手段!
閱讀更多 安在信息安全新媒體 的文章
