金融企业安全建设探索之靠谱的安全人员

编者按：本文内容来自金融业企业安全建设微信群的聊天记录，来源于企业安全建设的资深前辈经验分享，干货满满，希望为有需要的人提供更全面的安全知识和技巧。由长亭科技安全志栏目团队整理，版权归属微信群全体成员，转载前请联系本公众号。

很多报告都已指出，目前市场上仍然有大量的安全职位处于空缺状态。出于多种原因，企业依然无法聘请到合适的安全技术人员。

企业安全部门人数量级一般是怎样的？

我们询问了几位在证券企业工作的安全人员：

答案1：

我觉得主要还是看领导对安全的重视程度来区别吧。比如我们，就仅仅是信息技术部门的下设小组负责，安全2人，网络2人。

答案2：

分支机构只有电脑负责人和电脑联络员，前者专职，后者兼职，没有专门分网络专员和安全专员。总部有网络管理部和安全治理部两个二级部门，网络管理员和安全管理员是分开的，专职安全2人，专职网络管理员4人。

答案3：

我们目前专职安全2人，另外有2人负责防火墙、上网行为等安全设备的运维。 

答案4：

安全5人，网络5人。

答案5：

我们总部安全专人1.5人，网络1.5人。

由此可见，券商在网络安全领域投入的人力并不算太多。对企业信息网络安全有着极大需求的金融行业尚且如此，其他行业不是更令人忧心吗？

安全人员配置偏少的原因

企业层面上，

对安全工作的整体认识不足。企业除要求安全人员解决各种各样的技术问题、及时响应各种安全警报外，还丢给他们一系列繁杂工作，使得安全人员苦不堪言。且由于企业目前所面临的安全问题其复杂性曲线还没有达到顶峰，因此安全部门所能得到的人力和物力资源的支持是极其有限的。

安全人员上，

技术能力不足或与企业需求不对应。有的安全人员的“技能点”很高，但很可能无法带给企业实际的效益。攻击漏洞能力强的人才，并不一定意味着他防御建设企业安全的能力也好。

 

技术过关的安全运维人员本来就少，好不容易招到一个，还要警惕他可能会是泄露企业数据的内鬼。

案例

近期公安部破获一起50亿条公民信息泄露案，发现犯罪嫌疑人之一曾就职于多家互联网公司，从事网络安全相关工作。更令人胆寒的是，他或长期与盗卖个人信息的犯罪团队合作，将从所供职公司盗取的个人信息数据进行交换，并通过各种方式在互联网上贩卖。与倒卖个人信息的黑灰产集团合作，系“职业内鬼”之一。

内鬼已不再如我们曾经设想一般，他们早已不是单兵作战，且具有了更大的隐蔽性，甚至是采用卧底的手段。

关于抓内鬼，他们这么说

1.“

内鬼分大的、小的，运维安全等岗位要与业务岗分开。”

2.“

前两年赋闲的时候配合过某些侦探社做过类似的工作，潜伏到企业内部，抓鬼。对象有开发、运维、行政，甚至总裁。手段、方法和资源要根据企业的规模和调查的目标范围来调整。具体方法往侦查+安全思路上靠，更多时候是心理学。对外的名字通常叫“私家侦探”，好听点的叫“内部审计”。最后的出来一个比较悲观的论调就是，如果有一篮鸡蛋烂了，那它肯定不是唯一的一篮，也不会是第一篮。到最后会发现一个仓库，而要怎么做，就是老板的问题了。”

3.“

现在抓电信诈骗和黑客都在公安的立功范围了，这些事儿从以前的没人管转变为抢着管了。”

对于内鬼的处罚？

总体来看，我们发现对内鬼的处罚总是不尽如人意。

而且尽管目前我国法律上，刑法修正案增加了打击信息泄露犯罪方面的内容。但“内鬼”及其背后的黑灰产业的涉及范围广又极为复杂，尚未有一个完善的机制来应对，挂一漏万在所难免。

企业公开处罚的不会多，因为惯犯员工入职对商誉冲击很大。故而一般也会避免诸如“企业内部有内鬼”的消息，以防止民众给企业打上一个“不靠谱”的标签。

 

内鬼好危险，审核很重要

企业内部在招聘时就必须加强审核。如下图案例，即腾讯玄武实验室总监tombkeeper从简历的时间线中识破内鬼。

内鬼比我们想象的更加常见。除在招聘时要谨小慎微以外，企业日常工作中也需要建立完善的防数据泄露的机制，如签订保密协议，规范某文件的授权等。从道义上和实际操作上都对数据安全保护表现出足够的重视及制定相应的规范。

靠谱，是永恒的追求

总而言之，目前对于安全人员的需求缺口极大，同时安全人员所背负的责任也是极为艰巨的。

因为可以说，一个健康的互联网行业生态其实是处于起步之中。安全人员身负重大的安全维护任务，对各项技术的要求总是在水涨船高，暂不论学校对安全人员的培养与企业需求的不匹配等现象，靠谱的安全人员的成长实在艰难。而且在成长过程中又面临着黑灰产的巨大诱惑与冲击，抵制住这种诱惑并制止住这来势汹汹的冲击，更是难上加难。

 

每一个从事安全工作的人员，都可以说是互联网行业秩序的创建者与维护者。而守护它的安全与纯净、“靠谱”，这是我们对于行业与时代的责任和担当。所谓“君子有终身之忧”是也，安全人员身为互联网行业中的豪杰，能力越大相应责任也越大，而我们能尽得了大的责任，这也便是我们在种种“苦痛”之中得大快乐的源泉吧。

-----------------我是分界线---------------------

想加入金融业企业信息安全群请联系微信公众号“君哥的体历”，后台留言，微信号+公司名称，验证身份后入群。

 

人生最美好的莫过于各种经历和难忘的体验，过程比较痛苦的，结果都还比较好。如果大家和我一样，在企业做安全中遇到各种颇为“痛苦”的体历，过后你一定会感谢和怀念这份体历的。

 

 

附注：

• 聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。

• 本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。

  
  

  
  

长按识别二维码，和我交流。

本文始发于微信公众号（君哥的体历）：金融企业安全建设探索之靠谱的安全人员