安全人才缺口巨大企業安全體系亟待破題

12月18日-19日，首屆「360安全特訓營」在京舉辦。 來自政府、金融機構等企業的40多位資訊安全負責人與360公司的頂級安全專家們共聚一堂，探討企業級資訊安全之道，全面深入地瞭解了當前企業面臨的攻擊威脅及最新的防禦措施。 全國頂尖「駭客」僅幾千人圖：出席者圍住演講結束的360副總裁譚曉生，繼續交流探討。 「我們公司招不到足夠的安全人才，想做完備的體系有點有心無力，有沒有什麼好辦法能解決這個問題?」 某大型公司資訊安全負責人在「360安全特訓營」上問360副總裁譚曉生。 「目前的現狀是，安全人才的缺口確實很大，專業的安全公司對於安全人才的搶奪很激烈，所以大量普通企業安全未來的出路應該是安全服務外包。 」譚曉生回答。 譚曉生透露：「目前在全國範圍內，能獨立組織網路攻防的頂尖‘駭客’，白道黑道全算上，只有幾千人，這些人裡有100多人在360公司，許多小的安全公司裡，可能只有一到兩位這樣的人。 安全人才呈現極度碎片化狀態。 」隨著傳統企業不斷的互聯網化，企業的安全需求呈現爆炸式增長。 基於目前的人才現狀，以及頂尖安全人才培養的難度，比較現實的做法應該是將頂尖人才聚集成一個團隊，由這個團隊同時為若干家企業提供安全服務。 人是企業安全防護成敗的關鍵圖：員工在企業安全中極其重要，「人」才是企業安全防護成敗的關鍵。 在「360安全特訓營」整整兩天的講解與交流中，安全專家們多次提到人對企業安全防護的影響，總結起來說，「人」才是決定企業安全防護成敗的關鍵。 前段時間，國內某網路設備巨頭的伺服器遭NSA入侵監聽。 這一事件的曝光再次敲響了企業安全防護的警鐘。 360網路攻防實驗室負責人林偉表示，據對這個事件的分析，對方可能是利用APT手段「搞定」了公司老總的秘書，進而入侵到公司內網。 林偉進一步提醒企業的資訊化負責人：「秘書、前臺、快遞、碎紙機這些看似毫無關聯的人和物，都會成為洩露商業機密的關鍵因素。 」他認為，在雲計算與移動互聯網全面普及、社交網路大行其道的今天，「人」是決定企業安全防護成敗的關鍵。 新一代的企業安全防禦體系不僅需要優秀產品和技術，更需要企業全員高度統一的安全意識，這樣才能事半功倍。 360網站衛士產品經理董方也認為: 「員工在企業安全中極其重要，無論問題最初看起來怎樣，它始終是人的問題」。 企業需構建立體聯動安全體系圖：360 UnicornTeam負責人楊卿展示的無線威脅場景引起出席者圍觀。 隨著萬物互聯時代的到來，單一的安全產品已不能滿足企業的網路防禦需要。 當360 UnicornTeam負責人楊卿講解國內無線安全現狀的時候，汽車、防盜門、銀行卡、地鐵、停車管理等多個威脅場景，讓出席者都直觀感受到了這種無處不在的安全隱患。 針對這種無處不在的威脅，360高級安全諮詢經理張晟表示，我們已經進入新的企業安全時代，不僅要配備專業安全運營維護團隊，還迫切需要建立一個立體聯動的安全體系，這個基於大資料的體系，需要取得決策層的全力支援， 更需要內部員工的集體參與。 」360企業安全售前總監李博以360公司獨有的的立體聯動安全防禦體系為例，讓出席者對立體聯動有了更深入的瞭解。 這套體系沒有配置網路防火牆，也沒有設置IPS，李博將這套防禦體系概括為「一個整體防護中心、兩個安全原則、三道安全防線和四個被威脅假設。 」譚曉生的比喻頗為形象：「立體聯動安全防禦體系，說穿了就是由過去的城牆防禦變成塔防遊戲」。 在塔防遊戲體系下，企業在雲、網、端上部署了若干防禦點，攻擊者如果要發動威脅需要過一道一道的關，而各個關口可以聯動防禦，直至攻擊威脅被消除。 背景連結：「360安全特訓營」，是由360公司推出的全方位增值培訓服務，面向政府和企業的資訊化安全負責人。 通過一線安全專家的親身講解，真實攻防案例的現場演示，最新安全產品和技術的體驗，360公司安全防禦體系的分享等四大環節，深入探討企業級資訊安全之道，説明企業度身制定最適合自身的安全防護體系。