大咖访谈 | “业务”驱动安全，懂业务才能做到业务安全！

近年来，在数字化转型和云计算的浪潮下，网络和信息化应用空前繁荣，业务也迎来了“从线下到线上”的转型，此时业务安全成为了安全市场的一大重点关注对象。多种风险向业务安全袭来，业务的稳定正常不仅是企业营收的重要保障，也是企业荣誉和生存发展的决定因素。本期大咖访谈，网安加云课堂有幸邀请到安信证券安全总监李维春老师，与大家分享关于业务安全方面的经验心得。

李维春，安信证券信息技术中心安全总监。当过开发、项目经理、创业者、大学老师，“误入”信息安全行业十多年，科技创新型企业甲方经历为主，金融行业新兵。希望成熟的甲方共同带动整个安全市场的健康成长，希望安全同行多交流、共成长、互帮扶。

啪仔：业内对于业务安全有不同的解读，您对于业务安全是如何理解的呢？

李维春老师：现大众对于业务安全的解读，多数是基于互联网行业的解读，其实不同领域对于业务安全有不同的解读。我认为，广义的业务安全指防范企业业务流程中出现风险问题，避免业务遭遇各类威胁或遭受经济损失，保障整体业务逻辑的顺畅，帮助企业降低成本，提升收益，进一步增强企业竞争力，不应该仅仅是防爬虫、防窃取、防篡改、反欺诈等目标。

这里面涉及两个核心的点，业务与安全。业务，我理解应该定义为公司的核心业务，就是能够对公司经营产生重点影响的业务。安全可拆分为5个维度，一为保障业务可持续运行性和可用性；二为确保合规性，避免被处罚；三为保密性，核心信息不被泄露，不影响业务的运转；四为完整性，数据的完整性、一致性能受到保障；五为自证能力，不论业务运行过程中出现任何问题，业务部门能够证明自己负责部分是正常合规的。

啪仔：业务安全与传统安全有什么区别？

李维春老师：稍有区别，但是总体是一致的。基于上述对于业务安全的解读，可以说传统信息安全的最终目的就是保障业务安全，此为二者的一致性。二者的区别在于，传统安全是业务安全开展的基础，传统信息安全更强调在遭受外部攻击或者内部窃取破坏时，采取技术、管理手段来针对这些脆弱性进行防范、控制风险。但是传统信息安全的这个工作仅是业务安全的一个基础，没有传统信息安全的防范规避工作作为基础，业务安全的工作是无法开展的。且传统安全重点关注攻防、内外部信息窃取、泄露等，着力点并非业务，没有了解和保障业务，因此传统的信息安全无法直接体现在业务中的价值。在这种情况下，安全团队的工作已经发生了方向偏离，很容易走向技术工作的简单叠加，有可能导致该团队失去存在的意义。

啪仔：业务安全面临的最大挑战是什么，有什么应对的建议吗？

李维春老师：虽然大众越来越意识到内外部网络工具或者数据窃取破坏等行为，会给公司业务带来巨大的损失和安全风险，但绝大多数企业和安全团队，都不一定能真正认识到业务安全在整个安全工作中的地位和价值。

因此，业务安全面临的第一个挑战，是没有真正地理解业务安全与传统信息安全之间的关系。从业人员普遍都把信息安全的工作与价值定位为应对攻防，应对泄露与破坏防病毒等，但是从业务安全角度看，所有的信息安全工作都需要明确投入产出比的，明确这些工作在业务安全中承担的地位与作用，否则工作方向容易发生偏离，资源投入比例也是不恰当的。应对这一挑战可以采用定期修订信息安全规划策略，在规划中，明确团队的安全工作能带来什么价值，把对于业务安全的解读和理解标记出来，并作为整个安全团队工作的最高价值和最高目标。基于业务再去设计安全架构，分解安全团队的工作任务和决定举措。

第二个挑战是安全人员不懂业务流程、业务场景，内部缺乏沟通与交流，也就无从知道其中的威胁和风险。基于对业务的了解，才能设计更完善、更有价值的安全措施，让安全在业务流程中体现价值。以本人亲历的事件来举例，一个核心业务就是重大项目的招标工作，招标信息容易被泄露，不论有意无意，外部或内部，这都是一个业务安全的漏洞；一旦竞争对手掌握了我方的底牌，公司利益就会受到极大的影响。安全团队需要保障在整个业务过程中招投标底牌信息的保密性，该如何做？一般来说，大家的第一反应为网络防范，利用DLP工具进行监控、控制、加密，但只有深入业务，了解了整个招投标过程才能发现，真正的核心点并不在网络上的防范。因为招投标过程中，业务部门对所有的信息都严格掌控，有很强的安全保护意识，招投标文档发生泄露的可能性并不强。

最后发现两个风险点，第一个风险点：会议阶段的漏洞。在决定底牌阶段的决策会议实际是缺乏安全保护的，首先需要对会议室进行防窃听，防偷拍的安全检测和扫描，确保会议室安全可控；其次，防范与会人员的电子设备防窃听工作，可实行信号屏蔽和电子设备禁入措施，严格控制决策会议的参与人员（包括倒茶水的服务员），保证整个会议室的人、设备、场所都是安全的。

第二个风险点：标书制作过程中的漏洞。为了标书的精美度，标书会交到专门文印店去制作装潢，不可避免地在这个过程中，标书会存在公司外部的电脑上，而文印店的电脑内外部交互是非常频繁，易受攻击的，一旦电脑被破坏、攻击，标书的信息也就被窃取了。针对这一风险点，可现场派工作人员进行监控，并且用专门的清除工具将文档进行彻底清除，确保文档不能被恢复，保证标书制作流程的安全可控，避免该阶段标书被泄露的风险。

这就是为什么业务安全的风险控制措施并不是仅仅使用工具就可以控制的，而是需要深入业务，明确公司的核心竞争力是什么，竞争最激烈的领域，哪个领域是产生负面影响后对公司影响最恶劣最深入的，从这三个方面保障业务的安全。因此做好业务安全需要深入业务，充分了解，继而发现核心风险点，再制定相应策略。

啪仔：如何监控业务中敏感信息的流转？

李维春老师：对业务流程中敏感信息监控的核心出发点是——以在业务运行过程中，信息既可用又安全为目的，同时保证这些敏感信息在业务的流转过程当中得到了有效的保护。可以从三个层面来对敏感信息进行保护：

第一，明确从业务安全的目的出发，去实施安全控制措施的基本原则，再来界定业务安全的目标。例如在刚才举例的投标活动，业务的需求是什么？业务的需求是“业务活动可以正常开展，业务信息不会在开标前发生泄漏”。如果安全团队把这个问题简单地等价为“电子文档防泄露”，这就是对业务目标的曲解、误解。因此，从这个目标出发，首先需要搞清楚敏感信息所承载的业务过程、业务价值是什么，再来决定采用的技术和管理手段等。

第二，了解敏感信息在业务过程中的信息流转途径和流转原因。分析敏感信息流转的业务过程，并对业务过程进行分析、判断和改造。特别强调，安全人员是有权、有义务对业务中敏感信息的流转进行改造的，有时只有进行改造才能在整个业务过程中更有效地控制安全风险。当然，要不要改、怎么改，是需要和业务部门沟通并达成一致的，需要兼顾效率和安全，兼顾安全和体验。

第三，技术层面，选择针对终端、网络、服务器、或者系统以及存储介质的相应恰当的工具，并结合管理手段，包括流程控制、安全意识教育等，采取综合的解决方案对业务过程中流转的敏感信息进行监控和管理。

例如，针对一份拥有敏感信息的会议纪要的保护工作，安全团队选择了一个DLP工具，对数据进行防护，但是该纪要的流转范围非常广，各部门必须要掌握其中信息才能有效地制定生产制造计划，过于广阔的流转范围难以确保会议纪要的安全。经过深入业务调研分析，采用了一个方法，即把会议纪要拆分成若干个小的生产制造计划，每个领域只需要知道自己相关的生产制造计划即可，无需拥有完整的会议纪要。通过该方式，实现了对会议纪要中敏感信息的监控和有效管理，把流转范围缩小。该案例中的应对措施就是基于业务需求出发，寻找合适工具与方法，安全人员适当地对业务流程进行了改造，并且让业务可正常流转，同时达到安全风险控制的目的。

啪仔：如何有效推动业务安全工作的落地？

李维春老师：推动业务安全工作的落地，需要让业务部门的领导看到价值，至于价值从何展示可从几个方面入手。首先，安全团队要主动积极地去和业务部门合作沟通，帮助他们。其次，发现风险，通过可视化直观的形式暴露出来，同时展现安全团队能产生的价值，提出改进建议和改进措施，从而确保业务流程正常安全地进行。第三，不抢功，安全团队在业务过程中是辅助角色，需要低调、适当地出现，多一些付出。第四，在具备恰当的人员，恰当的技能的前提下让业务部门与安全部门进行适当的轮岗，深入了解，才能更好地互相理解、支持；这一举措具备一定难度，退而求其次，我们可以增加业务部门与安全部门面对面的沟通与交流，一起探讨研究，也能更好地促进整个业务安全工作的落地。

啪仔：业务安全和开发安全二者之间有什么联系吗?

李维春老师：开发安全是传统信息安全工作内容的一部分，而传统信息安全最终是为了实现业务安全，因此开发安全是能够对业务安全起到有效支撑的。在开发阶段前期，通过需求分析，发现在业务运转过程中存在的风险，并在开发过程当中就能予以相应的控制。甚至在前期需求分析过程中，能发现业务逻辑中隐藏的问题，那么在开发阶段即可进行相应的规避和处理。尤其是自研系统比重较大的行业、企业，开发安全为业务提供的有效支撑价值就越大。

啪仔：请老师给有意往业务安全方向发展的小伙伴提点学习建议吧？

李维春老师：就三个关键词：自我学习、实践、热情。

自我学习是一个无法给你具体指导的事情，每个领域里所面临的业务安全的需求与挑战都是不一样的。首先，需要掌握所在行业、企业的业务主要过程、盈利模式等等。其次，有针对性地学习，可通过公司内部资料、专业书，或者找优秀的业内前辈、老员工进行请教学习等等诸多自我学习的方式。再者，拥有独立思考能力，不同岗位的人对于业务安全的认知和理解是不同的，不同的从业经历诞生不同的理解，所以需要拥有辩证看待问题的能力。

实践出真知，知识学完就要用，用过才有更深刻的理解。积极参与公司的业务安全工作，找机会实践，实践过程中要对业务过程进行理解和剖析，要能够站在安全人员角度判断业务流程中是否存在风险问题，并基于业务需求，提供解决方案。

最后，热情是工作中最大的动力，对于业务安全有足够的热情、认同感和成就感。能从工作中找到乐趣，对未知充满求知欲。俗话说干一行爱一行，拥有足够的热情才能支撑你走的更远。