腾讯安全小艾老师：初创期及成长型企业应如何建设安全能力

8月17日，第五期浦软创业营第三次必修课在学员们热烈的掌声中圆满举行，靖亚资本何沛、百度上海金融行业市场总监王木石和腾讯安全的小艾老师为学员现身说法，谈谈创业者们最关注的问题——沟通、品牌营销和网络安全。本期小智为大家带来小艾老师的精彩分享《初创期及成长型企业应如何建设安全能力》。

我们面临哪些安全风险？

小艾老师以诸多互联网公司的案例告诉学员，随着大数据、SaaS服务、物联网、人工智能等应用越来越广泛，相应的企业面临的安全风险也无处不在。很多人抱着侥幸心理，以为自身的办公网络不会遭遇勒索病毒或其他安全攻击，其实不然。有些企业会做到一定的日常防范，但是对于很多创业公司，安全意识薄弱依然是普遍现象，对于CEO们来说，不仅要关注企业内部生产网络的安全，也要关注云上对外服务的业务系统安全，任重而道远。

怎么理解黑客文化

MIT是黑客文化的发源地。上世纪70年代，麻省理工学生，一直用“hack”一词形容本校学生精心策划的恶作剧，比如，在最高楼屋顶插满反光的金属薄片。这个词充满了敬意。

有创新，有风格，有技术含量，才称得上“hack”。

最牛的人，可以非常骄傲地自称“hacker”。

Hacker的中文，就是黑客。

那么什么是安全？

简而言之，安全是攻击和防御的矛盾体，可以想象太极八卦图，黑和白永远交汇循环。

攻击相对防御更加简单，黑客往往发现业务系统的一个漏洞，就可能窃取到关键数据；对于所有形式的软件来说，漏洞根本无法避免，试想一名不懂安全编码的程序员根本无法写出安全的软件，据统计每一万行代码就包含一个高危严重漏洞。

防御是安全能力思维体系的建设，需要防御成千上万黑客对系统的攻击，防御体系包含管理体系和技术体系，其最终目标是实现“预感、预警和预测”，所以说防御能力建设更加复杂，需要专业安全专家参与。

企业安全能力建设需要考虑哪些问题？

公有云能解决业务快速增长需求，但无法保障业务安全

企业上云后，许多企业都认为公有云足够安全，安全问题应该由公有云厂商负责，实在不行部署个云安全防护软件也能解决问题。对于提供IaaS基础设施的公有云而言，他们只关注云基础设施的安全稳定，对于企业应用的安全无法保障。有些企业虽然部署了云安全防护软件，例如云WAF，但是云WAF的策略配置是否有效？当新攻击到来时策略如何升级？等到这些操作还是需要企业自己负责。当应用代码存在漏洞时，云厂商很难保障所有安全。

合规是国家及行业主管部门要求

合规有三个关键词：网络安全法、等保2.0、GDPR。

《网络安全法》于2017年6月1日正式颁布实施，作为我国第一部保障网络空间安全的法律，要求中国境内的政府、企业和事业单位必须严格遵守安全法要求，并且要求“一把手”负责制，企业因攻击导致数据泄露后，CEO作为法人为第一责任人，除缴纳罚款外，还有可能面临业务停机整顿的要求。

等保2.0于2019年初正式实施，等保作为安全法的要求之一，目前除政府和事业单位外，各行业主管部门要求行业企业必须遵循安全法要求实施等保测评；作为我国的安全合规要求，银保监会、教育部、工信部等各部委都要求科技公司在对外提供互联网服务的系统必须通过等保2.0，否则将面临停机整顿或缴纳罚款。等保2.0新条例同时要求，除获得等保测评资质外，还要求通过持续的安全运维对系统进行安全保障。

GDPR作为欧盟的《通用数据保护条例》于2018年5月正式实施，要求所有在欧盟国家开展各类业务的企业必须遵守严格的数据安全保护措施，防止数据泄露和公民隐私泄露。对于跨境电商或有意进驻欧洲市场的企业而言，需要提前考虑GDPR要求，否则极有可能面临巨额罚款的风险。

CEO要关心数字资产保护

数据是科技型企业的核心资产，而当数据通过互联网产生、流转和使用过程中，时刻处于数据泄露风险之中。虽然无法100%保障数字资产的安全性，但通过建设安全管理体系和技术体系可以有效提升数字资产的安全指数。举个例子，当业务快速发展阶段，没有哪个CEO、CTO、甚至IT运维工程师能讲清楚IT资产的数量。而这些未知性往往会导致数字资产的泄露。对于CEO而言，我们建议您需要考虑建设基础的安全管理制度和技术规范要求。

给CEO们的一点建议

CEO应该重视安全，并支持技术合伙人建设符合企业发展阶段的安全体系，先要做到基础保障，以及必备的应急响应预案。

不要奢望招募1名黑客大牛解决所有安全问题，防御是安全能力体系建设，需要各类安全专家的参与；当然，如果您的技术合伙人熟知代码安全，会有效提升业务的抗攻击能力。

关注敏感岗位和个人数据隐私，特别是与数字资产紧密相关的工作岗位。

CEO们应如何提高个人隐私安全？

（一）时刻关注工作邮箱的安全性，CEO的工作邮箱几乎囊括企业的所有关键信息，切记密码一定要安全&定期更新密码。

（二）时刻关注个人设备安全，特别是智能手机、Pad和laptop，切记定期更新系统&密码。

（三）养成良好的系统和软件更新意识，并督促所有管理层遵守以上要求。

小艾老师建议CEO们从日常点滴做起，牢固树立安全意识，让公司不止是高速发展也是安全发展，提高周围恶意的攻击成本。她的演讲让学员们醍醐灌顶，意识到网络安全的重要性，对如何从规章制度、日常培训中提高员工的安全意识，降低公司安全风险有了更深的思考。

Q&A

Q：小艾老师，我们公司是做app的，目前规模比较小，我们的app是搭载在公有云里的，涉及到用户的支付是通过公有云的支付渠道，请问具体的安全风险在哪里。

A：从去年开始，国家各主管部门对APP提出监管要求，特别是APP内容安全整顿方面，发力非常大。主要风险和应对：一是用户使用您的APP时，需要签署用户协议和隐私保护协议（要在明显位置让用户知道）；二是平台调用相关用户数据时，要保障合法的使用；三是在保证APP合规条件下，可考虑对APP进行定期的安全测试和加固。

Q：小艾老师，请问防止数据外泄的软件是否可靠？第三方公司是否信赖？

A：是否可靠这个问题很难回答，这好像您选择公有云后，数据放在公有云上您一样会放心。数据保护软件一般是提供产品解决方案，按企业要求部署实施后，软件的运行和维护一般由IT工程师负责。

建议在第三方公司选型上进行把控，并且数字资产做好云备份。

建议选择另外的安全服务公司对企业数字资产进行定期的安全测评和评估，并不断完善安全防护体系建设。

彩蛋