目前而言,券商是如何打造信息安全团队的相关报道并不多见。带着这样的疑问,信息安全新媒体安在和ISG竞赛有幸采访到东方证券信息安全部主要人员,聊聊东方证券是如何打造自己的信息安全团队。

上午十点,我们在东方证券总部会议室见到了信息安全部几位主要工作人员,清一色的帅哥,颜值不是一般的高。

信息安全部主要人员:(左起)陈炎津、邬晓磊、鲁轶

经过简单的自我介绍后,发现东方证券的安全部门还真是卧虎藏龙,三位主要工作人员在信息安全行业工作时间都达到10年以上,而作为负责人的邬晓磊更是深耕信息安全行业长达18年。

信息安全人员常常隐于幕后,邬晓磊也是如此,“低调”、“务实”是邬晓磊的工作作风,也是其真实写照。

与ISG竞赛不解之缘

2013年,东方证券首次参加ISG竞赛,邬晓磊作为安全部门负责人带队参加比赛。除了安全部门人员参与之外,东方证券还从内部挑选系统、网络、开发等部门人员参与其中;共同参与,共同进步是东方证券参与此次ISG竞赛的原因。

令人惊喜的是,东方证券首次参加比赛便斩获证券组第一名。自2013年参加ISG竞赛开始,之后每一届ISG竞赛,东方证券都有参加,迄今为止共参加5届比赛。其中,2015年,东方证券参赛团队再次拿到了证券组第一名。

作为历届参赛队伍的队长,邬晓磊带领东方证券团队获得了两次第一名,在聊到竞赛时,邬晓磊对此颇有感触。

安全部门因为工作性质的原因,注定只能站在幕后为业务保驾护航,在参加此类竞赛的时候,才有机会将自己的能力展现在人们面前,这也算是对安全部门工作人员的一个小小的补偿和赞扬。

2000年,非科班出身的邬晓磊进入到信息安全领域,那时候甚至没有明确的信息安全细分领域,依旧还被笼统的称为计算机。和许多技术大牛一般,邬晓磊在大学期间对当时略显神秘的信息安全技术十分好奇。虽然不是计算机系的学生,但这并不妨碍他常常和计算机系的学生、导师混在一起,甚至一位计算机系的导师对邬晓磊十分青睐并鼓励他继续坚持下去。就这样,凭着一股兴趣爱好,邬晓磊在大学的四年时光一直没有放松学习,毕业后,邬晓磊进入到信息安全领域。

说起ISG竞赛,邬晓磊似乎有着聊不完的话题。作为一名参加过5届ISG竞赛的信息安全老兵,邬晓磊认为,参加ISG竞赛后,不论是对自身、团队还是企业,在信息安全方面都有着不同程度的提升。

参加ISG竞赛对个人能力的提升有很大的帮助,邬晓磊在采访时表示,每参加一次ISG竞赛自己的能力和技术都获得提升。ISG竞赛竞争十分激烈,相互之间差距并不是很大,稍有松懈便被别人抢先。学如逆水行舟,不进则退,每一届竞赛中邬晓磊都是拼尽全力,而每一次参加竞赛也是对自己的一次鞭策。

安全是一个整体,需要所有人共同参与,邬晓磊表示,东方证券一直以来都是在内部挑选各个部门的人共同参与ISG竞赛。安全的覆盖面非常广,因此需要不同岗位、不同角色的员工参与其中,而ISG竞赛无疑是一个很好的方式。

同时,参加ISG 竞赛也可以取长补短,发掘员工的闪光点:系统管理的参赛者自然是对操作系统层面的问题更加熟悉;而网络管理的员工则更擅长解决网络方面的问题;开发部门的员工自然更加熟悉和开发相关的内容。对于企业新员工而言,参加ISG 竞赛不仅可以将学校的知识和实际应用相结合,还可以让该员工更好的融入到集体中。

东方证券参加ISG竞赛的团队成员并不固定,东方证券有意识的让更多员工、更多部门参与其中。这让我想到了古代军队的轮换制度,尽可量的让部队都参与到战斗中来,以战养战,最终所有的部队都经受过战火的洗礼,其战斗力自然不可同日而语。除了安全部门以外,东方证券也在有意识的锻炼着公司其他部门的员工。建设更好的安全防御体系单单依靠安全部门是不现实的,网络、系统、开发等部门共同提升才是最有效的。

低调务实的券商信息安全

相对银行保险等其他金融机构而言,券商信息安全相对起步较晚。因为业务的性质不同,对信息安全的侧重点也有所不同。但对信息安全的重视程度同样是非常高的,东方证券信息技术部门在成立之初便已经确定网络管理员、系统管理员,安全管理员和数据库管理员四个关键岗位,可以说,信息安全建设贯穿东方证券的发展。

在本次采访中,我们也有幸邀请到东方证券系统运行总部副总经理陈利先生

陈总表示,“坚韧执着”、“耐得住寂寞”、“低调务实不张扬”、“不服输”、“不折腾”是东方证券企业文化中所提倡的东方气质。一直以来,东方证券安全团队都在工作中坚持着这样低调务实的作风。日常生活中如何评定安全团队所做出的贡献呢?答案是,不要出事。公司不发生信息安全事件是对安全部门工作人员最大的肯定。安全团队工作性质决定安全工作人员只能在幕后,默默奉献,保障公司信息系统的安全运行。

那怎么样才能展现安全团队的能力以及工作绩效呢?东方证券的做法具备一定的参考性。

第一,工作量化和可视化。安全团队除了要完成各类安全系统的运维,应对各种各样的威胁外,还需要完成各种数据统计分析,并定期完成运行报告。报告不是简单的罗列流水账,需要对各种分析结果进行可视化展现,展示公司当前的安全运行等级。

第二,参加行业竞赛活动(ISG竞赛)。每年参加ISG竞赛,既能锻炼和提升安全团队能力,也是向公司及社会展现安全团队水平的机会,同时也有机会为公司争取荣誉。

第三,举办安全相关活动和意识培训。东方证券每年都会举办信息安全周活动、、信息安全宣讲活动、信息安全意识培训和考核等等。通过现场活动、宣传视频、线上测评考核多种更直观的形式,将信息安全与普通员工接轨,宣传安全理念,提升公司员工整体的信息安全意识。

提高信息安全意识

近几年来,东方证券正着力提升员工安全意识。

安全工作人员肯定都遇到过这样的问题:当你和业务部门的同事沟通安全问题时,业务部门的人可能一脸茫然,双方的沟通完全不在一个频道上。当公司其他人缺乏信息安全意识时,对于安全部门的人而言,不亚于是一场灾难,所花费的时间和精力将会成倍增加。

如何能够快速提高企业员工信息安全意识?有人说,出一场影响较大但后果不严重的信息安全事故。当然,这只是玩笑话,谁也不希望发生这样的安全事故,但这确实是见效最快的办法。心理学上讲,人们总是对已经出现的问题心怀恐惧:一朝被蛇咬,十年怕井绳,说的就是因为被蛇咬过后,用户的恐惧发生泛化,因此连井绳都害怕。

玩笑归玩笑,然而员工安全意识的提升对于信息安全工作的开展有着重要的作用。近年来,东方证券正在不断加大对信息安全意识的投入。通过信息安全周、信息安全宣讲、信息安全意识培训等活动不断强化员工的信息安全意识,打破员工对于信息安全的误区,提升公司整体信息安全意识。

如今,东方证券在所有部门设置“信息安全专员”,除了保证业务流程的合规性以外,信息安全专员还将负责和安全部门人员进行沟通,帮助安全部门更好的落实安全防御措施、方案。除此之外,东方证券还将加大员工安全意识培训规模和力度,加大考核力度,甚至是和员工的绩效相挂钩,逐步提升员工信息安全意识水平。

员工是企业的第一道防线,也是最重要的一道防线,企业员工安全意识的提升,将会大大增强企业的信息安全防御效果。

主办方总结

邬晓磊,加入东方证券前曾担任天融信上海公司技术总监多年,技术根底扎实,产业经验丰富。而在证券行业,安全团队主管来自产业届的情况不在少数,ISG每年参赛的证券战队在30只左右,无论单兵的技术水平还是团队的整体能力都非常突出,竞争极其激烈。而在行业排名中,证券行业的整体平均成绩始终位列前三,这一点也反应了证券行业对信息安全的重视程度。

ISG的竞赛宗旨之一:体现价值,就是希望通过赛事方式,把企业安全运维管理团队的能力展现出来,创造一个行业交流、经验分享的平台。正如邬晓磊提到的,目前ISG竞赛已经逐渐成为诸多企业选拔、锻炼安全团队的重要手段!

声明:本文来自信息安全竞赛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。