小青对话时间
安小青:首先请陈总介绍一下,易宝支付公司概况、业务模式和信息化历程?
陈斌:易宝支付是硅谷的创业公司,2003年开始在硅谷创立,之后为了做中国的业务,在2003年的时候,回到了中国,我们最开始只是说要做移动支付,后期在2006、2007年,一直到2009年这段时间也开始做其他的像在线支付,线下支付这种业务,易宝在2010年拿到了央行的支付牌照,之后业务发展一直很稳健,我们是全牌照公司,在在线支付、线下支付、互联网支付、移动支付、基金支付、跨境支付等方面,都有自己的积累。我们的特点是聚焦在行业深入方面,像航空、旅游、保险、政府、教育,还有电商都是我们比较深入的行业。每年我们能交易两万亿上下的交易额。
安小青:陈总拥有丰富的海外经历和多年架构经验,能否简单跟我们讲述下目前中美在网络安全上差异主要表现在哪些方面?我们应该采取什么样应对措施?
陈斌:网络安全是整个互联网行业当中一个比较受关注,也是比较特别的一个领域,互联网从90年代开始大规模使用以来,网络安全在世界各国都有了各自的发展情况,各国有各国的情况,中国和美国的情况主要差别在于中国在互联网技术的应用方面走得比较远,走得比较快,比如说在移动支付的应用方面,我们会比美国快很多,美国现在还是用信用卡在做支付,而不是用手机做支付。
另一方面就是美国在互联网技术的底层方面会比较有深入的积累和更多的投入,大家也都看到了,像我们主要的网络安全和信息安全的厂商,经常会看到像美国公司,以色列公司,像CheckPoint,在零几到2010年这段时间独领风骚,后来PaloAlto也是引领防火墙行业里面的发展,在应用上,中国走得比较前,基础研发上美国走得比较靠前,但是在互联网的整个安全复杂性和复杂的态势上,中国比美国更加复杂,就是说如果再退几年来看,我们在互联网上经常会看到像DDoS,各种留后门,各种Hacking等不良的行为,在美国因为法律制度不一样,他们在这方面做得多一点,相应会少一点,其他的国家除了中国以外也有很多这种信息安全上的问题。
总结一下,复杂度上,互联网安全,中国所要面对和应付的复杂性会比美国高,但是在技术的基础程度,投入和研发上,美国比中国多,研发得更深入。基于这个情况可以看到中国在互联网应用安全防护会比美国更加有经验,因为毕竟经历的事情比较多。
安小青:众所周知,易宝支付是中国支付行业的先行者,而信息安全一向是支付行业的监管重点。那么在《网络安全法》实施后,给整个支付行业带来什么样影响和变化?
陈斌:易宝支付是非常注重网络安全、数据保护、个人隐私的保护,一方面是因为我们公司从硅谷过来的时候,就比较多继承了很多硅谷公司的基因,对保护比较强调和重视,另一方面是在《网络安全法》没有正式实施以前,是一些自发的行为,觉得信息安全是交易的保障,交易比较顺利的完成,比较成功的完成,整个公司想健康发展,交易的安全一定要做好,我们有自发的行为,本身有这种比较完善的信息安全体系,就是说从人到策略,到资产的盘点和分类,到具体的保护措施,一直到技术层的前端,中间的处理和后端的保护都是比较全面的。
但是信息安全法出来之后让我们有了一个更好的规矩去遵循,有据可循了,在保护的力度,保护的对象,保护的范围上,有了更加清楚的界定,《网络安全法》对我们是一个非常好的利好的因素,我们是欢迎的。
安小青:早在2005年您就参与了易宝支付第2代系统设计、研发等流程,请您介绍下易宝支付面临安全挑战或者威胁主要来自于哪些方面?
陈斌:刚才在个人介绍的时候没有提到说我2005年回来过,当年在硅谷,像我们几位创始人唐彬、余晨,我们是熟悉的,他们回来初创公司之后,2005年我回来了一年多,主要是主导第二代系统的设计和研发工作,也包括我们的信息安全制度,体系的建设,信息安全人才的培养,和其他的,像运营和技术运维体系的建立和人才的培养招聘。因为我自己家里的原因,又重新回到美国去加入诺基亚,去做诺基亚的互联网方面的事情。二代系统在那个时候研发成功,一直到2012年,2013年左右,都是易宝主力的交易系统,后期我们又做了新的迭代,这个就不去详细说了。
在网络安全方面,我们面临的情况,主要是几个情况,一个是说易宝是一个聚焦在2B的领域,为企业提供支付复杂的综合解决方案的支付厂商,我们所连接的,像我在前面提到,有航空公司,保险公司,后面我们会联系到网联,银联,各种银行,甚至是人民银行的系统,这些连接比较多,不像一般电商,打开门对外就业就好了,我们需要广泛连接各方面,这些就需要我们特别关注网络上连接的安全性,比如说各种数据的传递,什么时候要用加密的,加密到什么程度,是不是能满足安全的要求,这是一个方面,复杂的情况。
第二方面就是我们所处理的交易都是涉及到资金,涉及到钱的,所以安全要求的程度比一般的互联网公司要高一些,比如是做网游的,交友社交的,处理的是个人信息,当然也很重要,但不是像我们既处理了个人信息,又处理了卡号,信息,他的金融信息,他的资产信息,所以呢,这就要求我们采取一种全面的防范措施,不论是在网络的前端,还有中间处理端和数据存储端,要全面防护,也包括内外网,现在不做区分,就是内外网的安全度,一样都要求高,没有什么DMZ,没有什么可信区,在缺省的情况下都需要足够的安全程度。这是第二方面。
再一个方面是我们的数据在经过2003年到2018年,15年的发展有很大的体量,每年交易的数据在我们这边都会有积累,积累的数据一定要把它保护好,否则的话,会带来个人信息和账户信息的泄露,这方面也是一个比较复杂的情况,就是我们要在大量复杂的现实交易的数据和历史数据方面,都要采取足够的力度,这样才能保证交易的安全。这是我们的复杂情况。
安小青:请陈总介绍一下易宝支付的安全网络架构吧。
陈斌:网络安全的架构整体上应该说和普通的互联网公司类似,但是我们比较特别的地方,就是刚才我提到了,我们是TotalDefense,全面防护,除了正常的前面有防火墙,有IDS,有防DDoS的,中间在交易处理的时候,包括不同服务器之间的调用,不同的应用之间的调用,要是加密,要求端对端加密,比如一个POS机,从信息进到POS机,卡号进到POS机,直到后端处理,全面要加密,全面要在这个安全的状态下处理。还有后端的数据库和大数据平台,要求照着PCI的标准,该进行脱敏处理的,进行隔离的都要进行隔离,数据的使用,采取严密的授权制度,比如说哪类数据需要哪个程度的授权,最后是授权会到副总级的,包括我,包括我们负责数据平台的副总裁,都要亲自去检查这个数据的敏感度和使用的合理性,比如说央行到我们这里来检查工作,我们要配合,就要提供一定的准确又要保护个人信息的数据,要做相应的配合。
安小青:当下网络威胁形势严峻,各种未知威胁或高级威胁层出不穷。易宝支付是如何应对0Day漏洞或APT攻击?如果方便的话,可以通过一个具体事例进行说明。
陈斌:我们应对这种攻击是几个方面,第一是说基于全面防护理念,我们会对所有的应用代码进行黑盒测试,白盒测试,代码一旦提交进入生产系统,会对整个应用交易发生的所有链条进行监控,比如说一个交易从前端进来了,前端接收了之后这个定单我们处理,到下一层,每一个环节我们都要体现在日志上,甚至直到说每一个主机,处理的主机上都会采取相应的措施,处理的过程记录下来,另外根据我们以往的经验,碰到的这种攻击的模式,我们会检查出来,采取预防措施。举个例子,我们曾经在去年,下午三四点钟发现有一些试探的脚本在运行,这种脚本运行,根据我们长期的经验判断,应该是大规模DDoS的前期试探,我们当时就快速采取一些措施,准备好预防DDoS攻击的策略,很好地避免了DDoS攻击。
安小青:保持系统高可用性是金融企业安全防护底线之一。业务数据就是黄金,而服务器作为距离数据最近的位置,易宝支付在保证数据安全和主机安全方面都采取了什么样安全措施?
陈斌:对金融服务行业来讲,系统的可用性是极其关键的,因为你的金融服务,人家要来用,要么是来取钱的,要么是来付钱的,要么是来到你这边借贷的,这个服务是要用的时候,要马上出现,不能说用的时候系统没了,可用性对我们要求极高,易宝的底层系统,包括数据库,基础的网络,应用服务器,数据库,大数据平台,都要求在4个9以上,这么高的可用性,其中一个很重要的保障就是安全,安全既是说确保我的数据,刚才提到数据像黄金一样很可贵,黄金一样就要相应的保护措施,不能被人家把我的黄金拿走,除了保护它,让他不去被泄露,不去失去价值以外,更重要的是回到前面说的可用性上,如果数据不存在了,或者数据被泄密了,这个交易会受到大的影响,所以可用性会降下来,安全上我们认为是网络的安全保障是整体的系统可用性保障的一个重要的部分,就是不仅仅是保护,是说保护的不仅仅是数据,更多地是保护你的服务,在我需要的时候是可以拿到的,这也符合我们整个信息安全的理念,叫CIA,A就是Ability,既要保证机密性,不可篡改,也要保证可用,我要用的时候存在。
安小青:在安全产品选型方面您会考虑哪些问题?
陈斌:我们在安全选型方面主要是基于自身整体的防护考虑,根据需要在不同的环节选用不同的产品,比如说选防火墙,选VPN加密设备,选堡垒机,选POS机前端的加密设备,既要满足国家对这方面一些强制的要求,也要满足我们企业整体的全面防护要求,以青藤为例,去年底采购的主机自适应保护(安全)系统,就是为了弥补我们的一个环节,就是在主机的保护上有一些不足,之前的主机系统保护更加是靠系统管理员,系统管理员把不太常用的服务关掉,把一些端口关掉,把一些不必要的用户,密码,用户名去掉,让系统的内核更有内聚力,减少这些没必要的麻烦,或者没必要的漏洞,更多是从这个角度出发。后来我们发现这个是不够的,比如说当系统出现了应用级别问题,比如说应用上的GVM,或者是Apache,容器出现bug的时候,bug可以直接到底层系统调资源,会造成更大的损失,当调底层服务的时候,如果底层是基于简单的操作系统加固的方法,是不够的,所以我们后期就采用了青藤的系统,主要是采集信息,采集完信息之后,做综合处理分析,如果发生这种可疑的,或者是有威胁性的一些蛛丝马迹,我们可以及早采取行动,确保我们的系统不受到影响。
安小青:最后,陈总来评价一下青藤以及青藤的主机自适应安全平台吧!
陈斌:经过一年时间的使用,我们感觉青藤在这方面做的还是很专业,他们也在这个领域里面相当于说补足了,至少是易宝支付在这方面的空白,就是说我们对主机系统的安全防护的不足,他们采取的手段和系统的整体设计也是比较合理的,就是说Footprint,对我机器的负载影响很小,可以很轻量,感觉不到说青藤Agent在我系统上运行,会对我系统产生多么大的CPU和Memory的影响,基本不太有感知,但是效果还是比较明显,就是当系统有这些蛛丝马迹的时候,除了能采集信息以外,可以把数据送到一个中心的管理平台去分析和处理,应该是我认为青藤在这方面的工作还是这个领域比较领先的,应该是做金融服务,如果你想让你的主机比较安全,可以试着考虑用这类的服务。