全球敏捷运维峰会广州站演讲总结
本次会议围绕金融行业安全管控及实践展开,由魏亚东先生主讲。以下是主要内容摘要:
1. 个人背景与经历
- 魏亚东,2009年加入中国工商银行软件开发中心,现任工行三级经理、资深架构师。
- 担任杭州研发部数据库专家及开发中心安全团队成员。
- 具备6年技术管控与安全管控经验,专注于业务价值的高质量快速交付。
- 作为技术专家,为生产安全提供技术支持,并曾主导多个重要产品线的开发。
2. 网络安全挑战与案例
- Log4j2核弹级漏洞:2021年,Apache Log4j2 RCE漏洞引发全球关注,导致大量网站及系统面临巨大风险。
- 2017年勒索病毒“WannaCry”:迅速席卷全球150个国家和地区,波及超过20万台机器。
- 2022年NPM存储库攻击:黑客针对NPM存储库发起攻击,发布近800个恶意NPM包。
- 2022年俄最大银行DDoS攻击:峰值流量高达450GB/秒,是历史上最严重的DDoS攻击之一。
3. 数据安全事件
- 数据泄露事件频发,包括拼多多过期优惠券Bug导致的重大经济损失,以及哥斯达黎加财政部大量敏感数据被盗的事件。
4. 法律与政策
- 国际层面上,欧盟颁布GDPR,构建“泛欧数据市场”,美国通过CLOUD法案,中国则出台《网络安全法》、《数据安全法》等,强调数据安全保护和监管。
5. 金融行业安全管控核心诉求与策略
- 提升人员安全意识,通过教育减少社会工程学攻击的风险。
- 最小权限管控,运用文档加密、水印等技术手段减少无意泄露。
- 安全左移,将安全活动嵌入DevOps流程,提高安全性。
- 快速漏洞修补,采用自动化工具进行动态入侵检测和漏洞管理。
- 持续风险评估,快速识别和响应异常行为。
- 舆情管理,自动化实现舆情跟踪和处置,提升应急响应速度。
6. DevOps模式下的软件安全转变
- 瀑布模式的不足与DevOps的优势对比。
- DevSecOps标准化框架,强调全员参与、安全左移、流程内建和闭环管理。
7. 工行安全管控探索
- DevOps业务研发中心,负责安全验收。
- 安全工具链建设,提升安全效率。
- 安全人才培养,构建应用安全体系和技术平台。
- 合规性管理,降低监管风险。
- 漏洞预防,减少应用风险漏洞数量。
8. DevSecOps能力体系
- 构建全面覆盖研发、测试、发布和运维的闭环安全管控能力。
- 全流程安全管控,从需求分析到运营维护,实现安全左移。
- 工具整合,提升自动化水平,降低对人员技能的依赖。
- 安全能力原生化,将安全技术和服务化,实现安全管理的可视化和过程化。
结论
会议强调了金融行业在面对日益严峻的安全挑战时,应采取综合措施加强安全管控,特别是在人员培训、技术工具应用、安全文化培养等方面加大投入,同时紧跟DevOps和DevSecOps的发展趋势,构建全面的、动态的安全防护体系,以应对未来的安全挑战。
