当前位置:CIO频道新闻中心 → 正文

安全意识重于泰山

责任编辑:cres |来源:企业网D1Net  2019-01-12 17:37:55 原创文章 企业网D1Net

2019年北京部委央企及大型企业CIO年会于1月12日在北京开启。大会邀请了约150位来自北京部委、央企和知名企业的信息高管出席,围绕“数字化转型的实践落地”,共同探讨数字经济下政府部门和大型企业在政府职能转变及企业业务变革方面的全新机遇,为企业数字化转型出谋划策。
 
以下是现场速记。


安全意识重于泰山
 
李学庆:大家好,我刚才听了专家说,一下午脑袋听木了。我来之前,因为我很少参加CIO联盟的会议,以前也参加过一些公司级的,来之前必须要穿的正式一些,所以我昨天专门准备了一个正装,准备了一套西服,今天早上发现腰带没了,那就算了,还是穿的屌丝一些,今天还是跟以前一样。今天我也看了,来的都是大咖,我也班门弄斧跟大家简单聊聊,聊聊安全。
 
这个是我的经历。首先做一个小调查,飞信谁用过?都是那个年代的人。第二个,京东都用过吧。第三,谁骑过摩拜?有骑过ofo的吗?骑过的可以出去了。这个就是我的经历,从最开始做安全,后来到京东,我在京东是京东第一号开始做安全的,我从2011年开始在京东做安全,所以京东的很多安全都经历了。在前年摩拜需要找一个做感觉的人,他们那边一个高管跟我聊了很长时间,聊了几个月,最后就说过来吧,这就是我的一个经历。
 
简单给大家看一下。这个女孩认识吗?我们叫天总,她叫章泽天。在京东六年授勋的时候会有这样一个仪式。这是我们当时的一个团队,后面是参加的一些会议。这三个人认识吗?(胡炜),我们的创始人之一,最左边是和ofo的老板差不多,叫(王小峰),摩拜的CEO。因为摩拜非常重视,我直接去当创始人之一。
 
今天我也看起来了,虽然我来的晚了点,但很多议题还是和安全有关系的,大家觉得安全非常重要,这一块我觉得大家也不陌生,包括Facebook、顺风等等,这其实衍生出来一个点,在今年年初的时候就开始了,其实有一个趋势就是数据安全非常重视,每家每户都非常重视,我发现有一些阿里的朋友都直接出来进行创业了,就专门做数据安全。其中有一家叫做(春芝),就是阿里的几个朋友出来创业的,做的都比较不错。为什么泄露呢?在工作当中会遇到的一些问题,在哪方面需要注意哪些地方,将来安全相对来说做的到位一些。
 
安全需要从点滴开始。在这里我会提到一个点,最初做信息的时候,我当时想把这个意识和文化拆开,其实今天想讲文化的,后来和范总聊了一下,我就把这两块揉在一起了。
 
首谈一下我的经验。弱口令有一个定义,什么叫弱口令,除了123还有什么弱口令?其实弱口令的定义很宽泛,而不是大家想的123,或者1-8、8个0,2012年大家都经历了(CS)事件,那个事件泄露了很多数据。它会把所有网站当中的密码放在一起撞户,当时我们就是把所有户中的Top100找出来了这批也是弱口令。第二,不同王渣中的口令大家一定要有一个想法,大家有没有一个想法,如果一个密码泄露了就知道是哪个网站,这个大家有没有想过,怎么去设置这个密码。我给大家举个例子,我在京东设置网络的时候都会加一个GD,或者在唯品会注册的时候肯定会有一个WPH,如果哪个网站泄露就立刻知道哪个网站出问题了,而且还不一样。第三个是口令长度,大家觉得多长是正常的。
 
嘉宾:6位。
 
李学庆:我个人电脑的密码是22位,为什么我能记住呢?而不是说很多乱七八糟的东西都不明白,没有逻辑的东西拿出来之后都能记住,我也记不住。首先有一点,这里面我提到的第一个就是长度,12位是比较安全的,第二个是长度。我给大家举个例子,现场测试一下,我给大家出一个密码,今天是1112,比如说CIO1112锄禾日当午的拼音,大家再给我重复一下,有一个组合之后就立刻能记住,或者自己老婆的名字。我爱你,520,英文大小写。第一个是满足复杂性;第二个是一定要保证长度,复杂度也提到一点,字母数字下划线。不要觉得密码很复杂别人破解不了,不可能的,别人会用各种方法去窃取密码。前两天在京东做安全的时候,也是运维人员说系统,密码非常复杂,不能告诉你,通过这个软件我们拿到了密码,很容易就拿到了。以前在飞信的时候,因为租房很多人住一起,很多人都会用同一个局域网,当我去钓对面的妹子都会用无线网,当时无线网还不多,通过这种方式就认识了,原来是一个院子,再一说原来是对门,就非常熟了。做安全确实有很多有趣的,这种事情多了之后大家会觉得,你的密码已经在不经意间被泄露了。
 
万能钥匙有人用过吗?有人听过吗?
 
嘉宾:知道。
 
李学庆:万能钥匙的原理知道吗?万能钥匙就是去任何地方都不需要装密码,密码就可以直接用了,在家里面的密码也会丢,在公司也会丢。京东在2013、2014年的时候,别人把京东的密码上传到万能钥匙上去了,导致别人只要一进来不需要知道任何密码直接就可以联网,所以被别人入侵了,万能钥匙的创始人我也比较熟悉,做这个干吗用,就是为了赚广告费,其实有很多企业,现在贴一张纸往墙上一放密码是什么,现在还有这样的。当时我去摩拜的时候就有这种情况,我做的第一件事把各个层所有的密码纸全部撕掉,太危险了。暴露在纸上是最LOW的方式,大家可以上手机上去搜搜,有些APP上专门管理密码的,这个可以用一用。
 
再往下是无线。连接WiFi的习惯是什么样的。提到这个想起了今天早上的事情,大家应该知道海底捞。海底捞的新闻大家都看了吗?在等的时候大屏上别人播放黄色录像,但是我们不关注内容,到底是怎么去规避这个问题。当时我们就想,最后这个新闻出来说播放视频的人被抓住了,它是怎么能抓住这个人的呢?最后看新闻的具体内容,说是这个人通过手机连接WiFi,WiFi又和大屏电视是同一个局域网,因为大家同一个局域网可以无线投屏,把手机上直接投上去了。手机用什么方式可以,电视上怎么能够识别出来手机呢?最后我们想肯定是无线投屏的时候是可以进入手机号的,要么是手机号,要么是(MEI)号,非常有意思。随意连接WiFi这个习惯大家要小心一点,在行业当中会觉得处处都有风险,包括跟360聊,去西站人特别多释放一个WiFi,没有密码,去调取所有信息,调取所有内容,家庭住址全部调过来了。大家应该知道,前两天“3·15”晚会的时候通过连接无线可以把你的信息给抓住,这个就是360搞的,这个就是随意连接无线的风险。
 
还有一个就是办公WiFi,大家也要小心,有一些钓鱼的,不知道大家遇到过没有,以前在京东就会释放一些WiFi,连上之后就会获取一些信息。给官方的管理员说,WiFi一定要有双认证,保证不会出现,连上一次还需要再校验一次才可以。
 
存储设备,一定要做到一个点定期查杀。我一直建议,系统当中不需要所有的,但是要定期查杀。第二个,BitLocker,Window10上已经有了。举个例子,首先电脑上的数据别人拿到了,知道你的登陆密码了,下一步就是所有的数据丢失,但是BitLocker是直接把硬盘加密,比如C盘、D盘,你选的C盘取用加密,每次开机的时候必须要输入这个密码硬盘才可以打开。我觉得大家可以回去看看,这个还是比较不错的。
 
还有一个是随意使用U盘,大家也不要太相信了,一定要小心一些。随意插U盘的时候是带病毒的,比如说木马可以远控,只要U盘插了,黑客就可以直接调用电脑,电脑上的数据都可以提取。
 
勿存重要文件,特别重要的东西最好放在一个地方,不要说C盘有,D盘有,那就乱了。还提到一个,因为大家现在勒索病毒特别多,我在京东的时候就处理过一次,太艰辛了。当时是在“6·18”的第二天,6·19出现的问题,我当时正在睡觉,CTO给我打电话,一说这个情况肯定是(英文),最后当天几个人直接跑京东总部应急,所有人全部都在这儿,IT的人也去看。单说这个问题的责任不是我们,因为我们前段时间就已经发现了(英文)问题,(英文)其实用的是一个永恒漏洞,说需要下发打补丁,他们没有及时去做,最后在6·19爆发了。为了解决这个问题,大家一定要有一个习惯,我现在就有这个习惯,现在云存储不是特别流行吗,把一些重要的文件保存,如果大家用微软的一套东西可以用(玩转),企业版的我都在用,有什么文件点一下就上传上去了。百度这几年比较规矩一点了,不会随意翻东西了。第一个是百度,第二个是微云,这两个产品还是比较不错的,对标(玩转)这样一个产品。
 
邮件。第一个是未知邮件,不要去随意去点,随意去看,大家应该能分辨出来哪个邮件是自己的,哪个邮件是外面的,这个是没有问题的。第二个是钓鱼邮件,冒充管理员说密码过期了,需要去修改密码,给你一个链接,你点这个链接需要输入原密码、新密码、确认新密码,可能会模拟的很像,但是唯一不一样的地方是,钓鱼邮件和正常官网的重要区别在域名上,肯定是不一样的。钓鱼网站还是大家需要小心的,企业经常会遇到,因为在邮件服务器上去拦截的话只能拦截一部分,还有一部分是拦截不到的。模拟系统邮件,刚才提到了,这个就不多说了。邮箱密码复杂度,大家想一想,后面会讲到VPN,我也会提到这个,能进入企业当中的第一是邮箱,第二是VPN,还有一个是WiFi,能够迅速的触碰到内部的信息,所以一定要把大门的锁用的更加结实一些,强一些,每家企业都有一个习惯,当我第一次去的时候配一个初始密码,他是希望修改,但是很多人不愿意修改了,摩拜123456,所有人都是这个,如果有一个人泄露,就立刻全部瘫了。我给大家举一个例子,黑客去搞的时候也有一个模式,我在摩拜猜我的密码,比如摩拜123456,或者李学庆摩拜,它会组合相近的关健词,所以大家一定要做好不要跟自己相关。公司的邮箱我发现很多人拿出瞎注册别的网站,不要干个事。以前在京东也发现了,外来的说这是什么邮件,最后发现他在这个网站注册了,拿自己官方邮件注册了,在企业当中大家也需要有一个意识,需要给他们培训。还有一点是邮件组权限,为什么提这个呢?也是有一个小案例。就不说哪个公司了,高管被举报了,邮箱是外部的,最后就说怎么回事,为什么IT没有把外部的邮箱直接给拦截掉,外部邮箱是不允许发内部邮件组的权限的,这个是需要定义好的。为什么公司外部的可以发公司内部的,这是不对的,在这方面我们要非常强。
 
VPN,第一个是强密码,这个不多说了。第二个是账号共用,一个VPN,当时应该是客服的VPN,一个VPN账号10个人用,最后出问题就不知道是谁,这个问题是非常严峻的,一个要保证一人一个VPN,二次验证也是,昨天跟亚马逊的哥们吃饭的时候也提到了,现在不是有UK吗,现在有一个和UK差不多的,要不然登不上去。我说这个和UK什么区别?如果UK要用的话,没带在家里面,老婆你在家里帮我截一下图,远程还可以登陆。刚才提到的这套设备就不一样了,必须要带到身边,必须要插到电脑上去,而且还要有摁一下的行为,这是VPN需要去保护的。公共场合尽量不要用VPN,除非大家知道,比如酒店或者是俩手机,另外一个手机当热点,让它上网。账号在工段中尽量不要去用,大家一定要小心。只要让我抓到,我肯定会丢失,很多很多有心人都会这么考虑。
 
个人隐私。现在少了,以前会有活动问卷,这个小女孩不错,必须填家庭住址、姓名、手机号乱七八糟的才给你,有这种活动的时候会骗取个人信息,把个人信息骗取之后再卖给营销的人。第二,微信测试大家应该经历过,比如测2019年运势,他和我之间有没有缘分,大家觉得这个很OK,它会让你填很多信息,大家需要注意了。怎么拿个人信息,他们会在淘宝里面开一个小商家去卖一个商品,这个商品特别便宜,几毛钱或者什么的,比如10块钱卖1块钱,那就会有很多人抢,比如卖女同胞的面膜,很便宜的商品最后把定向这帮人的信息就全部拿到了,他再去倒卖。大家一定要小心,有很多很多办法。我经常参加一些会议或者去其他地方,有些真实的信息不会填写的,因为我是不能保障的。BAT这种公司都不能保证它的安全性,更别说一些刚刚起步的公司,特别是收购识别,立刻把你最美丽的标识拿走了,指纹、虹膜、声波,这些大家要小心了。网站注册大家尽量填一些特别真实的东西,除非支付宝需要认真的,其他的就无所谓了。手机号大家也要小心,为什么会有很多来电,也会有很多骗子。人身安全,我记得哪次会议,为什么这个人突然找到我家了,他都不清楚,其实你在某个平台上已经被泄露了,这个也是大家需要小心的,不要把个人信息随意给别人。
 
办公电脑。我的建议是,第一个,定期查杀,我今天讲的东西都是和大家密切相关的,而不是给大家提一些没落地的,这些都是经历过的。定期升级、定期查杀。为什么呢?不经常升级的话可能会有最新的杀毒引擎盗取能力。第三,定期重装系统,现在利用没有对外公开的漏洞做一些坏事。为了避免这些事情的发生,定期把电脑重装一次。还有一种遮盖摄像头,为什么这么说,其实有很多可以唤醒电脑上的摄像头,所以就会有很多视频。大家知道,电脑摄像头被唤醒之后有一个明显的标识,会有一个小灯亮起,所以他做了这样一个版本,打开摄像头灯是不亮的。我那个电脑上会永远贴一个签,如果不需要进行视频会议,还是尽量把它给盖住。大家知道以前摄像头“小水滴”出来的时候,360出来的摄像头,大家觉得摄像头有什么风险?它的安全有很多问题,很多人会拿它说要拿这个看孩子,要拿它看家里的小偷,但反向来说黑客多了,如果你是一个坏人的话你会用它吗?很多人怎么用?比如说他去监控孩子的时候,他会在一个屏幕上显示各个地方监控孩子的摄像头,在网上去贩卖小孩,当时因为摄像头是有漏洞的,现在没问题了。第二是看家,你觉得看小偷,小偷也要看家里有没有人,没人就可以入室盗窃了。所以大家也要小心,摄像头要正常使用,小心一些。还提到了恶意软件,大家不要随便找个地方下载一个软件,可能蹦毒等等,这个也是风险比较大的。还有就是浏览器,为什么提到浏览器呢?在前几年的时候,360刚出来的时候会直接把你访问的很多信息传到服务器上去,所以现在很多浏览器做的比较好了看不出来。最早以前传的时候会发一个包,直接传上去,以前在京东让IT直接干掉了。大家要用比较官方的浏览器。
 
软件下载。大家都知道官方是不会出太大问题的。第二是破解版,在座的不说都不缺钱,也差不多。如果不去用,破解版是会有问题的。比如行业中用破解版,如果你不确定在里面插了一个什么东西,没准儿你损失会很大。我现在的Office都跟几个人共享一个家庭账号。还有就是不校验Hash安装,官方的是ABC,从另一个渠道下载之后不是ABC,那可能是不行的,那就不装了。还有一个是老版本,老版本尽量不去用,因为老版本可能会有很多问题。
 
最后有一个分享。大家说我通过微信、QQ传给你,我建议大家多用网盘。这个是不安全的,大家要小心。特别是程序员可以用GitHub,把我写的给别人看,你给别人看,别人也可以下载下来做这种事情,所以很多企业都开始做GitHub监控,不要传到这个地方传到那个地方,时不时可能就出现问题了。大家知道脉脉曝光,很多企业员工在里面发一些不太好的信息出来,但是这个东西首先是大家需要去关注这个系统,第二需要知晓,如果有这样的情况可以立案,直接找到脉脉,因为这个是实名的,注册就知道这个人是谁了,就可以找到这个人。刚才提到了IM互的事,这个大家也要小心。给大家提到的点,第一,高管在工作当中需要注意哪些点。第二,员工在工作当中需要注意哪些点。我提到每个点之后,怎么把每个点串起来,这就是后面的内容,我们需要给公司赋能安全,有一个安全文化,这里加了一个点,我们需要做的就是企业的安全文化,后续公司怎么做安全,应该去分几步骤。感受、互动、考核,我们当时在京东做的时候CTO都说了,所有人都必须达到80分,达不到80分继续考,当时出了三套题,全部都是混的,每个人的题都是不一样的,可以通过这几块去做。具体的怎么做大家可以回去看看。在公司当中形成一个文化,这个文化要让全员有一个仪式感,比如说安全周、安全月,有这样的节日才是OK的。大家可以回去看一下,这是整体的架构,怎么去把安全做到位,体系在那里,因为我也是从这个弯路走过来的。当我真正走到现在之后,发现很多做安全的东西是一个体系,大家做的时候一定要保证每一块都包含进来了,都是没有问题的。这是相对比较垂直的,每个垂直的点都需要做什么事,这个大家去掌握。每个公司不一样,因为大家知道做安全有个点,大家都说木桶原理,木桶能盛多少水取决于板,板是不能缺的。
 
我自己没事经常会总结,做安全或者信息化的朋友都知道SDLC,这个东西当时在京东落地了,做的相对来说还是可以的,很多部门说我们也要参与进来,我们要做这个部门的No.1,除了开发要做这个,还有要做一个SELC,这个是我自己创的,就是人的意识教育。从的入职、实习、转正、异动、离职,每一个情况是需要知晓的,而且需要教育、需要混合的。大家有这样一个想法,就知道后面怎么去做了。企业文化刚才提了,怎么样在公司当中贯穿一个东西出来。当我们发起安全月之后,紧跟着有安全周、安全月,都觉得这个东西是OK的,都希望贯穿下去。安全融入业务。而且安全的角度要有一个东西,一定要占有一个位置,我们的安全一定是要为业务服务的。业务永远是野蛮的往前生长的,保证它不能出去。外部有一些狼群来了能够抵挡住,我们做的是这个事情,这是我们的职责,这是我们的使命,但是我们不能去影响它。因为业务在野蛮生长的时候需要去快速发展,不能影响它。最后提到合规、等保、安全法、GDPR,这个就是大家怎么去用了。
 
最后一页提到一个点,大家每个人都说安全不好做。以前大家用一个想法,一定要有一个东西让业务部门或者什么部门往前走。《网络安全法》没有出来之前借助监察搞,监察说你们违规了。但是现在大家知道,《网络安全法》出来了,如果不去做就违法了,你是要背刑事责任的。不做行,OK老板签字画押,出任何问题你来扛。GDPR最高罚款是2000万欧元,全球营收4%,非常高。还是那句话,如果这个东西不做,这个责任要承担,跟我们没有任何关系,大家要把责任分好,所有的就都OK了。还有一点,包括老板也要做事,有一点要提到,做安全一定要给老板看的是价值,而不是发现多少漏洞,我也不爱看这些东西。我在京东的时候,当时给老刘看的时候,间接给京东挽回的损失是3.6亿,半年给京东挽回0.4亿,其他的没有用。
 
这是我的微信,如果下面的老板有什么需求可以多联系。安全做了这几年跟大家汇报一下,如果后续有需要可以多交流。

关键字:CIO 数字化转型

原创文章 企业网D1Net

安全意识重于泰山 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2019 京ICP备09108050号-6

^