51CTO WOT 2015移动互联网开发者大会即将于2015年7月24-25日在北京富力万丽酒店隆重召开。本次大会共设八大技术分论坛,分别从产品与设计、平台与技术、创新与创业、移动游戏、算法分析、HTML5、运维安全、新浪微博技术等方面,为广大移动开发者解开技术迷思。
为使大家进一步了解本次大会,有针对性地选择课程内容,51CTO记者对即将参加大会演讲的技术专家分别进行专访,为您进行各场演讲精华的新鲜速递。本次大会详细议程见:http://wot.51cto.com/ .
今天带来“剧透”的是北京沃顿在线信息技术有限公司的创始人,原京东高级安全经理朱磊。他曾任京东研发系统安全经理,负责京东JSRC运营推广、内部工作平台、工作流程以及一些安全系统的设计,带队ISO27001项目实施,具有多年的互联网信息安全管理经验,丰富的信息安全理念和多个安全系统架构经验,具备优秀的团队建设、项目管理能力。目前,他创办了沃顿在线专注运维安全,并撰写了《暗战:数字世界之战》这本书。在本次的WOT移动互联网开发者大会中,朱磊老师将在“运维安全专场”为大家带来分享,并担任该分会场的主持人。
【讲师简介】
朱磊:专注运维安全的北京沃顿在线信息技术有限公司创始人,《暗战:数字世界之战》一书作者。曾任京东研发系统安全经理,负责京东JSRC运营推广、内部工作平台、工作流程以及一些安全系统的设计,带队ISO27001项目实施,具有多年的互联网信息安全管理经验,丰富的信息安全理念和多个安全系统架构经验,具备优秀的团队建设、项目管理能力。
以下是对朱磊老师的采访实录:
51CTO:能否先简单谈谈您在运维安全领域的从业经验和您对运维安全的理解?以及离开京东后的未来规划?
朱磊:运维安全其实是件很尴尬的定位,运维安全的名称就注定其只是运维环节的一个辅助部门存在,很少有公司会将安全纳入企业的重点,巨头们除外。虽然这两年信息安全成为热门话题,我们可以看到有不少公司都在建立自己的安全团队,这是好的转变,但是还不够。
运维安全已经开始从救火队员的角色慢慢转变为企业安全中不可忽视的一环,这是好事情,代表着安全随着业务的转变已经从跑龙套开始慢慢出任主角。
从加入京东的那天开始,我就知道我一定会离开,而且时间不会太长。我是一个幸运的人,遇见好领导的支持与好的团队。在我而立之年的人生关键年,告别这样一个很好的团队为自己的后半生拼上一次。创办沃顿在线专注运维安全,定位企业运维安全,解决使用公有云的中小企业用户在运维安全过程中的所面临的安全风险。
51CTO:前段时间我读了您写的《暗战:数字世界之战》这本书的几个章节,请问你撰写这本书的初衷是什么?这本书将为读者带来什么?
朱磊:暗战的书名暗指隐性的斗争,用于形容企业安全工程师与骇客之间的斗争最为贴切,而两者之间的较量的战场是网络这一数字化的场地,因此得一书名"暗战:数字世界之战"。
写书是一个机缘巧合的机会,年初出版商找到想约稿一本安全方向的书,起初我是拒绝的,因为码字是我最讨厌做的事情,上学的时候作文题我都是空着的,因为不喜欢。
回家过了一个年回想了工作的这十多年总觉得要在而立之年做些什么,在决定创业的时候觉得应该为这十多年做一个总结,这才让我推翻之前的决定接下出版商的邀约。
我选择运维安全做为书的主线是因为:近两年,各互联网巨头业务以及互联网金融业务特性的快速推动,让安全的焦点快速的从运维安全转向业务安全,这其实并没有错,只是会导致一些跟风的企业转移安全的重心,导致跑偏的安全投入。
书中的案例和解决建议来自我这十多年的遇见与沉淀,其初衷一是为自己做一个总结,二是为读者带来一些参考。书中介绍了在企业运维安全中会遇见那些风险以及用什么样的方式去解决,至少在眼光望着的业务安全之前要先搞定内部环境的风险。想知道我这十多年遇见了什么有意思的事情,等下半年买书吧。
51CTO:您认为这么多年运维安全工作有哪些变化与演进?
朱磊:运维安全其实是信息安全发展的中间环节,信息安全的发展最早始于网络安全,发展与运维安全,重生与业务安全。先行者为乙方安全厂商,标志性产品就是防火墙这类的边界防御产品。所以,往前推个小十年大家在谈到信息安全时***个印象就是防火墙。
随着互联网的崛起与演化,信息安全开始转向内网安全,于是以事件驱动的SOC(安管平台)出现,这是运维安全的雏形,也是演化时间较长的过程。随后各类边界、行为管理、审计产品开始出现,这众多的防御产品的出现看似对安全问题很有针对性,但这在解决问题的同时带来了新的问题。一个个独立的信息孤岛无形中加重了运维安全负担,大量的产品要靠流程与制度串联起来,而企业发展壮大后走流程其实是一件相当耗时的事情。
业务安全也是这两年伴随电商的火热从金融安全体系中引荐而来的方向,有一个简单粗暴的名称"风控"。
运维安全也借由风控这把利剑在公司的架构中劈出一席地位,风控的核心是评估与规避业务环节的各类信息安全风险,与业务挂钩可以很准确的算出风险所带来的损失,也正因为这个准确的估算让公司注重信息安全的投入。简单粗暴的解释是公司一次市场推广活动投入400万做营销,结果投入的奖品全让"有心人"刷走了,一个团队彻夜的赶工加上宣传费用付之东流,对老板而言自然愿意拿出100万安全预算来规避未来可能造成的400万损失。
51CTO:***,您能透漏一下本届WOT峰会上的演讲主题或内容么?
朱磊:首先感谢主办方51CTO的邀请,演讲的主题自然离不开运维安全,在阐述个人观点的同时,可耻的做一做广告。
另外做一个透漏,本届WOT峰会我除了做运维安全的观点分享还接下了安全分会场的主持人工作。
在本届WOT 2015移动互联网开发者大会,来自谷歌、腾讯、京东、360、新浪微博、乐蜂网、魅族等企业的技术专家汇聚一堂,只为助你打开实现梦想的那一扇窗。盛会虚位以待,只等你快马加鞭!