小青對話時間

 

　　安小青：首先請陳總介紹一下，易寶支付公司概況、業務模式和信息化歷程？

 

　　陳斌：易寶支付是硅谷的創業公司，2003年開始在硅谷創立，之后為了做中國的業務，在2003年的時候，回到了中國，我們最開始只是說要做移動支付，后期在2006、2007年，一直到2009年這段時間也開始做其他的像在線支付，線下支付這種業務，易寶在2010年拿到了央行的支付牌照，之后業務發展一直很穩健，我們是全牌照公司，在在線支付、線下支付、互聯網支付、移動支付、基金支付、跨境支付等方面，都有自己的積累。我們的特點是聚焦在行業深入方面，像航空、旅游、保險、政府、教育，還有電商都是我們比較深入的行業。每年我們能交易兩萬億上下的交易額。

 

　　安小青：陳總擁有豐富的海外經歷和多年架構經驗，能否簡單跟我們講述下目前中美在網絡安全上差異主要表現在哪些方面？我們應該采取什么樣應對措施？

 

　　陳斌：網絡安全是整個互聯網行業當中一個比較受關注，也是比較特別的一個領域，互聯網從90年代開始大規模使用以來，網絡安全在世界各國都有了各自的發展情況，各國有各國的情況，中國和美國的情況主要差別在于中國在互聯網技術的應用方面走得比較遠，走得比較快，比如說在移動支付的應用方面，我們會比美國快很多，美國現在還是用信用卡在做支付，而不是用手機做支付。

 

　　另一方面就是美國在互聯網技術的底層方面會比較有深入的積累和更多的投入，大家也都看到了，像我們主要的網絡安全和信息安全的廠商，經常會看到像美國公司，以色列公司，像CheckPoint，在零幾到2010年這段時間獨領風騷，后來PaloAlto也是引領防火墻行業里面的發展，在應用上，中國走得比較前，基礎研發上美國走得比較靠前，但是在互聯網的整個安全復雜性和復雜的態勢上，中國比美國更加復雜，就是說如果再退幾年來看，我們在互聯網上經常會看到像DDoS，各種留后門，各種Hacking等不良的行為，在美國因為法律制度不一樣，他們在這方面做得多一點，相應會少一點，其他的國家除了中國以外也有很多這種信息安全上的問題。

 

　　總結一下，復雜度上，互聯網安全，中國所要面對和應付的復雜性會比美國高，但是在技術的基礎程度，投入和研發上，美國比中國多，研發得更深入。基于這個情況可以看到中國在互聯網應用安全防護會比美國更加有經驗，因為畢竟經歷的事情比較多。

 

　　安小青：眾所周知，易寶支付是中國支付行業的先行者，而信息安全一向是支付行業的監管重點。那么在《網絡安全法》實施后，給整個支付行業帶來什么樣影響和變化？

 

　　陳斌：易寶支付是非常注重網絡安全、數據保護、個人隱私的保護，一方面是因為我們公司從硅谷過來的時候，就比較多繼承了很多硅谷公司的基因，對保護比較強調和重視，另一方面是在《網絡安全法》沒有正式實施以前，是一些自發的行為，覺得信息安全是交易的保障，交易比較順利的完成，比較成功的完成，整個公司想健康發展，交易的安全一定要做好，我們有自發的行為，本身有這種比較完善的信息安全體系，就是說從人到策略，到資產的盤點和分類，到具體的保護措施，一直到技術層的前端，中間的處理和后端的保護都是比較全面的。

 

　　但是信息安全法出來之后讓我們有了一個更好的規矩去遵循，有據可循了，在保護的力度，保護的對象，保護的范圍上，有了更加清楚的界定，《網絡安全法》對我們是一個非常好的利好的因素，我們是歡迎的。

 

　　安小青：早在2005年您就參與了易寶支付第2代系統設計、研發等流程，請您介紹下易寶支付面臨安全挑戰或者威脅主要來自于哪些方面？

 

　　陳斌：剛才在個人介紹的時候沒有提到說我2005年回來過，當年在硅谷，像我們幾位創始人唐彬、余晨，我們是熟悉的，他們回來初創公司之后，2005年我回來了一年多，主要是主導第二代系統的設計和研發工作，也包括我們的信息安全制度，體系的建設，信息安全人才的培養，和其他的，像運營和技術運維體系的建立和人才的培養招聘。因為我自己家里的原因，又重新回到美國去加入諾基亞，去做諾基亞的互聯網方面的事情。二代系統在那個時候研發成功，一直到2012年，2013年左右，都是易寶主力的交易系統，后期我們又做了新的迭代，這個就不去詳細說了。

 

　　在網絡安全方面，我們面臨的情況，主要是幾個情況，一個是說易寶是一個聚焦在2B的領域，為企業提供支付復雜的綜合解決方案的支付廠商，我們所連接的，像我在前面提到，有航空公司，保險公司，后面我們會聯系到網聯，銀聯，各種銀行，甚至是人民銀行的系統，這些連接比較多，不像一般電商，打開門對外就業就好了，我們需要廣泛連接各方面，這些就需要我們特別關注網絡上連接的安全性，比如說各種數據的傳遞，什么時候要用加密的，加密到什么程度，是不是能滿足安全的要求，這是一個方面，復雜的情況。

 

　　第二方面就是我們所處理的交易都是涉及到資金，涉及到錢的，所以安全要求的程度比一般的互聯網公司要高一些，比如是做網游的，交友社交的，處理的是個人信息，當然也很重要，但不是像我們既處理了個人信息，又處理了卡號，信息，他的金融信息，他的資產信息，所以呢，這就要求我們采取一種全面的防范措施，不論是在網絡的前端，還有中間處理端和數據存儲端，要全面防護，也包括內外網，現在不做區分，就是內外網的安全度，一樣都要求高，沒有什么DMZ，沒有什么可信區，在缺省的情況下都需要足夠的安全程度。這是第二方面。

 

　　再一個方面是我們的數據在經過2003年到2018年，15年的發展有很大的體量，每年交易的數據在我們這邊都會有積累，積累的數據一定要把它保護好，否則的話，會帶來個人信息和賬戶信息的泄露，這方面也是一個比較復雜的情況，就是我們要在大量復雜的現實交易的數據和歷史數據方面，都要采取足夠的力度，這樣才能保證交易的安全。這是我們的復雜情況。

 

　　安小青：請陳總介紹一下易寶支付的安全網絡架構吧。

 

　　陳斌：網絡安全的架構整體上應該說和普通的互聯網公司類似，但是我們比較特別的地方，就是剛才我提到了，我們是TotalDefense，全面防護，除了正常的前面有防火墻，有IDS，有防DDoS的，中間在交易處理的時候，包括不同服務器之間的調用，不同的應用之間的調用，要是加密，要求端對端加密，比如一個POS機，從信息進到POS機，卡號進到POS機，直到后端處理，全面要加密，全面要在這個安全的狀態下處理。還有后端的數據庫和大數據平臺，要求照著PCI的標準，該進行脫敏處理的，進行隔離的都要進行隔離，數據的使用，采取嚴密的授權制度，比如說哪類數據需要哪個程度的授權，最后是授權會到副總級的，包括我，包括我們負責數據平臺的副總裁，都要親自去檢查這個數據的敏感度和使用的合理性，比如說央行到我們這里來檢查工作，我們要配合，就要提供一定的準確又要保護個人信息的數據，要做相應的配合。

 

　　安小青：當下網絡威脅形勢嚴峻，各種未知威脅或高級威脅層出不窮。易寶支付是如何應對0Day漏洞或APT攻擊？如果方便的話，可以通過一個具體事例進行說明。

 

　　陳斌：我們應對這種攻擊是幾個方面，第一是說基于全面防護理念，我們會對所有的應用代碼進行黑盒測試，白盒測試，代碼一旦提交進入生產系統，會對整個應用交易發生的所有鏈條進行監控，比如說一個交易從前端進來了，前端接收了之后這個定單我們處理，到下一層，每一個環節我們都要體現在日志上，甚至直到說每一個主機，處理的主機上都會采取相應的措施，處理的過程記錄下來，另外根據我們以往的經驗，碰到的這種攻擊的模式，我們會檢查出來，采取預防措施。舉個例子，我們曾經在去年，下午三四點鐘發現有一些試探的腳本在運行，這種腳本運行，根據我們長期的經驗判斷，應該是大規模DDoS的前期試探，我們當時就快速采取一些措施，準備好預防DDoS攻擊的策略，很好地避免了DDoS攻擊。

 

　　安小青：保持系統高可用性是金融企業安全防護底線之一。業務數據就是黃金，而服務器作為距離數據最近的位置，易寶支付在保證數據安全和主機安全方面都采取了什么樣安全措施？

 

　　陳斌：對金融服務行業來講，系統的可用性是極其關鍵的，因為你的金融服務，人家要來用，要么是來取錢的，要么是來付錢的，要么是來到你這邊借貸的，這個服務是要用的時候，要馬上出現，不能說用的時候系統沒了，可用性對我們要求極高，易寶的底層系統，包括數據庫，基礎的網絡，應用服務器，數據庫，大數據平臺，都要求在4個9以上，這么高的可用性，其中一個很重要的保障就是安全，安全既是說確保我的數據，剛才提到數據像黃金一樣很可貴，黃金一樣就要相應的保護措施，不能被人家把我的黃金拿走，除了保護它，讓他不去被泄露，不去失去價值以外，更重要的是回到前面說的可用性上，如果數據不存在了，或者數據被泄密了，這個交易會受到大的影響，所以可用性會降下來，安全上我們認為是網絡的安全保障是整體的系統可用性保障的一個重要的部分，就是不僅僅是保護，是說保護的不僅僅是數據，更多地是保護你的服務，在我需要的時候是可以拿到的，這也符合我們整個信息安全的理念，叫CIA，A就是Ability，既要保證機密性，不可篡改，也要保證可用，我要用的時候存在。

 

　　安小青：在安全產品選型方面您會考慮哪些問題？

 

　　陳斌：我們在安全選型方面主要是基于自身整體的防護考慮，根據需要在不同的環節選用不同的產品，比如說選防火墻，選VPN加密設備，選堡壘機，選POS機前端的加密設備，既要滿足國家對這方面一些強制的要求，也要滿足我們企業整體的全面防護要求，以青藤為例，去年底采購的主機自適應保護（安全）系統，就是為了彌補我們的一個環節，就是在主機的保護上有一些不足，之前的主機系統保護更加是靠系統管理員，系統管理員把不太常用的服務關掉，把一些端口關掉，把一些不必要的用戶，密碼，用戶名去掉，讓系統的內核更有內聚力，減少這些沒必要的麻煩，或者沒必要的漏洞，更多是從這個角度出發。后來我們發現這個是不夠的，比如說當系統出現了應用級別問題，比如說應用上的GVM，或者是Apache，容器出現bug的時候，bug可以直接到底層系統調資源，會造成更大的損失，當調底層服務的時候，如果底層是基于簡單的操作系統加固的方法，是不夠的，所以我們后期就采用了青藤的系統，主要是采集信息，采集完信息之后，做綜合處理分析，如果發生這種可疑的，或者是有威脅性的一些蛛絲馬跡，我們可以及早采取行動，確保我們的系統不受到影響。

 

　　安小青：最后，陳總來評價一下青藤以及青藤的主機自適應安全平臺吧！

 

　　陳斌：經過一年時間的使用，我們感覺青藤在這方面做的還是很專業，他們也在這個領域里面相當于說補足了，至少是易寶支付在這方面的空白，就是說我們對主機系統的安全防護的不足，他們采取的手段和系統的整體設計也是比較合理的，就是說Footprint，對我機器的負載影響很小，可以很輕量，感覺不到說青藤Agent在我系統上運行，會對我系統產生多么大的CPU和Memory的影響，基本不太有感知，但是效果還是比較明顯，就是當系統有這些蛛絲馬跡的時候，除了能采集信息以外，可以把數據送到一個中心的管理平臺去分析和處理，應該是我認為青藤在這方面的工作還是這個領域比較領先的，應該是做金融服務，如果你想讓你的主機比較安全，可以試著考慮用這類的服務。