蔡宇偉,目前擔任惠普全球信息技術部高級項目經理、測試部經理和信息安全能力中心全球負責人的工作。就在7月底,蔡宇偉獲得了由(ISC)2亞太區頒發的信息安全領袖成就 (ISLA) 獎。他在組織級信息安全管理領域做出了杰出的貢獻,并且幫助組織在信息安全治理上取得了了很大的進步。近日,筆者聯系上了蔡宇偉,請他分享他是如何進入安全行業之路,解讀互聯網的安全風險以及他的成功經驗。
惠普全球信息技術部高級項目經理、測試部經理和信息安全能力中心全球負責人 蔡宇偉
CSDN:請先簡單介紹下自己以及目前所從事的工作。
蔡宇偉:1998年,我本科就讀于上海交通大學計算機系,之后在上海交通大學軟件工程學院讀研。可以說我對于計算機行業的熱情和執著離不開交大的培養。畢業之后我分別就職于微軟,微創和惠普,分別擔任過軟件開發、測試、項目管理和部門經理的工作。今年是我在惠普工作的第九個年頭了,目前在惠普全球信息技術部擔任高級項目經理、測試部經理和信息安全能力中心全球負責人的工作。
CSDN:是什么緣由讓您走上安全這個行業的?最初的愿景是怎樣的?
蔡宇偉:近年來,網絡安全事故頻發,從個人信息泄露,企業數據被盜,到政府官網遭入侵,乃至棱鏡門這樣的對于國家安全的威脅越來越多,網絡安全問題已經關系到了我們身邊的每個人。對于信息安全的要求和發展也得到了越來越多國家和企業的重視。當然,惠普公司也把信息安全提到了非常重要的地位,信息安全也是惠普全球四大戰略(Cloud、Security、Mobility、Big Data)之一。為了順應市場的發展趨勢,同時結合惠普的戰略發展,惠普全球信息技術部成立了對應的能力中心,旨在培養有針對性的高精尖人才,并且開發出相應的解決方案來支撐業務部門的業務需求,幫助惠普的客戶解決他們的挑戰,當然信息安全能力中心也是其中之一了。
我很幸運,在信息安全戰略處于目前公司四大戰略之一,并且處于起步并上升階段的時候,CIO任命我來擔任惠普全球技術部Security Competency Center(信息安全能力中心)Global Leader的工作,負責帶領來自于中國、印度、墨西哥和馬來西亞所組成的信息安全領域的專家團隊來為惠普全球信息技術部服務。旨在幫助惠普全球信息技術部構建一個可靠安全的IT環境,并且提高每個員工的信息安全意識,把信息安全融入到整個軟件開發生命周期中去,并通過基于惠普的信息安全產品和技術的解決方案提升企業的信息安全成熟度等級。
CSDN:以您多年的實戰經驗來看,目前互聯網面對的安全風險主要來自哪些方面?
蔡宇偉:可以這么說,我們目前所處的這個互聯網環境,其實充斥著各種各樣的安全風險。當今環境,網絡安全的環境還在不斷變化,我們在很多正常的生活或工作時,比如收發電子郵件、上網瀏覽時都有可能遭受到攻擊。攻擊者可能會通過手機應用、釣魚或垃圾郵件、網站重定向等方法對我們的日常生活發起攻擊,從而獲取知識產權、個人信息、企業數據或其他敏感數據。黑客、罪犯或恐怖分子都有可能通過互聯網采取行動破壞或摧毀一個企業甚至政府。
雖然OWASP每年都在公布Top 10網絡威脅,但是我們可以看到,前幾名始終是Injection,SQL注入,XSS跨站腳步攻擊,安全驗證和授權,拒絕服務訪問等。也就是說,大部分的攻擊都是針對我們開發的程序或系統的漏洞,都是由于開發人員的疏忽或者缺乏安全開發意識所造成的。有些漏洞通過靜態代碼掃描工具或網站動態掃描軟件這樣的工具進行掃描就能發現,而且漏洞的修復其實非常簡單。
當然,如果要維持整個網絡的安全其實并不容易。即使在公司內部,要使得開發人員能夠把安全代碼開發的工作考慮周全都需要足夠多的經驗積累。
CSDN:信息安全是一個老生常談的話題,您作為惠普全球信息技術部Security Competency Center的Global Leader,您的主要職責是什么?又是如何對項目進行把關的?
蔡宇偉:作為惠普全球信息技術部Security Competency Center的Global Leader,我的主要目標是在惠普內部建立起一個信息安全技術團隊,并且幫助惠普提升信息安全整體競爭力和認知度。主要工作包括了培養和建立起在組織內的信息安全知識和意識,給項目的開發工作帶來信息安全的保障和幫助,并且把安全開發和安全性測試的工作和技術引入到整個軟件開發生命周期中去,使得信息安全的方方面面包括代碼安全、數據安全、接口安全等都得到全面而有效的保障。
目前,在靜態安全掃描方面,我們通過使用惠普的Fortify SCA,以及其基于云的Fortify OnDemand等工具和解決方案對于IT內部所有Mission Critical的項目,以及80% Entity Essential的項目和30%的Normal項目進行代碼掃描。我們必須嚴格保證對于我們IT內部開發使用的系統,必須通過代碼掃描和單元測試。
在集成測試階段,我們需要對項目和系統進行動態安全掃描。比如惠普的WebInspect會幫助我們排查一些比較典型的安全漏洞,并且排查出威脅和風險,并給予解決修復的建議提示。惠普內部我們搭建了一個安全測試的云平臺,從而對于每個即將發布的系統進行徹底的安全排查。
另外,從更高的組織層面,我們采用了SAMM (Software Assurance Maturity Model)模型來對整個組織的信息安全能力進行調研和審核,并且通過設定目標來確保組織在信息安全成熟度等級上的持續改進和提升,并在項目的整個軟件開發生命周期中嚴格把控信息安全需要完成的工作和步驟。
CSDN:目前,惠普全球信息技術部安全中心提供哪些安全服務?運營模式是怎樣的?
蔡宇偉:在信息安全領域,惠普一直非常重視,并且從Gartner的安全掃描軟件的市場份額看,惠普的信息安全產品和服務在業界也都處于領先地位。
目前,我們信息安全能力中心提供的安全服務包括了如下幾種:
我們信息安全能力中心的核心團隊分別來自于中國、印度、墨西哥和馬來西亞,他們也都在信息安全領域有著豐富的經驗,對于信息安全的知識領域和相關技術有著多年的研究。加上惠普本身強大的安全產品支撐,比如Fortify SCA、WebInspect、ArcSight、TippingPoint等,我們的團隊通過運用這些產品,并且把安全開發意識和安全性測試的工作應用到惠普內部的項目開發當中。目前我們的團隊規模在全球一百人左右。除了由我擔任Global Leader的工作之外,中國、印度、墨西哥和馬來西亞也分別有一名Center Leader來負責每個國家信息安全能力中心團隊的工作。我們整個信息安全能力中心負責服務于全球大約5000人規模的項目開發和測試團隊,并且通過我們的信息安全服務和解決方案保障惠普全球那么多項目的開發和部署的安全性。
CSDN:(ISC)2 是個什么樣的組織?什么樣的人才才能成為(ISC)2 的會員?
蔡宇偉:(ISC)2成立于 1989 年,擁有10萬多名會員、是全球最大的非營利性信息與軟件安全認證會 員制組織,其會員遍布全球135個國家。一年一度的ISLA表彰計劃是由(ISC)2聯合(ISC)2亞洲顧問委員會(AAB)在亞太區開展的獎項評選活動,旨在公開表彰在提升信息安全從業人員素質方面展現出卓越領導力和取得杰出成就的亞太區信息安全專業人員和管理人員(查看ISLA的評選標準)。(ISC)2向合格人員所頒發的認證在全球范圍被譽為信息安全認證的“金牌標準”。
加入ISC2分會(申請途徑)可以享有以下特權:
CSDN:作為此次亞太區信息安全領袖成就 (ISLA) 計劃的獲獎者,能否給我們分享些(獲獎)經驗?您認為未來安全工程師的核心競爭力在哪里?他們的前景又如何?
蔡宇偉:這次我非常榮幸能夠成為2014年亞太ISLA的獲獎人,如果說獲獎經驗,我想分享的是腳踏實地地工作、不斷充實自己并把學到的東西運用到實際工作中去,和最優秀的團隊在一起面對挑戰和失敗,需要有一顆永不放棄的心。
同時我也很幸運,因為現在信息安全被越來越多的個人、企業、乃至國家政府所重視。對于我們信息安全從業人員來說,也是莫大的鼓勵,當然更多的是機遇。在當今的環境下,也意味著信息安全的舞臺將會越來越大,越來越富有挑戰性。
當然,作為一個信息安全工程師,其實非常不容易。往往需要比別人付出更多的時間和精力。這也是為什么信息安全工程的要求比一般的開發工程師要高很多。首先,信息安全工程師需要有著比較好的開發功底,同時又要有測試工程師敏銳的“對于漏洞的嗅覺”。況且,信息安全的范疇其實非常廣泛,需要你擁有除了基本的代碼開發技能之外,還要有密碼學的知識,操作系統,訪問控制,通信和網絡的知識。當然我們常說的在信息安全領域,是三分技術,七分管理。所以除了技術能力之外,我們更加需要掌握風險管理,信息安全治理和審查能力,以及業務連續性、安全運營,甚至法律法規等管理知識和意識才能做好。
當然,所謂道高一尺、魔高一丈,信息安全的領域正在迅速地擴張,現在基于移動應用和設備的安全、大數據的安全,DLP(Data Leak Protection),Adaptive Access Control,和云安全的機遇正等著我們去挑戰、攻克。
程序員人生,我編程,我富裕,記住wfuyu網,php教程,php學習,php手冊,CMS模版制作
聲明:本站大部分內容是作者原創,少部分收集于互聯網供大家一起學習,原版權很多不明,如有侵權請聯系本站,謝謝!
粵ICP備14040726號-1?? 2015-2020 程序員人生 版權所有
