以数据为核心，新东方这样构建新防御体系

本篇文章1933字，读完约5分钟

说到新东方，许多人都不是陌生人。它专注于语言培训，其业务涵盖教育和培训、教育产品的研发、教育服务等。它的服务对象包括许多人，如幼儿园、小学和中学、高中、大学和在职员工。

然而，作为教育培训机构，新东方在信息安全保护方面有很多业界无法体会的阵痛，即保护数据安全的重要性，其中主要包括培训教育的知识成果和敏感的客户信息，可视为教育培训机构业务的核心。

北京中关村有各种大大小小的教育机构，竞争非常激烈。谁能提前一步获得用户数据，谁就首先拥有竞争优势。事实上，由于教育机构的竞争环境，通过非法手段出售和获取数据的情况并不少见。

新东方教育科技集团信息安全总监杨宁

新东方作为大型综合教育技术集团和中国大陆首家海外上市教育培训机构，在数据安全保护方面面临巨大挑战。新东方教育科技集团信息安全主管杨宁告诉支钉。新东方每月遭受数千万次应用层攻击(如扫描和sql注入)。除了外部攻击的风险，内部数据泄露也是巨大的潜在风险之一。在电子商务、银行、电信等行业中，由内部人员引起的数据泄露事件屡见不鲜。

因此，保护数据安全是杨宁的重中之重。此外，也许是由于对数据安全的重视，到目前为止，新东方在公共云环境中部署的业务不包括核心业务。新东方根据业务应用的重要性分为p1-p4等级，而p1自然是核心业务，如在线注册系统。因此，p1-p3的前三种类型的服务都部署在由三个万兆环形网络互连的私有云数据中心中。

从以产品/系统为核心到以数据为核心的信息安全保护

可见，保护数据安全是教育培训机构信息安全的核心任务。新东方信息安全建设初期，产品和系统的部署是核心，杨宁称之为消防安全系统。然而，以产品/系统为中心的安全性无法提供全面的安全保护，并且难以应对各种安全威胁。特别是随着保护边界的模糊和攻击的日益复杂，这种保护思想逐渐失效。

并且随着对合规性要求的监管政策越来越高，例如，中国的《网络安全法》、欧盟的《全球公共关系法》等法律法规都要求实施才能生效。在内外环境下，新东方开始改变信息安全保护的思路，即以数据为中心。杨宁将这种转变概括为四种能力建设:网络解耦+主机保护；安全数据集成；安全能力建设；异常行为检测。

关键在于围绕数据安全事件的整个保护链。事件发生前；可以很好地评估+预防和识别风险；过程中:进行实时监控、分析和报警，及时发现问题；事后:提高应急响应和处置的效果。

为了实现这一目标，主机安全变得极其重要。新东方关注主机安全，主要关注三个方面:

道路系统功能:包括资产管理、风险发现、漏洞识别、入侵检测、基线合规性、日志和警报、服务接口集成、入侵事件的虚警率和虚警率；

道路代理:包括支持的服务器操作系统平台、代理性能和影响、代理自身的安全性、代理异常监控和响应；

道路制造商和产品:包括技术支持能力、应急响应能力、产品部署模式等。

杨宁表示，经过半年的评估和研究，庆腾云产品在我们关注的各项功能和性能指标上表现突出，部署模式灵活，技术支持到位。新东方最终选择了青腾云的主机自适应安全平台作为主机安全保护系统。

建立实时有效的保护系统

艾维的主机自适应安全平台为新东方提供了预先存在的风险识别、过程监控和报警，以及事后分析和证据收集，帮助我们在主机安全级别建立实时有效的保护系统，并扩展了我们在远程分支机构和公共云中的系统安全保护能力。杨宁说。

入侵前:漏洞检测和基线检查弥补了无信任证书漏洞扫描的缺陷。庆腾云的产品提供资产统计，便于识别和统计主机部署的系统组件、服务、端口和账户。由于代理部署的优势，它提供了深入的主机和应用程序漏洞检测和基线检查功能。

入侵:实现主机系统的实时安全监控、入侵的实时报警和响应。庆腾云的产品不仅能防范已知的入侵方法或基于特征的后门(识别网络和系统后门、识别本地授权过程、识别暴力破解等)。)，还可以根据异常检测(异常登录、异常操作、异常系统性能等)防范未知漏洞或病毒攻击。)。同时，可以快速部署的蜜罐功能可以捕获内部蠕虫或横向渗透攻击。

入侵后:系统被入侵后，进行系统分析、证据收集和应急响应。庆腾云的主机安全产品将新东方主机安全入侵事件的人工调查和取证时间减少了80%，入侵过程和行为识别更加准确，大大提高了应急响应效率。

基于此，新东方正在构建一个安全的私有云平台，以确保集团400多个业务应用的运行。杨宁表示，信息安全私有云平台正在不断建设和完善，安全服务能力平台将以私有云模式为集团所有业务提供自助服务。

新东方的目标是将安全功能集成到企业的每个业务线和应用程序中。从而保护知识成果和敏感数据信息不被泄露，确保业务运营安全合规，确保核心业务应用安全、持续、稳定运行，实现在线和离线业务应用和活动中可识别、可管理、可控制的信息安全风险。

来源：搜狐微门户