黄彪的微信昵称是“狮子座彪哥”,一看就是比较生猛的类型。实际也人如其名,和黄彪交流时,你也很容易被他旺盛的精力和活跃的思维感染。
对于安全,黄彪可谓从线上做到了线下。作为上海电信的CSO,他也可谓宿将,见证并推动上海电信安全系统不断升级。同时,他还是公安部的反恐试点先进个人,要知道,这个荣誉称号整个上海只有3位,而且不是所有省市都有名额。
作为运营商的安全守护人,如何保障通信安全,乃至与如今热门的电信诈骗斗智斗勇,都是彪哥每天必须面对的工作。
据彪哥介绍,为了反制电信诈骗,上海电信相关技术已经升级到第三代。虽然具体细节彪哥无法透露更多,但是为了让我们感知这套技术的实力,他向我们介绍了此前一、二代的技术的情况。
据了解,第一代反电信网络诈骗的技术平台运行5年多,拦截了3000万次涉嫌诈骗的电话,甚至诈骗电话刚打完挂掉后,上海电信马上就会有电话跟进,告诉你此
前是诈骗电话,需要小心。而第二代平台是上海电信和公安部门联合开发,该平台仅2016年上半年,就有效拦截电话800万次。随着三期平台的上线,效果必然会越来越好。目前,上海市公安局也成立了专门的反电信网络欺诈中心,上海电信也专门安排了4名专职员工入驻。
尽管彪哥表示上海电信已经使用了洪荒之力来防范电信网络诈骗,但是仍还是慨叹“道高一尺魔高一丈”。“其实最终利用的都是用户的害怕、贪婪的心态,我们分析过四五千位电信网络诈骗受害者,发现现在和年龄、职业并没有太大关系,甚至连两院院士都被骗过。甚至骗子有数十种模板,总有一款模板适合你,普通人非常容
易上当。”
对此,彪哥的终极建议是,保护好个人信息,多掌握一些网络安全知识,以及多方求证。
记者:在探索企业安全最佳实践的过程中,您碰到的最大困难是什么?如何克服?
黄彪:最大的困难是安全需求和业务发展的矛盾。其实,很多企业都面临着这一对看似格格不入的矛盾。几年前,也有个别单位从领导开始就不太重视安全,甚至有抵触情绪。但随着国家重视、政府主导,整个社会对信息安全重视的风气形成,这对矛盾目前不再那么尖锐。
我们2014年成立信息安全处之后,将安全工作定位在助理于企业发展之中,并且,我们用企业文化做大安全文化。通过两年的努力,我们的安全管理工作取得实质
性成效。比如去年,我们通过出品多媒体动画进行安全宣传,总共有1.4万名员工参与培训和考核,并对多媒体线上培训比较赞赏。
今年我们准备完成多媒体安全威胁体验厅,从感知角度让员工体会威胁离自己有多近。这样,各级员工都会觉得我们做的工作是多么的有必要。
记者:关于安全团队建设,您有什么心得体会?
黄彪:电信本来就是搞通讯的企业,因此有着深厚的行业背景和技术力量。所以,我们成立安全团队是水到渠成的事情。我们有大量成熟的IP技术、网络通讯、IT
技术,以及互联网和信息网络等各类专家,并且,电信研究院有国家重点网络安全实验室。这支团队像啄木鸟一样,为企业做了诸多贡献。
但是,安全团队的专业素养要高于一般传统的专业。如何留住人才,给他们一个健康、稳定、向上的职业道路,是摆在企业管理者面前的一道不可忽视的难题。稍微不注意,很有可能造成人才流失。
记者:您如何看待信息安全意识教育?是否必要,如何开展?碰到哪些问题?
黄彪:安全教育是提升员工安全意识的最直接手段,简便易行,半天的培训,就能起到良好的成效。我们受益于上海信息安全行业协会,这3年来,每年协会都委派张
威、伟峰这样的专家给我们培训,使我们受益匪浅。另外,这些年来,信息安全处孙锦泉处长一直亲自去各基层单位进行安全宣贯和教育培训,起到了良好的效果。
今年,信息安全处两位同志入选公司内训师,我相信他们将来会有更大的舞台,将安全意识教育波及更多的员工。
当然,除了线下培训,我们也逐渐将安全培训课件挪到线上。公司人力资源部在今年搭建了界面友好,又非常专业的“学习圈”、“微学院”,员工可以在这两个平台
上找到他们所需要的安全培训。因此,我们的安全培训既有传统线下培训,又有互联网教学。我们的多媒体课件,在去年ISG大会上获得了全国创意赛二等奖。之
后,不断有外省公司来向我们取经,我们也毫无保留地进行成果输出。
由于网络与信息安全的课件中案例的时效性非常强,这一点恐怕不是任何学科所能比拟的。因此,创作课件时间较长,并且需要花费大量的精力去完成。我们也希望,通过行业协会,能否多提供些课件和资源。
记者:您如何看待“白帽子”参与挖据漏洞?在您企业中鼓励这种行为吗?
黄彪:首先,我不鼓励员工都来挖洞,毕竟我们有很重的生产任务。但对于众测平台曝光我公司的安全漏洞,我们一定会积极响应,主动和众测平台沟通,力求在最短的时间内解决问题。
其次,我们已经有了一支自己的技术力量,常年开展自测、自查、自纠安全漏洞。他们都是由网络专家、IT专家以及有经验的专业主管组成,多年来他们一直在开展
工作,取得了不小的成绩,有这么一支“啄木鸟”守护上海电信的各支撑系统,我也比较放心。他们就是我公司的“白帽子”,但我不鼓励他们去挖电信之外的其它
公司的网站漏洞。
CSO视频