以数据为核心，新东方这样构建新防御体系 原创

说起新东方，很多人并不陌生，它以语言培训为核心，业务涵盖了教育培训、教育产品研发、教育服务等方面，服务对象覆盖了学前、中小学、高中、大学、在职员工等众多人群。

不过作为一家教育培训机构，新东方在信息安全保护上却有着很多行业体会不到的苦恼，那就是保护数据安全的重要性，其中主要包括培训教育的知识成果和敏感的客户信息，这两者可视为一家教育培训机构开展业务的核心。

在北京中关村，这里遍布着大大小小的各类教育机构，竞争激烈，谁能提前一步获取用户数据，谁就优先掌握了竞争优势。事实上，由于教育机构竞争环境导致的数据贩卖、通过非法手段获取数据的事情发生并不稀奇。

新东方教育科技集团信息安全负责人杨宁

作为一家大型综合性教育科技集团、中国大陆首家海外上市的教育培训机构，新东方面临的数据安全保护挑战巨大。新东方教育科技集团信息安全负责人杨宁告诉至顶网，新东方每月遭受的应用层攻击（如扫描、SQL注入等攻击尝试）高达上千万次。除了面临外部攻击风险，内部数据泄露也是巨大的潜在风险之一，在电商、银行、电信等行业由内鬼导致的数据泄露事件屡见不鲜。

所以，保护数据安全是杨宁工作的重中之重。另外，也许是源于对数据安全的重视，至今新东方部署到公有云环境中的业务都不包含核心业务，新东方根据业务应用的重要程度依次划分为P1-P4的等级级别，P1自然是最核心的业务，例如网上报名系统等。因此，P1-P3前三类业务均是部署在由3个万兆环网互联的私有云数据中心中。

信息安全防护从“以产品/系统为核心”到“以数据为核心”

可以看出，保护数据安全是一家教育培训机构信息安全工作的核心要务。在新东方信息安全建设的早期阶段是以部署产品、系统为核心，杨宁称之为救火式的安全体系。然而，以产品/系统为核心的安全不能提供全面的安全保护、难以应对各类安全威胁，尤其是随着防护边界越来越模糊、攻击复杂度越来越高，这种防护思路渐渐失效。

并且随着合规要求的监管政策越来越高，例如国内的《网络安全法》、欧盟GDPR等法规要求实施生效。内外部环境下，新东方开始转变信息安全防护思路，也就是“以数据为中心”。杨宁将这种转变总结为4个能力建设：网络解耦+主机防护；安全数据整合；安全能力建设；行为异常检测。

这其中的关键在于围绕数据安全事件的全链条防护，在事件发生之前：能够做到很好的评估+预防，识别风险；事中：进行实时的监控、分析和告警，及时发现问题；事后：提升应急响应和处置的效果。

要达到这样的目标，主机安全防护变得异常重要。围绕主机安全，新东方主要关注三个方面：

•系统功能：包括资产管理、风险发现、漏洞识别、入侵检测、基线合规、日志及告警、服务接口集成、入侵事件的误报率和漏报率；
•Agent：包括支持的服务器操作系统平台、Agent性能及影响、Agent自身的安全、Agent异常监控及响应；
•厂商及产品：包括技术支持能力、应急响应能力、产品部署模式等等。

杨宁表示，“经过半年的评估和调研，青藤云产品在我们关注的各项功能和性能指标方面表现出众，且部署模式灵活，技术支持也很到位。新东方最终选择了青藤云的主机自适应安全平台作为主机安全防护系统。”

建立起一个实时有效的防护体系

“青藤的主机自适应安全平台为新东方在系统入侵防护方面提供了事前的风险识别、事中的监控告警、及事后的分析取证，帮助我们在主机安全层面建立起了一个实时有效的防护体系，并拓展了我们在远程分支机构及公有云端的系统安全防护能力。”杨宁说。

入侵前：漏洞检测及基线检查，弥补了不带信任凭证漏洞扫描的缺陷。青藤云的产品提供了资产的统计，便于对主机部署的系统组件、服务、端口、账号进行识别和统计，由于Agent部署的优势，提供了深度的主机及应用漏洞检测和基线检查能力。

入侵中：实现主机系统的实时安全监控，入侵的实时告警和响应。青藤云的产品不仅基于特征（Web和系统后门的识别、本地提权过程识别、暴力破解识别等）防范已知的入侵方法或后门，还基于异常（登陆异常、异常操作，系统性能异常等）检测防范未知的漏洞或病毒攻击。同时，可以快速部署的蜜罐功能能够捕获来自内部的蠕虫或横向渗透攻击。

入侵后：进行系统被入侵后的系统分析和取证，以及应急响应。青藤云的主机安全产品，将新东方主机安全入侵事件人工调查取证时间降低了80%，而且入侵过程和行为识别更加精准，很大地提升了应急响应的效率。

并且基于此，新东方正在搭建安全私有云平台，以保障集团400多业务应用的运行。杨宁表示，目前信息安全私有云平台在不断建设完善之中，安全服务能力平台将会以私有云的模式为集团各业务提供自服务。

新东方的目标是将安全能力融入到企业的每一个业务条线，每一个业务应用中去。从而保护知识成果和敏感数据信息不泄露，确保业务运营安全合规，保障核心业务应用安全、持续、稳定运营，实现线上及线下业务应用和活动中的信息安全风险可识别、可管理、可控制。