惠普信息安全全球负责人蔡宇伟：信息安全靠三分技术七分管理-项目管理-火龙果软件工程

惠普信息安全全球负责人蔡宇伟：信息安全靠三分技术七分管理

作者夏梦竹火龙果软件发布于：2014-08-08

3487 次浏览

近日，笔者采访了蔡宇伟，请他分享如何进入安全行业的，解读互联网的安全风险以及他的成功经验。他认为，脚踏实地工作、不断充实自己并把学到的东西运用到实际工作中去，面对挑战和失败，需要有一颗永不放弃的心。

蔡宇伟，目前担任惠普全球信息技术部高级项目经理、测试部经理和信息安全能力中心全球负责人的工作。就在7月底，蔡宇伟获得了由(ISC)2亚太区颁发的信息安全领袖成就(ISLA) 奖。他在组织级信息安全管理领域做出了杰出的贡献，并且帮助组织在信息安全治理上取得了了很大的进步。近日，笔者联系上了蔡宇伟，请他分享他是如何进入安全行业之路，解读互联网的安全风险以及他的成功经验。

惠普全球信息技术部高级项目经理、测试部经理和信息安全能力中心全球负责人蔡宇伟

CSDN：请先简单介绍下自己以及目前所从事的工作。

蔡宇伟：1998年，我本科就读于上海交通大学计算机系，之后在上海交通大学软件工程学院读研。可以说我对于计算机行业的热情和执着离不开交大的培养。毕业之后我分别就职于微软，微创和惠普，分别担任过软件开发、测试、项目管理和部门经理的工作。今年是我在惠普工作的第九个年头了，目前在惠普全球信息技术部担任高级项目经理、测试部经理和信息安全能力中心全球负责人的工作。

CSDN：是什么缘由让您走上安全这个行业的？最初的愿景是怎样的？

蔡宇伟：近年来，网络安全事故频发，从个人信息泄露，企业数据被盗，到政府官网遭入侵，乃至棱镜门这样的对于国家安全的威胁越来越多，网络安全问题已经关系到了我们身边的每个人。对于信息安全的要求和发展也得到了越来越多国家和企业的重视。当然，惠普公司也把信息安全提到了非常重要的地位，信息安全也是惠普全球四大战略（Cloud、Security、Mobility、Big Data）之一。为了顺应市场的发展趋势，同时结合惠普的战略发展，惠普全球信息技术部成立了对应的能力中心，旨在培养有针对性的高精尖人才，并且开发出相应的解决方案来支撑业务部门的业务需求，帮助惠普的客户解决他们的挑战，当然信息安全能力中心也是其中之一了。

我很幸运，在信息安全战略处于目前公司四大战略之一，并且处于起步并上升阶段的时候，CIO任命我来担任惠普全球技术部Security Competency Center（信息安全能力中心）Global Leader的工作，负责带领来自于中国、印度、墨西哥和马来西亚所组成的信息安全领域的专家团队来为惠普全球信息技术部服务。旨在帮助惠普全球信息技术部构建一个可靠安全的IT环境，并且提高每个员工的信息安全意识，把信息安全融入到整个软件开发生命周期中去，并通过基于惠普的信息安全产品和技术的解决方案提升企业的信息安全成熟度等级。

CSDN：以您多年的实战经验来看，目前互联网面对的安全风险主要来自哪些方面？

蔡宇伟：可以这么说，我们目前所处的这个互联网环境，其实充斥着各种各样的安全风险。当今环境，网络安全的环境还在不断变化，我们在很多正常的生活或工作时，比如收发电子邮件、上网浏览时都有可能遭受到攻击。攻击者可能会通过手机应用、钓鱼或垃圾邮件、网站重定向等方法对我们的日常生活发起攻击，从而获取知识产权、个人信息、企业数据或其他敏感数据。黑客、罪犯或恐怖分子都有可能通过互联网采取行动破坏或摧毁一个企业甚至政府。

虽然OWASP每年都在公布Top 10网络威胁，但是我们可以看到，前几名始终是Injection，SQL注入，XSS跨站脚步攻击，安全验证和授权，拒绝服务访问等。也就是说，大部分的攻击都是针对我们开发的程序或系统的漏洞，都是由于开发人员的疏忽或者缺乏安全开发意识所造成的。有些漏洞通过静态代码扫描工具或网站动态扫描软件这样的工具进行扫描就能发现，而且漏洞的修复其实非常简单。

当然，如果要维持整个网络的安全其实并不容易。即使在公司内部，要使得开发人员能够把安全代码开发的工作考虑周全都需要足够多的经验积累。

CSDN：信息安全是一个老生常谈的话题，您作为惠普全球信息技术部Security Competency Center的Global Leader，您的主要职责是什么？又是如何对项目进行把关的？

蔡宇伟：作为惠普全球信息技术部Security Competency Center的Global Leader，我的主要目标是在惠普内部建立起一个信息安全技术团队，并且帮助惠普提升信息安全整体竞争力和认知度。主要工作包括了培养和建立起在组织内的信息安全知识和意识，给项目的开发工作带来信息安全的保障和帮助，并且把安全开发和安全性测试的工作和技术引入到整个软件开发生命周期中去，使得信息安全的方方面面包括代码安全、数据安全、接口安全等都得到全面而有效的保障。

目前，在静态安全扫描方面，我们通过使用惠普的Fortify SCA，以及其基于云的Fortify OnDemand等工具和解决方案对于IT内部所有Mission Critical的项目，以及80% Entity Essential的项目和30%的Normal项目进行代码扫描。我们必须严格保证对于我们IT内部开发使用的系统，必须通过代码扫描和单元测试。

在集成测试阶段，我们需要对项目和系统进行动态安全扫描。比如惠普的WebInspect会帮助我们排查一些比较典型的安全漏洞，并且排查出威胁和风险，并给予解决修复的建议提示。惠普内部我们搭建了一个安全测试的云平台，从而对于每个即将发布的系统进行彻底的安全排查。

另外，从更高的组织层面，我们采用了SAMM (Software Assurance Maturity Model)模型来对整个组织的信息安全能力进行调研和审核，并且通过设定目标来确保组织在信息安全成熟度等级上的持续改进和提升，并在项目的整个软件开发生命周期中严格把控信息安全需要完成的工作和步骤。

CSDN：目前，惠普全球信息技术部安全中心提供哪些安全服务？运营模式是怎样的？

蔡宇伟：在信息安全领域，惠普一直非常重视，并且从Gartner的安全扫描软件的市场份额看，惠普的信息安全产品和服务在业界也都处于领先地位。

目前，我们信息安全能力中心提供的安全服务包括了如下几种：

静态代码扫描和分析服务；
网站动态扫描和分析服务；
手工渗透测试以及业务流程安全改进服务；
应用程序安全开发服务；
组织内信息安全咨询服务。

我们信息安全能力中心的核心团队分别来自于中国、印度、墨西哥和马来西亚，他们也都在信息安全领域有着丰富的经验，对于信息安全的知识领域和相关技术有着多年的研究。加上惠普本身强大的安全产品支撑，比如Fortify SCA、WebInspect、ArcSight、TippingPoint等，我们的团队通过运用这些产品，并且把安全开发意识和安全性测试的工作应用到惠普内部的项目开发当中。目前我们的团队规模在全球一百人左右。除了由我担任Global Leader的工作之外，中国、印度、墨西哥和马来西亚也分别有一名Center Leader来负责每个国家信息安全能力中心团队的工作。我们整个信息安全能力中心负责服务于全球大约5000人规模的项目开发和测试团队，并且通过我们的信息安全服务和解决方案保障惠普全球那么多项目的开发和部署的安全性。

CSDN：(ISC)2?是个什么样的组织？什么样的人才才能成为(ISC)2 的会员？

蔡宇伟：(ISC)2成立于1989年，拥有10万多名会员、是全球最大的非营利性信息与软件安全认证会员制组织，其会员遍布全球135个国家。一年一度的ISLA表彰计划是由(ISC)2联合(ISC)2亚洲顾问委员会(AAB)在亚太区开展的奖项评选活动，旨在公开表彰在提升信息安全从业人员素质方面展现出卓越领导力和取得杰出成就的亚太区信息安全专业人员和管理人员（查看ISLA的评选标准）。(ISC)2向合格人员所颁发的认证在全球范围被誉为信息安全认证的“金牌标准”。

加入ISC2分会（申请途径）可以享有以下特权：

免费参加分会组织的各种研讨会和沙龙活动；
免费获取大量共享在分会平台上专业的资料数据；
获取业内最新的岗位需求信息和优秀的信息安全人才推荐；
在分会平台上分享个人专业知识见解和创意，提升专业领域知名度；
分享信息安全项目机会和合作意向；
获得信息安全和其他相关领域的会议信息；
在分会活动中获得CPE积分。

CSDN：作为此次亚太区信息安全领袖成就 (ISLA) 计划的获奖者，能否给我们分享些（获奖）经验？您认为未来安全工程师的核心竞争力在哪里？他们的前景又如何？

蔡宇伟：这次我非常荣幸能够成为2014年亚太ISLA的获奖人，如果说获奖经验，我想分享的是脚踏实地地工作、不断充实自己并把学到的东西运用到实际工作中去，和最优秀的团队在一起面对挑战和失败，需要有一颗永不放弃的心。

同时我也很幸运，因为现在信息安全被越来越多的个人、企业、乃至国家政府所重视。对于我们信息安全从业人员来说，也是莫大的鼓励，当然更多的是机遇。在当今的环境下，也意味着信息安全的舞台将会越来越大，越来越富有挑战性。

当然，作为一个信息安全工程师，其实非常不容易。往往需要比别人付出更多的时间和精力。这也是为什么信息安全工程的要求比一般的开发工程师要高很多。首先，信息安全工程师需要有着比较好的开发功底，同时又要有测试工程师敏锐的“对于漏洞的嗅觉”。况且，信息安全的范畴其实非常广泛，需要你拥有除了基本的代码开发技能之外，还要有密码学的知识，操作系统，访问控制，通信和网络的知识。当然我们常说的在信息安全领域，是三分技术，七分管理。所以除了技术能力之外，我们更加需要掌握风险管理，信息安全治理和审查能力，以及业务连续性、安全运营，甚至法律法规等管理知识和意识才能做好。

当然，所谓道高一尺、魔高一丈，信息安全的领域正在迅速地扩张，现在基于移动应用和设备的安全、大数据的安全，DLP（Data Leak Protection），Adaptive Access Control，和云安全的机遇正等着我们去挑战、攻克。

3487 次浏览