蒋琼中银证券安全管理主管

国内第一批CISA，DPO

在信息系统安全审计、数据安全管理实践等方面具备丰富经验。曾任中和软件后台合规性检查系统高级工程师、负责人。中银证券ISG参赛团队论文答辩演讲核心成员。民主建国会上海市委信息工作委员会班子成员。作为在信息科技安全领域长期浸润的女性，既有理工科专业人的严谨理性，也有善于总结思考，坚持推动发展的理想主义情怀。果敢、勇气、执着、从容，致力于金融证券行业IT治理与安全管理体系的建设与提升。

在知识经济时代的今天，新科技革命、新工业革命不再以单项技术突破为特征，代之以群体性突破、系统化颠覆和整体化变革为趋势。

POC测试(Proof of Concept)作为针对具体应用的验证性测试，核心在于选用用户服务器上进行真实数据的运行。一切皆真实，也就让或炫酷或云雾中看不明的安全产品的介绍，尤其是在新兴技术领域，那些具有颠覆性革新的云中路，雾中花，真实落了地。

笔者一直记得当年读审计时将审计总结为是一项证明的科学，因此，持续关注并参与体味着poc测试的主角，肩负着如何证明的甲方团队的一些真实感受，以一篇关于新兴变革性产品做poc测试的小文与诸君分享。如能给各位圈内大佬和同仁们一些思考或是启发的话，甚喜。

金融行业对外包风险管理有着很高的重视度。但同时又对外包人员有着现实的高需求，因而外包研发人员管理场景下既相互约束又相互影响的矛盾中的痛点呼之欲出：

外包人员进行合作开发工作时，可以将项目代码、关键开发资料文档下载到个人开发电脑上，项目管理过程中会与外包开发机构、外包开发人员签订相关保密协议，并对其电脑进行安全检查、设备关键信息收集以及离场设备检查，这些管控都是行业较常见的安全措施，但尚未通过技术手段从根本上保障开发数据资料不被泄露。

在外包人员入场开发过程中，会连入公司内部网络，在此过程中外包开发者的个人电脑病毒防护能力不一，对公司网络造成潜在安全威胁。

出于安全访问的考量，网络工程师对外包人员做较多的网络隔离，很多场景下外包开发系统对接开发过程中流程复杂，功能验证低效。

针对以上问题，拟寻找一种解决方案从根本上解决当前开发测试过程中的一系列既有痛点。经过技术调研及同业调查，桌面云产品在一定程度上可以满足需求，但不够灵活，冗余功能较多，占用网络资源较大，且运维困难。相较于桌面云，基于零信任框架的创新型产品结合轻量可信计算和新一代沙盒技术，对数据隔离及颗粒度较云桌面更高的权限控制。轻部署但不轻安全，能够为企业提供基础设施级别的安全解决方案，从而替代较为笨重的桌面云产品。

零信任，作为这个剧变时代，后疫情时代越来越被提及的新兴架构趋势，离实现，近了一步。

说得好不如做得好，poc测试用来负责验证做的效果。以下是一个简要的零信任应用于外包研发环境的poc过程实施实例：

服务端使用容器化部署，简单、轻量、快速，运维场景简单方便。

客户端安装使用简单方便、易于上手，且几乎不占用系统资源。

包含用户行为审计日志、管理员操作日志、文件外发日志、邮件外发日志。

但其中文件外发日志中只可以看到文件名称，但无法下载具体文件查看详细内容，原因是POC部署的为单机版导致，集群正式版可以实现文件下载检查外发内容。

可以在不同安全域内配置不同的网络访问策略、程序使用白名单、设置相关安全功能（全屏水印、截屏防护、剪切板拦截及外发、驱动保护、网络抓包防护等），实际poc测试中相关安全管理手段实时有效，在做任何不符合策略规定的行为操作，会弹出提示并记录违法行为。但是不同角色的用户处于同一个安全域，会拥有相同的权限，若需要区分权限，只能建立多个不同权限的安全域，这样会增加一定管理的复杂度。

1）用户的密码没有做高程度复杂度校验，且登录没有额外增加验证码校验

2）厂商所说的防登录破解手段，需要提供对应的验证方式说明用于验证

3）所有用户对应的客户端license数目固定一致，无法根据用户角色做自定义，极端情况下，若客户端及用户账户遭破解，可以合法使用。

基本与poc测试预期的部署效果相一致。某些待验证与暂不具备的系统功能有其他补偿措施或已定于下一版本迭代时增加。这个阶段对于甲方的心理预期较有意思，颇有些理想与现实、卖家秀与买家秀，互相权衡，互为对比的意味。因为是新兴领域的安全产品，一般会较少有已实施同类方案的同行作为经验参考对象。最初的美好构想在揭开面纱，真实示人时，结果既让人充满期待也可能存在一定的惊喜或惊吓的比例。此时，基于初心（最核心的痛点契合需求），思于取舍，是取得平衡的关键。

凡事皆有两面，具备一项优点的另一面可能就是同时具备一项弱点。其中对需求的取舍之道，考验到甲方POC测试与评估人员对重要性、紧迫性、成本效益性、战略整合性等多维排序梳理的运用，当然，前提是不变的合规性、安全性把控。

POC测试按照不同企业，和程度，测试的方式和投入力度不一样。但是目的都是相同的——验证产品或供应商能力真实满足企业需求。这就体现了两个层面的满足：

如前一章节所述，没有完美无缺的产品，但有能对应契合了公司最核心需求的产品。选择标准化产品与高度定制化产品一般都与甲方的战略及成本接受度相关。回到安全产品POC来，如何界定一款产品是否满足了公司的需求，则必须综合考量业务、管理、技术、预算等诸多因素。如同一句题外的笑话，你如果花了品牌原价1%甚至更低的价格买的商品，应该事先就接受这不可能是正品。真实不可能如此，我们需要的是真实的产品，在用户体验、业务效率、成本降低、安全保障，能持续可提升的产品。

对于任何一个行业，供应商的能力都是一个核心考量因素。对于金融行业就更是如此。国家将网络安全作为国家战略，面向金融行业提供系统服务的供应商的能力将直接影响到信息技术关键基础设施的安全。越来越重视信息技术服务机构的管理导向，在近年来的科技监管的各项政策和检查工作中能明显可见。因此，这也给予了甲方安全团队一个衡量供应商能力的基础指标：合规线的对标。即对标国家和行业监管发布的法规和规范，来评估供应商准入。

如果说合规是由固定的标准线做对比，那么，风险则是一个没有固定评判标准线，而是与公司的风险偏好和风险接受度密切相关的要素。风险指标选取，风险阀值界定，都是需要动态调适才能保持持续有效。即使是一个能堪称完美做到合规的企业，也同样存在着各种类别的风险。

作为甲方安全，都有过为安全背过锅的经历。也都深知世上没有绝对的安全，因为风险无处不在，亦无法归零，安全本质上就是一个不断降低风险的过程。这就对应了这一层满足的评估要点：新兴领域安全产品的供应商是否有不断进行产品迭代升级，不断提升产品安全价值的能力。值得期待的是，如今安全圈内已经有了通过相对独立且具备一定权威性的组织机构在做这样的有益尝试。安全的未来一定是不断提升。

相较于成熟型产品的poc测试，一般只需集中关注在客户的个性化功能需求及性能需求验证，新兴技术领域产品的poc测试，则更多一层要不要先吃螃蟹的平衡和论证。而对于这类产品的“合规性”、“安全性”、“可提升性”上的验证，反而成了poc过程中首要解决的测试验证目标。除了在合同的法律文件中以乙方的SLA作为安全保证之外，在POC测试时让对方提供国家专业测评机构出具安全测试报告作为背书证明，通过POC测试找到最适配甲方现阶段业务及下一步战略发展的安全落地方案，不失为完成了打磨出对应开门钥匙的关键一步。

但凡真实，皆为最有力量的来源。

POC中见真实。

                                                  蒋琼

 2020/10/14 重定稿

注：本文为原创投稿，获1500元稿费，同时有机会角逐本期征文最终万元大奖。

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

七月主题：《社工记》

十月主题：《攻防演练实务》

十一月主题：《不会做规划，怎么做安全》

六月主题：《红蓝对抗中的心理博弈》

九~十月主题：《POC轶事》