在互联网支付领域有这样一家企业，它是中国行业支付的先行者，2006年首创行业支付模式，先后为航空旅游、教育、电信、保险、新零售、消费金融、互金、跨境等众多行业提供了量身定制的行业解决方案。移动支付产品有“一键支付”、“O2O掌柜通”、“华为钱包”等，并于2016年，成为首批苹果公司认证通过的安全支付服务提供商。

成立15年来，易宝支付服务的商家超过100万，其中包括百度、京东、360、完美世界、中国联通、中国电信、中国国际航空公司、中国南方航空公司、中国东方航空公司、携程网、途牛旅游网、中国人民财产保险、阳光保险、掌合天下等，并长期与中国工商银行、中国农业银行、中国银行、中国建设银行、中国银联等近百家金融机构保持战略合作关系。

前不久，易宝支付（YeePay.com）CTO陈斌 接收了媒体采访，从安全行业用户的角度交流了他们的安全观。

人物介绍：

陈斌，现任易宝集团首席技术官（CTO）。专注于互联网技术领域的探索和创新，拥有丰富的海外经历、多年的架构经验，深谙移动互联网对传统行业的影响。曾就职于新加坡航空公司、日立美国、Abacus、Nokia美国、eBay/Paypal等知名公司。作为业界最前沿技术的实践者和布道者，致力于推动移动互联网技术引领行业变革，译著《架构即未来》已于2016年5月上市，当月荣登京东新书销售榜第一名，并获中央电视台隆重推介。

一、Total Defense 完全防护

记者：互联网支付之于安全的行业特点是什么？公司在防御体系上的安全理念是怎样的，比如以数据、应用、网络哪个为主？

陈斌：支付行业大致可分为三种，C2C、C2B和B2B，每年的交易额能达到2000万亿之多，B2B的交易额占到整个行业的50%。易宝支付做的就是B2B，它的特点是什么呢？就是交付的流程逻辑比较复杂，不是C2C和C2B，账一划或码一扫就完事了。机构之间的交易，环节多、层次多、业务流程多、参与方多，交易额也十分巨大，B2B支付的门槛非常高。

因此除了基本的安全风险以外，支付行业还要有一个特别的地方，就是欺诈。我们一年做2万亿笔交易，针对每一次交易行为，安全措施必须在20毫秒内做出反应，判断它是正常的交易还是欺诈。所以要说这个行业的特点，那就是大并发量、海量大数据，快速变化的情况下的快速响应能力。我们的安全团队不仅要及时发现各种漏洞，感知态势，做好各种防护措施，还要不断的测试、演练，预判未来可能的风险所在。

至于安全理念，公司内部有一个“Total Defense”的概念。围绕着数据，有一整套的安全规范流程，来做数据的存储、处理和请求。围绕应用，从安全开发到自动化测试、黑盒白盒审计，发现问题随时进行更新迭代，DevOps。而网络更是重要保护对象，可以想象如果被DDoS，一秒钟能损失多少笔交易。因此，我们不特别的强调以什么为中心，而是讲整体的或是完全的防护。

记者：要做到“Total Defense”需要具备什么关键条件吗？

陈斌：我本人在美国也做过一段安全，包括防火墙、抗DDoS、反渗透，以及综合的信息安全体系搭建，对这个领域也算是熟悉。这些年来，安全已经从边界防护进化到了整体防护，作为互联网支付行业的企业，在安全上必须与时俱进。比如，我们不分内外网，全栈加密。因为不管是前端、中间，还是后端处理都有风险。而且长期经验告诉我们，往往内部风险比外部大，尤其像我们这种支付公司，拥有大量的银行卡信息和账户信息等PCI（支付卡行业）数据。

之前曾和 Palo Alto、思科的架构师沟通，大家都认为未来的方向一定是“智能化”的安全防护，不需要手工部署，而是自动化地根据情况变化，适应外面安全态势的变化。而易宝支付在整体的信息安全策略与体系建设上，除了等保三级、PCI认证、ISO 27001等合规以外，从基础的SDL（安全开发生命周期）做起，一直到关注新兴的安全技术，这也是为什么我们与青腾云安全合作的原因之一。

二、支付行业不上公有云

记者：各行各业现在都在上云，互联网金融这个领域因为处理的是钱，对云是不是特别敏感？

陈斌：首先我纠正一下，其实互联网金融这个概念并不准确，没有这么一个专门的领域，只是随着互联网的发展，金融业务与互联网结合的越来越紧密而已。现在国际比较流行一个词，Fintech，金融科技。

然后回到你的问题。上云的在支付行业里面并不常见，特别是公有云，一旦出了问题会很麻烦，比如换块硬盘这么简单的事情，由于里面放的都是敏感信息，怎么可能让云服务商去处理呢？除非所有物理设施全部加密，可这在现实又行不通，会对计算效率有很大影响。再说极端点儿，出了故障密钥找不到，数据就全成垃圾了。所以在支付这个行业，上公有云是极其罕见的，至少在国内我没有看到。

业内还是以私有云为主，易宝的私有云是自己建设的，而且主要是基于Docker，已经越过了虚拟机。可以把我们这种支付服务提供商当成一个API网关，商户在支付的时候调用这个API网关，在客户与各银行之间、银联、网联、人行传递信息，一环接一环，当然走的是加密通道。

三、安全法规驱动整个安全行业的发展

记者：最近几年国家对网络安全的重视程度特别大，好多法律法规开始实施和落地，比如去年的网络安全法、将要施行的等保2.0、关键信息基础设施保护等，您觉得这些措施会对业界产生什么样的影响？

陈斌：这个可以从两方面来看，首先肯定对行业是件好事，之前没有规矩可循，怎样算是做到尽责不太好衡量。《网络安全法》出来之后，对于接触网络数据的，尤其是在甲方从事网络安全工作的人来说，相对有一个比较清晰的界限和尺度，可以去自我衡量，自我评估。

从网络安全提供商来说，也赶上了好时候。以前网络安全处于一个永远没有尽头的工作，到底做到什么程度算是安全了？要把所有数据加密，所有环节都保护起来么？这样的话，工作效率还要不要？成本会有多高？干脆，大部分企业就不做了，或者合规应付一下检查就行了。但明确的法律法规一下来，对保护对象的界定、分级、保护措施，都有了规定，安全人员就可以相对清楚的把需求整理出来，有了明确的需求，有了惩罚机制，安全服务商的日子自然就会好过许多。

四、关注新技术 敢于“吃螃蟹”

记者：谈到安全服务商，刚才我们提到青藤云安全这家安全公司，请问一下 陈总，您觉得青藤的技术优势体现在哪里？

陈斌 ：我们现在都讲全方位的态势感知，而青藤云安全提供的监控与分析技术，是态势感知的一个重要数据来源，为态势感知提供很底层的数据。在主机层面，青藤的Agent是很好的方式，能够监控主机上发生的行为，而传统的IPS都只能看到网络层的数据。只有一个请求从外面的应用到内部的系统处理，数据库存储，从头到尾一条线纵深下来，把全链条展现出来，才能知道它究竟做了什么事情。

主机层是一个非常重要的环节，而这一块以前主要是开源，甲方维护成本太高，青藤弥补了这个缺失的环节，而且他们的产品把细粒度做的很好，非常全面。因为我们是支付行业第一个吃螃蟹的，所以也很关注实际运行效果。在一年来的使用过程中，整体运行一直很稳定，资源占用少，兼容性也没有问题。

青藤云安全做的事情，我认为算是填补了国内安全行业的一个空白。刚才我讲到我们内部“Total Defense”的概念，在接触青藤之前主机层我们只做到操作系统加固，但实际上是不够的，主机或端点是真相之源，所以要特别关注。青藤找到了一个比较好的切入点，把这个空白补上了。

最后，想具体了解金融科技领域相关技术的话，我推荐大家参加11月16日在上海召开的金融科技大会，参会者全部都是银行、保险、证券、互联网金融行业的CTO，这些人在一起主要讨论技术。谢谢大家！