不过作为一家教育培训机构，新东方在信息安全保护上却有着很多行业体会不到的苦恼，那就是保护数据安全的重要性，其中主要包括培训教育的知识成果和敏感的客户信息，这两者可视为一家教育培训机构开展业务的核心。

在北京中关村，这里遍布着大大小小的各类教育机构，竞争激烈，谁能提前一步获取用户数据，谁就优先掌握了竞争优势。事实上，由于教育机构竞争环境导致的数据贩卖、通过非法手段获取数据的事情发生并不稀奇。

作为一家大型综合性教育科技集团、中国大陆首家海外上市的教育培训机构，新东方面临的数据安全保护挑战巨大。新东方教育科技集团信息安全负责人杨宁告诉记者，新东方每月遭受的应用层攻击（如扫描、SQL注入等攻击尝试）高达上千万次。除了面临外部攻击风险，内部数据泄露也是巨大的潜在风险之一，在电商、银行、电信等行业由内鬼导致的数据泄露事件屡见不鲜。

所以，保护数据安全是杨宁工作的重中之重。另外，也许是源于对数据安全的重视，至今新东方部署到公有云环境中的业务都不包含核心业务，新东方根据业务应用的重要程度依次划分为P1-P4的等级级别，P1自然是最核心的业务，例如网上报名系统等。因此，P1-P3前三类业务均是部署在由3个万兆环网互联的私有云数据中心中。
 

可以看出，保护数据安全是一家教育培训机构信息安全工作的核心要务。在新东方信息安全建设的早期阶段是以部署产品、系统为核心，杨宁称之为救火式的安全体系。然而，以产品/系统为核心的安全不能提供全面的安全保护、难以应对各类安全威胁，尤其是随着防护边界越来越模糊、攻击复杂度越来越高，这种防护思路渐渐失效。

并且随着合规要求的监管政策越来越高，例如国内的《网络安全法》、欧盟GDPR等法规要求实施生效。内外部环境下，新东方开始转变信息安全防护思路，也就是“以数据为中心”。杨宁将这种转变总结为4个能力建设：网络解耦+主机防护；安全数据整合；安全能力建设；行为异常检测。

这其中的关键在于围绕数据安全事件的全链条防护，在事件发生之前：能够做到很好的评估+预防，识别风险；事中：进行实时的监控、分析和告警，及时发现问题；事后：提升应急响应和处置的效果。

要达到这样的目标，主机安全防护变得异常重要。围绕主机安全，新东方主要关注三个方面：

系统功能：包括资产管理、风险发现、漏洞识别、入侵检测、基线合规、日志及告警、服务接口集成、入侵事件的误报率和漏报率；

Agent：包括支持的服务器操作系统平台、Agent性能及影响、Agent自身的安全、Agent异常监控及响应；

厂商及产品：包括技术支持能力、应急响应能力、产品部署模式等等。

围绕这样的要求，新东方在公有云类、传统企业级类的主机安全产品，以及开源的OSSEC 产品中进行了评估和调研，最终新东方选择了在功能和性能指标方面表现出众、且部署模式灵活的主机安全防护系统，以对数据资产、状态、关键活动等进行感知、分析和监控。
 

利用主机安全防护系统，新东方在主机安全层面建立起了一个实时有效的防护体系，并拓展了在远程分支机构及公有云端的系统安全防护能力。入侵前：漏洞检测及基线检查，弥补了不带信任凭证漏洞扫描的缺陷；入侵中：实现主机系统的实时安全监控，入侵的实时告警和响应；入侵后：进行系统被入侵后的系统分析和取证，以及应急响应。

目前，利用这套系统，新东方将主机安全入侵事件人工调查取证时间降低了80%，而且入侵过程和行为识别更加精准，提升了应急响应的效率。

并且基于此，新东方正在搭建安全私有云平台，以保障集团400多业务应用的运行。杨宁表示，目前信息安全私有云平台在不断建设完善之中，安全服务能力平台将会以私有云的模式为集团各业务提供自服务。他谈到这套安全能力平台的特性包括：智能化、可视化、自服务、威胁实时感知、自动响应攻击处理和拦截等。在围绕安全平台的选型方面，除了功能、性能、部署模式必须满足需求，新东方更关注丰富和有价值的数据输出，以及服务接口的多样性和可集成性。

目前，新东方的信息安全架构覆盖了信息安全治理、信息安全管理、信息安全技术、信息安全运营4个层面。信息安全要保障企业的信息资产不受损害，涉及的范围从物理环境、人员、系统、应用及数据等众多领域。

在杨宁看来，对于企业尤其对于新东方这样的教育培训机构来说，安全和业务的关系已经不仅仅是保障、支撑、引领业务的关系，而是共生共存的关系。

新东方的目标是将安全能力融入到企业的每一条业务线，每一个业务应用中去。从而保护知识成果和敏感数据信息不泄露，确保业务运营安全合规，保障核心业务应用安全、持续、稳定运营，实现线上及线下业务应用和活动中的信息安全风险可识别、可管理、可控制。