1. <em id="vzzs9"></em>
      <tbody id="vzzs9"></tbody>

    2. <span id="vzzs9"></span>
      <progress id="vzzs9"></progress>
      首頁 網絡安全信息安全建設三板斧:從那些刷爆朋友圈的事故說起

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起

      運維派隸屬馬哥教育旗下專業運維社區,是國內成立最早的IT運維技術社區,歡迎關注公眾號:yunweipai
      領取學習更多免費Linux云計算、Python、Docker、K8s教程關注公眾號:馬哥linux運維

      隨著社會、科技等的快速發展,信息、數據逐漸凸顯重要位置,并且一躍成為企業重要的核心資產。信息化、數據化不斷推動企業提高生產和運行效率、降低成本、增強決策效率和提高決策準確率。企業的發展越來越離不開信息化和數據化的支持,脫離了信息和數據支撐的企業極有可能快速地被整個社會所淘汰。

      信息和數據的關鍵重要性,決定了信息安全在企業中的重要性。如何保障信息和數據的安全,也將逐漸成為企業IT部門的重要任務之一。

      本文大綱:

      1、信息安全缺失的影響

      2、信息安全保障三板斧

      • 風險管理
      • 安全管理
      • 安全運營

      3、總結

      一、信息安全缺失的影響

      信息安全

      信息安全絕非危言聳聽,信息安全的缺失一般會造成數據丟失、數據泄露、數據篡改和系統不可用四個直接危害。無論哪個危害,都足以對企業的正常經營和持續盈利造成致命一擊。

      • 數據丟失:例如人力系統數據丟失,導致員工工資無法正常發放;運行系統數據丟失,導致無法了解企業生產數據量;銷售數據丟失,企業無法了解銷售數量、客戶訂貨量等。數據丟失不同程度地影響著企業正常運營。
      • 數據篡改:這意味著企業的真實數據不再真實。例如:本應發貨給A的訂單被篡改成發貨給H。數據篡改會給企業經營帶來很多不必要的麻煩,甚至是法律糾紛。
      • 系統不可用:主要指核心系統遭受攻擊或是網絡遭受DDOS攻擊等影響系統的正常使用,造成依賴企業IT系統的部門無法正常運轉。
      • 數據泄露:將影響企業的名譽和繼續存活。數據泄露的案例眾多,數據泄露對公司的信譽影響巨大,嚴重影響公司的未來發展。

      因為安全缺失導致的企業受影響的案例數不勝數,以下是2017年比較典型的信息安全事件:

      • 2017年2月Gitlab.com運維人員誤刪300G數據;
      • 2017年3月58同城被曝簡歷數據泄露700元可采集全國簡歷信息;
      • 2017年4月12306官方網站再現安全漏洞;
      • 2017年5月WannaCry勒索病毒席卷全球;
      • 2017年6月《中華人民共和國網絡安全法》正式實施;
      • 2017年7月老牌信用機構Equifax被黑1.43億用戶信息遭泄露;
      • 2017年8月美國選民數據被泄露186萬選民信息可公開下載;
      • 2017年9月傳華為被中國移動罰款5億因技術人員誤操作;
      • 2017年10月南非現史上規模最大的數據泄露事件;
      • 2017年11月五角大樓AWS S3配置錯誤致18億用戶信息泄露;
      • 2017年12月針對企業的釣魚郵件APT攻擊爆發;

      (摘自:http://www.sohu.com/a/212758058_765470)

      甚至在剛剛過去的2018年一、二月份,還被爆出多家醫院的核心HIS系統遭受勒索病毒攻擊影響醫院短時間內正常運轉的事件。

      危機不斷,影響致命。如何做好信息安全,理論、體系架構和技術實現蕓蕓眾多,汲取多家之長,結合自身實際情況,探索、建立出企業自身安全管理,是企業IT經營一個持續不斷的任務。

      二、保障信息安全問題的思路

      這里給出一個總體思路以供參考:

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起插圖1

      • 風險管理:包括對風險進行分類,采集公司和系統可能存在的風險,對采集的風險識別以及對風險進行跟蹤,管控和處理風險;
      • 安全管理:主要以建立企業或是互聯網網站安全體系為主,包括安全技術架構、安全策略、技術管理和人員管理四個方面;
      • 安全運營:包括安全運維操作、安全體系落地、安全審計工作、安全數據分析以及安全績效考核等。

      通過體系化管理企業信息安全,做好全面防護和備份工作,在防護絕大多數安全威脅的同時,科學備份,保障數據準確無誤,以此達到企業信息安全的目的。

      1、風險管理

      風險管理是企業信息安全管理的第一步,有風險意識、危機意識,了解風險,管理風險,進一步控制風險,將風險扼殺在搖籃中。同時,通過風險管理,了解各種類型的風險定義和各種攻擊手段的攻擊原理,對企業存在的風險和潛在的漏洞進行統一采集與識別,建立風險生命周期管理,確保對企業已有風險和可能造成的威脅了然于胸。

      風險管理

      (1)風險分類

      不同維度帶來的風險分類也不盡相同。一般按照區域和造成安全事件的原因可以分為企業外部風險和企業內部風險。外部原因造成安全事件的風險為外部風險,內部原因造成安全事件為內部風險。

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起插圖3

      其中外部風險主要指攻擊者或是攻擊團體利用網站漏洞進行注入、攻擊、竊取、篡改等手段對企業信息進行破壞;內部風險主要指企業內部人員誤操作導致的數據風險或是外部人員通過內部人員、內部設備發起的攻擊行為。不同的風險分類,有不同的防御方法。

      另外,風險還包括重要系統、數據庫未建立健全備份驗證機制、缺少高可用支持等。

      (2)風險生命周期管理

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起插圖4

      • 風險采集主要是指通過滲透測試、網絡安全設備掃描等手段,對企業IT系統、電腦終端等設備進行按計劃定期掃描,采集可能存在的安全風險和漏洞。重要系統及時備份和驗證備份可用性、核心系統缺少高可用集群方案都是在風險采集過程中作為風險源進行統一采集和管理。
      • 風險識別主要對采集上來的風險進行風險識別和建立起風險的生命周期,以便實時跟蹤風險處理過程,避免遺漏和長時間未響應。
      • 風險管理,通過對各種類別的風險進行學習,了解各種攻擊原理和攻擊手段,對企業已有的IT系統和各個客戶端進行風險采集,對于采集上來的風險進行逐一識別,建立風險生命管理周期,解決掉風險源,以保障系統安全運行。

      信息風險

      信息風險

      比較健全的風險管理系統,結合自身對風險類別、原理和危害的深刻認識,可以讓企業信息安全做到一定程度的風險可控、損失可控,不至于在信息安全事件面前一臉茫然。所以,建立企業信息安全首先要做好對風險的管理,知己知彼,方可在企業信息安全防守上游刃有余。

      2、安全管理

      安全管理主要是企業信息安全體系的建設和管理。企業信息安全體系一般來說包括安全架構、安全策略、安全技術和人員管理。

      • 安全架構主要是對企業結合軟硬件設備和網絡劃分進行的信息安全架構;
      • 安全策略是安全體系的核心,主要指包括對軟硬件設備、網絡、服務器、應用、數據庫、客戶端等IT主題日常工作的安全規范至安全體系的指導性意見,后續所有安全體系的落地都依賴于安全策略;
      • 安全技術主要是對安全策略逐條分解,制定相應的細則規范和實際落地;
      • 人員管理主要包括安全組織架構、人員、培訓等相關管理。

      通過架構、策略、技術和管理組成信息安全體系并作為公司信息安全建設指導性文件和具體落地方案,為公司安全建設指明方向和奠定落地基礎,做到安全建設有據可依,有章可循。

      (1)安全架構

      安全架構是指與安全相關的軟硬件設備進行科學組合架構,建立起公司信息安全技術架構。包括網絡設備、網絡區域劃分、云防護、防火墻、IPS/IDS、WAF、審計、日志服務器等等,較完善的安全架構示例如下:

      安全架構

      上圖為一般大中型企業的企業信息安全架構。

      云防護系統

      首先是互聯網接入層,將流量引流至云防護系統,作為整個安全技術架構的第一層防護,將外來訪問流量做第一層清洗。云防護一般具有云WAF、抗DDOS、抗CC攻擊、防篡改等功能。尤其是企業信息安全等級要求比較高的企業和網站,重要保障期間防篡改功能非常重要。

      但是使用云防護也有一定的風險,主要有三:

      • 流量首先進入第三方云平臺,與云節點關系多少有關系,對網站的性能有一定的影響;
      • 對于核心緊要的數據因為經過第三方云平臺,一定程度上有泄露的風險;
      • 云平臺一般作為遭受攻擊的重災區,出現任何故障,對網站的正常訪問有一定的影響;

      基于以上三點,在選購云平臺的時候,一定要采購云節點較多且技術較成熟的大平臺;另外數據的傳輸使用HTTPS加密傳輸,避免數據被竊??;同時在部署云平臺的時候,做好Bypass的部署方式,當云平臺出現任何故障,將流量直接引至防火墻,避免受影響。

      云防護之下是多鏈路接入防火墻,二者之間有時會加入一層硬件抗DDOS的防護設備做抗DDOS攻擊,同時一般也會提供鏈路負載的功能。

      防火墻

      防火墻一般采用不同型號的兩臺作為主備避免防火墻的單點故障,有的公司使用型號相同的兩臺,也是可以的,比較省事,不用每一臺都單獨配置。一般同品牌型號的防火墻配置會自動同步,但是不同型號的防火墻一般不具有同步配置功能,需要單獨配置,增加操作成本,不同型號安全性相對更加好一些。

      SSL_VPN主要用于遠程辦公,供公司成員以及第三方合作商進行公司系統的管理和維護使用。使用SSLVPN一定要注意VPN賬戶的管理,現用現申請,用完即注銷,堅決杜絕長時間使用同一賬戶和密碼。

      防火墻后面加一層IPS入侵防御系統作為防火墻補充,與防火墻一道對公司的內部系統、客戶端等進行安全防御。如果IPS是串聯接入,那么一般情況下是需要兩臺,每一臺雙鏈路雙電源避免單點故障;如果是旁路接入的話,那么IPS則只具備IDS入侵檢測的功能,對于可能的攻擊威脅不做拒絕處理。同時,如果串聯單節臺的話,一定要選購的產品具備Bypass的功能,出現故障的時候不影響流量正常流轉至下一節點。

      IPS

      IPS的策略管理也很重要,策略的科學完善程度決定著入侵防御的效果好壞,積極與廠商的安全專家溝通,不斷根據實際情況優化改進安全策略,將入侵防御和檢測功能發揮極致,確保內部系統和客戶端的安全。

      公司內部環境一般分三個區域:內網區域、DMZ區域、辦公區域,每個區域根據實際業務情況劃分不同的VLAN或是VXLAN進行管理。

      內網核心交換

      內網區域主要劃分為數據庫VLAN和應用VLAN,并在應用VLAN設有單獨的日志服務器,其中應用VLAN根據不同公司的不同業務場景分為核心運行系統VLAN,如制造業的生產系統等;市場VLAN如官網、電商平臺等;辦公VLAN如OA、考試系統、培訓系統等,以及其他VLAN,例如專門的數據分析VLAN區用于做大數據分析等相關。

      數據分析

      內網VLAN的劃分根據具體業務場景進行,單獨數據庫VLAN主要便于數據庫權限控制和管理。日志服務器負責統一采集管理和分析各種系統的日志以便分析有用數據做經營指導、業務監控、系統審計等功能。

      DMZ交換

      DMZ區域主要用作部署反向代理、負載均衡和部署部分安全要求不高的應用。因為部署有反向代理和負載均衡所以一般Web請求都是先到達DMZ區域,然后反向代理至內網,故DMZ上部署WAF防火墻來防護Web系統免受攻擊。

      DMZ交換

      WAF部署同IPS,一般是主備兩臺雙鏈路雙電源,避免單點故障,單臺情況下要求Bypass避免受影響。DMZ區域也部署單獨的日志服務器用作日志采集和統一管理、分析。

      WAF防火墻的使用與IPS亦類似,主要是防護策略的設置:設置簡單起不到Web防火墻的功能,設置太復雜或是設置不準確有可能造成誤殺,將本該正常的請求阻止。所以使用IPS和WAF時,一定要結合實際情況,進行安全策略的設置,以達到效果最優。

      內網和DMZ區域一般部署公司的核心服務器,存儲公司的核心系統、文件和數據等,所以除已有的安全設備外,還需要漏洞掃描定期掃描內部漏洞和風險,以便進行及時處理;堡壘機用于運維人員進行服務器登陸和操作;安全審計軟件進行日常運維操作的審計等。

      好的堡壘機或是安全審計軟件可以阻止一些高危操作,如root進行rm –rf /*等類似高危操作。這倆區域作為公司內部環境的重要數據存儲區,必須重點防護、定時檢查、及時處理。

      辦公區域交換

      辦公區域主要是指公司的業務辦公區域。辦公區域一般會根據不同的樓層或是不同的部分劃分不同的VLAN,并且辦公區域部署防病毒服務器和WSUS升級服務器等,每一終端都部署防病毒,病毒庫及時更新。

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起插圖10

      另外,為了規范管理人員上網,旁路部署上網行為管理對網絡訪問進行管控和分析,以企業達到員工科學、合理利用網絡進行辦公。

      比較大點的企業會架設有企業安全感知平臺或是企業安全大數據分析平臺,將所有安全設備運行情況、日志等進行管理和分析作為企業安全管理和分析的入口,方便進行統一管理和運維工作。

      安全架構根據不同的企業性質和業務場景也不盡相同,很多互聯網企業購買的云主機更多依賴于云服務商提供的安全防范,如阿里云的云盾等;也有企業通過租賃IDC機房進行系統部署,更多依賴IDC自身的安全防護。

      不同的場景安全架構不同。根據自己的實際業務部署情況和發展場景,選擇最適合自己的安全部署方式運行安全防護,保障系統能夠安全穩定的正常運行。

      安全架構主要依托軟硬件和網絡、服務器等設備,通過科學區域劃分和精確部署建立起企業安全防護網,同時借助日志分析、安全大數據分析平臺,分析和預估企業已有可潛在的風險,在安全防護網的基礎上主動出擊、事前預防、立體防護,將企業的信息、數據等資產保護好。

      (2)安全策略

      安全策略主要作為安全建設的指導性規則,后續的安全技術和日常安全運維工作全部是為了將安全策略進行落地實施。安全策略總體分為物理安全策略、數據安全策略、網絡安全策略、系統安全策略四個部分。

      安全策略

      物理安全策略

      物理安全策略主要分為機房物理安全策略和公司安全運行相關物理安全策略。

      其中,機房物理安全策略要求機房的設計、建設和運維要遵循相關的規范和標準,主要有:《GB50174-2017 數據中心設計規范》、《GB 50462-2015 數據中心基礎設施施工及驗收規范》等國家規范以及各個行業相關要求規范。

      機房建設從物理選址到防雷擊、防火、防火、防潮、防靜電已經機房權限控制等都是物理安全需要考慮范疇。跟公司安全運行相關的公司的安防系統、門禁管理、電話監控錄音等都屬于物理安全,要在物理安全策略中體現。

      例如:

      • 公司視頻監控至少要保留30天;
      • 公司要有門禁管理,核心機密部分只能少數人有權限進入,門禁權限要定期審計,及時處理過期權限;
      • 公司電話錄音資料至少要保留30天,以備錄音查詢;
      • 機房日常管理必須要有常用備件,如插排、PSU、網頭網線等。

      以上可以看出安全策略主要是針對可能出現的安全風險和日常與安全有關的工作的一些策略,同時策略的制定要求言簡意賅。

      數據安全策略

      首先是根據業務數據的重要程度進行數據分類和分級,不同級別的數據類型保障級別也不一樣。其次數據的產生、傳輸、使用、備份和銷毀制定不同的數據安全策略,一般包括如下:

      • 數據保密性對不同類別的數據采用不同的權限控制,尤其是核心敏感數據,采用加密處理,采用最小權限控制方法,數據操作人員需要簽署數據保密條例等。
      • 數據傳輸性要求數據在傳輸過程中不被竊取、篡改,要求加密傳輸,如采用HTTPS的方式等。
      • 數據完整性、一致性、抗抵賴性要求數據的收發雙方數據一致,完整不丟失,并且對于數據的修改不可抵賴,以確保數據安全。
      • 數據備份和恢復策略要求數據必須定時備份,對于備份集定時驗證其準確性,備份集的保留周期不能少于指定天數等。
      • 數據銷毀策略要求數據在進行銷毀的時候,必須首先確保數據已無使用價值或是達到銷毀要求,對于數據的銷毀必須是完全銷毀,不可再在任何地方、任何人手中繼續保留該數據。同時在銷毀數據時,宣布數據已無效。

      網絡安全策略

      網絡安全策略首先是網絡設備安全及策略,要求網絡設備如核心交換機、防火墻等必須雙機、雙鏈路、雙電源等避免單點故障;交換機、防火墻等安全設備使用的時候必須先要進行安全加固、禁止多人使用同一賬戶維護網絡設備,賬戶和人必須一一對應,所有網絡設備名稱必須唯一等等。

      網絡安全策略同時還對無線網絡安全策略進行管理控制,例如訪客網必須與其它網絡隔離等;對網絡訪問進行詳細控制,如身份鑒別等;同時對網絡安全進行審計。

      網絡安全策略還主要包括多種網絡安全設備的策略設置,一般要在基于自身經驗的基礎上結合廠家的經驗,科學合理配置策略。

      系統安全策略

      系統安全策略包括終端、服務器安全相關策略、系統資源策略、應用中間件部署配置和備份等策略要求。

      以密碼保護策略為例,一般會有如下策略:

      • 密碼的長度不能低于8位,要求必須大小寫字母數據混合使用;
      • 密碼有效期為3個月,過期鎖定賬戶要求修改;
      • 首次登陸必須修改默認密碼;
      • 錯誤登陸3次必須鎖定10分鐘;
      • 密碼必須加密存儲并且添加salt;
      • 頁面登陸必須要有驗證碼。

      對于服務器一般要求必須安全加固,活動Session 5分鐘內無反應需斷開連接;服務器不能Root遠程登陸;服務器禁止RM直接操作等等。

      系統安全策略與日常系統運維有密切的關系,策略制定的完善程度,決定著系統安全的程度。與開發有關的編碼規范、安全編碼、SQL書寫規范等都屬于系統安全策略范圍內。

      安全策略是整個安全管理乃至整個安全體系的重要組成部分,日常安全運維工作中除了將安全策略一一落地實施外,還需根據實際業務情況和實際執行情況,進行策略的進一步評估和完善,建立健全安全策略對公司安全體系建設和保障系統安全至關重要。

      (3)技術管理

      技術管理主要針對物理安全策略、數據安全策略、網絡安全策略、系統安全策略進行分解和技術實現,具體表現為各種安全運維相關的規范、標準和流程等。換言之,將安全策略轉化為可執行的技術方案,在安全運維執行過程中,根據實際執行效果優化不斷優化安全策略。

      技術管理

      一般由安全策略演變而來的標準規范主要有:

      • 硬件上下架流程;
      • Windows服務器部署標準和安全加固方案;
      • Linux服務器部署標準和安全加固方案;
      • 數據庫及集群部署標準(Oracle、MySQL等);
      • 應用服務器Tomcat部署標準;
      • Nginx、HAproxy部署標準;
      • 安全事件處理流程;
      • 安全事件匯報流程等一系列日常運維相關操作的標準和流程。

      (4)人員管理

      人員管理主要包括與信息安全相關的信息安全委員會或是信息安全小組等組織管理、人員管理以及信息安全相關培訓等。

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起插圖13

      • 人員即安全直接操作人員,如安全工程師、系統運維工程師等,和與安全有關的人員,包括公司全體員工、第三方合作方等;
      • 組織指一般公司設有信息安全小組或是信息安全委員會,組織負責人員的培訓、演練和安全體系的建立落地實施等;
      • 培訓是指安全人員或是其他安全培訓資源對公司人員進行信息安全相關培訓,提高人員和組織的信息安全水平,加強安全意識,與對培訓的結果定期考核;
      • 安全運維要求理論與實際相結合,按計劃定期的演練實戰必不可少。勤練手,在真正的安全事件面前才能有條不紊地從容應對,將公司的損失降至到最低,最大程度的保護信息和數據。

      3、安全運營

      企業風險管理建立、安全架構設計、安全策略制定以及技術管理和人員管理的落實,為安全運營提供運營主體。安全運營

      安全運營主要包括日常安全運維工作、定期安全審計、安全數據分析以及安全績效考核四個部分。

      • 安全運維主要針對安全策略以及技術方案實施規范流程等在日常工作中按規操作,出現的安全事件,根據處理流程和通報流程進行應對等操作。安全運維要求日常運維管理操作必須是安全且可審計的,即日常的運維工作要定期做安全審計。
      • 安全審計在審查日常運維操作是否合規的同時還需包括安全策略是否在實際運維過程中完全落地實現,如備份是否完善,備份驗證是否定期執行,備份是否準確可用等。
      • 安全審計的結果、日常運維工作以及安全設備、安全平臺的安全數據進行數據分析,為安全績效考核提供數據支持,同時通過數據分析深入剖析公司安全運行情況以及人員和組織的安全績效情況,為公司的安全建設和安全運營的進展情況提供數字化展示。

       

      (1)安全運維

      日常運維操作要遵循安全管理中安全策略和技術管理制定的標準、流程的方案。一般日常運維工作包含如下內容:

      安全運維

      日常運維操作涉及的操作標準和流程需要在安全管理部分中有所體現。同時根據這些固定化的標準和流程可以實現運維自動化,最大程度地減少人為失誤。安全運維初始階段可能會造成運維工作的繁雜,流程、步驟較多等,但是隨著自動化運維的逐漸開展,人工運維會逐漸減少,運維效率也會逐漸提高。

      (2)安全審計

      對于日常運維操作、安全架構和安全策略落地進度,必須要有安全審計的參與,來監督和督促安全體系的執行。

      安全審計內容一般包括安全策略的執行情況,標準流程化的技術方案在日常的安全運維工作中是否得以按規實施;日志、備份是否過多地保留歸檔;備份驗證計劃是否按時校驗;備份集是否準確可用,以及服務器配置、防火墻策略等相關配置和策略信息是否準確可靠等等。

      安全審計

      簡言之,安全審計就是對于制定了啥的執行的情況和操作了啥的操作記錄進行審計,這是廣義的安全審計。狹義上的安全審計主要是指信息安全相關的內容。

      信息安全建設三板斧:從那些刷爆朋友圈的事故說起插圖17

      安全審計工作流程一般遵循制定計劃、執行審計、審計結果、跟蹤整改、審計完成等步驟。根據實際情況,先制定審計計劃,審計計劃要求包括審計頻率、審計內容、審計對象等。

      一般在執行審計的時候,會出現臨時搭建應對審計的測試環境,這是非常不可取的。要求審計的對象必須是真實的生產環境和實際的工作內容。除了對當前操作、當前日志審計外,還需審計是否具備歷史記錄等。

      廣義的審計計劃可以包括漏洞掃描計劃,定期對公司系統進行漏洞掃描,及時處理潛在漏洞,不過一般也會在安全策略會指定每隔多久進行一次漏洞掃描的策略。

      (3)安全分析

      安全分析有一部分包括安全審計的結果,這部分主要是對公司安全執行情況相關的分析;還有一部分公司的安全設備、安全感知平臺等記錄的公司遭受攻擊的數據信息;另外,公司歷史安全事件記錄公司已經產生的安全事件,這也是作為安全數據分析的內容。

      安全分析

      通過安全分析,數字化、圖形化的展示公司安全體系運行情況和公司安全運行情況,對公司的問題和風險進行查漏補缺,推動安全體系的建立和完善。

      (4)安全績效考核

      安全績效考核的目的主要是促進員工、組織、系統和設備的安全完善建設。由此可見,安全績效考核的主體主要是個體員工、組織部門、各類型系統和各種安全設備。

      安全績效考核

      對不同考核對象,采用不同維度的考核指標,這要求安全管理人員必須結合實際情況建立起一套被多數認可、賞罰分明且容易執行的安全績效考核方案。通過考核促進整個信息安全的建設工作。

      三、總結

      安全體系的建設是一個相對比較漫長且需要不斷學習、不斷修改完善的過程。公司全員與信息安全息息相關,幾乎人人有責。作為企業信息安全建設者,更多的是做安全防守,從人、事、物三個方面進行安全建設,培訓好人,按規做事,按規用物,同時借助專業的安全檢測和安全防護設備和手段,構筑企業安全壁壘。

      在物理安全上,互聯網企業對物理安全的重點更多是依賴云防護或是托管在IDC機房的安全防護手段。對于互聯網企業的安全建設過程中,例如電商平臺,更多可能是偏向與業務安全有關的防護,例如建立業務風控模型,有效避免被薅羊毛,惡意刷單、交易抵賴等與業務相關的安全風險。

      在業務安全上,這本身也是一件比較有意義的事情,防護以及落地需要安全工程師、業務人員、開發測試人員等共同參與進來。例如電商平臺惡意刷單的場景,需要通過采集買賣家的賬戶、密碼、電話信息、收發件人地址、電話信息、交易頻次交易內容等等一系列相關信息建立起比對模型,判斷買賣家是否存在惡意刷單的行為,同時判斷出刷新行為的時候,在下單時進行阻止,避免惡意行為實質產生。

      由此可見,業務防護不單單是安全部門的事情,與業務部門、開發部門等密切相關,相互配合,在資深的業務背景下,借助技術手段建立起業務安全防護。

      現階段很多傳統意義的企業也已經逐漸建有自身的互聯網平臺,所以在構筑企業安全體系的時候,也要根據企業自身的互聯網屬性,建立業務安全防護,避免企業遭受業務安全相關的攻擊。而業務安全防護在建立企業安全體系中往往容易被忽略,這本身需要安全工程師或安全管理者對業務知識有比較高深的理解,以及與關聯部門共同建立起業務安全防護。

      企業信息安全建設,必須立足于企業實際情況和業務發展情況,同時借助先進的技術手段,建立起立體安全壁壘,保障信息和數據的安全穩定運行。

      作者介紹

      戰學超,青航數據架構師。曾任職于NEC軟件、海爾B2B平臺巨商匯,負責企業數據平臺構建、B2B電商平臺數管理與搭建、企業運維管理平臺搭建;擁有豐富DBA、系統運維架構經驗,熟悉運維管理、數據庫架構、數據平臺搭建、虛擬化、私有云部署、自動化運維等。

      原文來自微信公眾號:DBAplus社群

      本文鏈接:http://www.abandonstatusquo.com/25308.html

      網友評論comments

      發表評論

      您的電子郵箱地址不會被公開。

      暫無評論

      Copyright ? 2012-2022 YUNWEIPAI.COM - 運維派 京ICP備16064699號-6
      掃二維碼
      掃二維碼
      返回頂部
      久久久久亚洲国内精品|亚洲一区二区在线观看综合无码|欧洲一区无码精品色|97伊人久久超碰|一级a爱片国产亚洲精品