色综合久久网-色综合久久一区二区三区-色综合久久中文字幕-色综合久久中文字幕综合网-日本特色一级强-日本四虎影院

B2B創業型企業的安全運營建設之路

卞軍軍 高效運維 2017-04-20 09:54:52

說說找鋼

發展史

我們找鋼是在2011年年底成立的,之前也是響應國家“互聯網+”號召,加上鋼鐵的產能過剩,于是我們公司成立了。

找鋼網是全產業鏈的鋼鐵電商,從買鋼材到倉儲運輸以及一些金融方面,加上智能數據形成了的一個完整的鋼鐵貿易的生態圈,一開始找鋼網是做撮合業務,因為買賣雙方渠道是不透明,現在我們也是做自營的業務,就是之前講過的一些服務我們都可以做到。

規模上,到現在找鋼網是有1400多人的大團隊,也有一些分公司海外分公司,武漢二級研發中心。

找鋼網B2B特色

相對其他的一些互聯網企業來說,找鋼網是還是一個偏向傳統的 B2B 互聯網企業,從兩方面可以介紹一下,第一個是從用戶來說,我們的用戶群體比較集中,另外從業務量來說,我們相對 2C,沒有那么大的用戶量,另外我們的核心業務是在內網。

歷史遺留問題

總體上,我們找鋼網作為一個創業型的企業發展是很迅速的,相對的也有很多問題,這里簡單講一下,起初我們的物理機房很混亂,如上圖所示,我想很多初創的公司都面臨過這樣的情況,還有應用的部署不合理,監控方面不全面等等問題。我們的安全運維建設都是從零到有的一個過程,包括標準化和自動化。

安全運營

下面介紹一下安全運營,找鋼的安全也是從零開始建設的。

安全運營建設的通用公式

首先講一下安全建設的過程,我也了解了一些其他些企業安全建設的過程,大致總結有四點,我把它定義為一個通用公式。

最開始的是救火階段,當前優先要解決刻不容緩的問題,比如說我們有一些外部應用遭到了攻擊,發現了高危漏洞,甚至造成業務癱瘓了,直接可造成公司形象、經濟等損失等。

接下來是建設階段,救火之后我們做防范建設措施。做建設可以從兩點做起,第一個是基礎建設,包括辦公網絡和生產網絡,第二個是安全建設,基礎建設建設完后我們可以做一些擴展的安全建設,比如從內部的IT的建設,運維的建設擴展得到全公司的業務,跟公司業務結合。

第三階段是優化階段,當公司規模發展到一定規模,當前的一些策略,或者是我們現有的一些產品不能滿足自己的公司的業務需求,那么進入到一個自研的環節,這一點是根據當前現狀去開發滿足業務需求的工具和產品,

最后一個階段產品的對外開放。

救火系列

之前也說了建設的四個階段,首先講一下救火階段,我是2015年底加入找鋼網的,當時第三方安全漏洞平臺對爆出了找鋼網的一些高危漏洞,那么首要解決這些高危安全漏洞,避免攻擊擴大,漏洞修復完成后對存在漏洞的應用做一個整體的安全測試。

安全測試完全之后,接下來就是要讓我們的研發人解決這些安全問題,同時也要提供安全解決方案,安全解決方案這可以整合成安全規范,比如針對當前比較常見的或者是基礎的安全漏洞,例如 SQL 注入、以及常見的邏輯上的問題,提供一個完全的攻擊案例和修復方案說。

再來就是對開發人員做安全培訓,在一個公司中開發人員的水平也是不一樣的,甚至有些開發人員對安全沒有接觸過,或者可以說沒有安全基礎的開發人員,對這一類開發人員要做的是先提高他們的安全認知。

我做了一個安全平臺,這個安全平臺初期的作用是作為安全漏洞的跟蹤管理統計,后期會對它擴展,實現對所有安全的統一管理,比如說運維基準建設,自動化巡檢以及日志平臺的建立,實現自動化預警機制。

傳統的安全體系

救火之后我們需要做一些安全建設方面的工作,安全體系的建設,相對其它互聯網企業來說,傳統的互聯網企業需要做的安全建設項要稍有不同。

我們根據找鋼網的現狀,從這五大方面做它的建設,包括:基礎安全,應用安全,訪問控制,運維安全,以及內網安全,為什么把內網安全單獨拿出來呢?因為我們核心的業務是在內網,這對我們的業務體系來說是非常重要的。

傳統的安全體系架構如上圖所示,接下來我們一一講述。

基礎安全

首先是基礎安全,看上圖中基礎安全中的分類,他包含很多的方面,如網絡安全物理安全等等。

做安全建設的時候,大家會參考同行中其他互聯網公司怎么做的,我這里要強調的是,參考只是參考,而不是照搬。每一家企業都有自己獨特的業務體系,別的企業的不一定完全適用于自己,可以參考自己需要的。

那么我們圍繞基礎安全分別介紹下具體是如何做的?

網絡安全

首先說說網絡安全,這個是做運維的基準。我們做網絡安全要切合我們公司的網絡架構,以最小的代價能獲取最大利益。

安全域劃分的原則,南北向業務是最小化的原則,也就是說訪問控制分配最小化的權限,這點需要把控好,東西向的業務的需要分割,實現業務隔離。

對于無線安全這塊,無線安全也是我們優先需要把控好的一點,我們無線安全是針對內網和外網用戶實現訪問控制的。

DOS 攻擊防御,之前我跟很多專家溝通討論過這個問題,必須要花錢,也只有多和少的區別。

我們找鋼網是 2B 企業,沒有 2C 那么大的流量,我們企業對 DOS 防御從兩點做起,一個就是運營商幫我們做一些基礎的過濾;再來需要采購流量清洗設備,大家需要評估一下你們自己的業務,選擇適合你們的自己的產品。

入侵檢測,我們沒有采購單獨的 IPS 防護設備,我們計劃是自研輕量級的入侵檢測。

數據安全

數據安全從三點來說

第一點是資產的管理,這是數據安全基礎,不管要做哪一類的信息安全,你首先要知道我們有哪些數據,有哪些資產,這些數據和資產類型是怎么樣的,這些數據等級劃分怎么樣的.

第二點是數據訪問,一個是用戶的分配問題,還有一個是訪問控制,需要做好這兩點。

第三點就是數據安全,一是備份,備份需要做到三方面,本地備份、本機備份、異地備份;數據安全的第二點內容是數據的存儲和加密。

系統安全

接下來介紹一下系統的安全,上圖所列出的,是根據我們當前實際情況定制的,包括:數據庫,主機訪問控制,操作系統安全,桌面工作站等等。

這個就不一一介紹了,需要強調的一點是,除了運維人員其他人員就不要接觸服務器,如果有特殊情況,特殊處理。還有,管理員權限一定要回收,這個是做好系統安全基礎。

物理安全

物理安全,看看上述這張圖,我們有很多分公司,但是我們分公司沒有專門配備IT人員。左圖是曾經的場景,現在我們實現了右圖。這樣也便于對一些網絡故障的分析和定位。

應用安全

接下來介紹基礎安全中的第二塊內容,應用安全。

應用是與用戶直接交互的,做應用安全不是盲目的,我們需要先了解業務。我們當前的核心業務是什么?保護的對象是什么?了解這些我們才能更明確的去分析業務面臨的危險有哪些,再來制定保護策略。

應用安全,我們從三方面去做,應用上線前的安全評估,應用完成后風險測試,應用日志的審計。

安全評估是我目前正在做的事情。我們核心的對外的應用,在 PRD 評審階段,與產品和研發一起做安全評估,幫助他們在開發的階段規避一些常見的安全問題。

應用安全風險,這里給大家推薦一個 STRIDE 模型。它對用戶身份的仿冒、篡改,數據泄露完整性方面的安全都是有一個很好的解釋。這個大家可以在百度上查閱。

最后一個就是日志和審計,根據日志就可以定位有哪些用戶訪問了我們的應用,他們做了什么事情,可以分析一些風險場景。

運維安全

再介紹一下運維的安全,上述圖中描述的是我們目前正在做的。前面也說過,我們初期有一個很混亂的場面,因此我們要做標準化,自動化,信息化,每一家企業要做好運維安全,首先要做好這三點,才能做好后面的管控方面的工作。

自動化這方面,自動化是相當必須的,因為公司不會在同一個崗位配備多個人員,我們都知道運維人員加班加點特別多,做自動化也是必不可少的,可以減輕人工的工作,提高工作效率,像運維操作的流程很多,比如有很多人要申請權限之類,如果每一樣都需要人工操作,那么運維人員就不用干別的事了,這充分說明了自動化的必要性,自動化的另一方面體系在監控上,做好更全面更廣的監控,可以幫助我們快速發現并定位網絡故障。

統一受權,這個是比較關鍵的,我們使用的是4A的產品,這個產品目前使用下來還是挺不錯的。

內網安全

最后一個就是內網安全,對于我們來說是很重要的。所有公司內網安全都是也是必不可少的。

內網安全涉及的點比較多,首先是桌面的安全,從以下幾點介紹,進程的控制,補丁管理,內容過濾,資產管理,文件共享,還有軟件安裝審計等等。

這里面簡單說一下安全審計,初期沒有一個系統化的管理平臺,每一個員工都擁有管理員權限,這會帶來很多的安全風險,因為很多員工并不懂安全,不知道他訪問的哪些網站,安裝的哪些軟件會有安全威脅,這就需要我們IT人員做好管控,把普通員工的管理員權限取消。

另一點要說明的是補丁,并不是所有的應用補丁,或者是軟件版本更新都需要升級,所謂要不要打補丁,要根據你的業務進行評估,如果對業務有影響,會造成業務或者網絡中斷,那么就不需更新補丁。

終端安全,包括終端行為監控,資產配置管理,終端遠程維護,I/O 接口管理,系統賬戶監控。

這里不一一闡述了,簡單說一下遠程維護的必要性,比如很多分公司的員工會上報故障維修,如電腦故障之類,各個分公司配備多個IT人員成本較高,也不現實,那么我們就需要IT人員遠程協助分公司員工解決故障了。

防泄密,每一家企業都會碰到的,我們目前還沒有一個完整的解決方案,目前能夠做的是對員工進行思想教育。

基于準入控制,這個也不用多說,大家都可以理解,你要判斷哪些可以接入內網,要滿足什么樣的條件或需要什么條件能夠進入內網。之后我們可以從兩大點實現準入,一個是網絡的準入,還有一個客戶端的準入,應用可以歸納為客戶端。網絡的準入可以通過 802.1X 協議執行。

VPN 安全有兩方面:第一個是管理,另外一個就是配置。管理方面,如權限開通一定要走審批的流程,VPN 日志需要定期分析安全隱患。在配置上需要做的幾點,變更管理需要走流程,會話連接數設置,超時設置等等。

源碼安全也是很重要的,這個也是我們保護的對象之一,源碼的管理難以做到面面俱到,可以從三方面做一些管控,完整性、授權,以及復制和傳播,徹底的杜絕泄露我們目前無法實現。

有條件的可以做內網日志,之前看到的一個文章,是阿里如何防止內部員工去泄露信息,它的實現是對內部信息做一個打碼或者是加水印處理,水印中保存了用戶登錄 cookie,一旦泄露可以定位到哪位員工泄露的。

授權和訪問控制

在訪問控制上,我們現在實現的是身份管理這一塊,其它方面也是慢慢做的實現。身份管理,單點登錄時一個不錯的方案,其它的比如訪問管控,流程資源方面可以在實際問題中逐漸擴展。

安全驅動

上面寫的運營方面的內容,是根據我們公司實際情況做的一個安全工作。

接下來是安全驅動,這個是比較抽象的東西,比如你要建設的策略、計劃,你要推動這些事情怎么落實。現階段也是我所面臨的一個難點,在推動過程中遇到的一些問題,接下來跟大家分享一下我的想法。

資源分析

推動前先要做好事前分析,人力資源分析,當前你有多少人力可以助力推動這個事情。有多少的支持,又有多少的反對,支持和反對需要做好評估,如果阻礙太大做不下去就可以放棄了。

救火階段

那么救火階段的驅動需要做哪些呢?我個人總結了一些,時時跟蹤,主動出擊,緊迫盯梢,及時曝光。如果需要配合的人不配合,你可以曝光,至于曝光給誰,當然是上級,也就是可以做主拍板的人。

日常運營階段

日常的運營階段,我總結的幾點是,首先要明確負責人,定時跟蹤,流程約束,松馳有度,另外還要做獎懲的制度。明確責任人很重要,你發現問題了,你要驅動一個策略,要知道事件相關聯的人。

之前公司,業務線比較多,組織的變動也帶動了業務的變動,有一次我找人就找了兩天,這個就是浪費時間的事情。我建議,進入公司時先要熟悉組織架構,自己可以維護一個表,記錄每一個業務產品的對應的負責人。

建設階段

建設階段,我們找鋼網,安全只有一個人,我們的運維人數也很少,一共就有八九個,人少能做的事情是有限的,你一個人可以做的很少,結合大家一起做的事情就比較多了,比如說結合運維、DBA、IT、基礎架構等等,可以站在一個驅動的角度推動,涉及到運維就可以驅動運維人員協助完成,這就是一個相互協作的過程。

推廣階段&落地

推廣落地我這邊也總結了幾點,首先安全要做好策略運營,還要有一個流程的約束,研發的配合也是跟安全特別相關的,比如說漏洞這一塊,你要研發去配合解決。最重要的是要得到老板的支持,所有的推動從上而下可以很快落實,從下而上是比較難的。

平衡

最后是平衡,我們的公司的以為業務人員跟我說,安全是對我們業務的綁架。我說不是,我們安全是為業務服務的,是為了業務避免損失,包括公司品牌形象的損失和經濟的損失。

那么如何去平衡這兩者關系,如果安全阻礙了業務的發展,降低了用戶體驗,造成用戶量下降,直接導致經濟損失,這個就要安全讓步了,但是涉及到原則問題,如果沒有做好安全把控,因攻擊事件造成公司名譽和經濟損失,這個是不能讓步的,所以要權衡好,最終的目的是為了讓業務做的更好、更安全。


主站蜘蛛池模板: 久草小区二区三区四区网页 | 国产精品福利在线观看秒播 | 91精品福利手机国产在线 | 久久噜噜噜久久亚洲va久 | 久久久亚洲精品国产 | a级国产乱理论片在线观看 a级国产乱理论片在线观看看 | 人成精品视频三区二区一区 | 亚洲黄色美女 | 天天色综 | 亚洲精品国产自在久久老牛 | 国产高清视频免费人人爱 | xxxxx在线| 五月天网站最新永久网址 | 欧美一级久久 | 最近手机中文字幕无吗 | 国内精品免费视频 | 最新69国产成人精品视频69 | 久久免费视频8 | 婷婷激情六月 | 国产成人啪精品视频免费网站软件 | 午夜网站视频 | 国产精品免费观看视频 | 在线视频精品一区 | 黄色高清视频 | 激情五月五月婷婷 | 黄色美女免费网站 | 午夜精品国产 | 精品国产一区二区三区不卡 | 久久精品中文字幕极品 | 一本色道久久综合狠狠躁 | 97人人在线视频 | 亚洲一区免费在线观看 | 精品久久久久免费极品大片 | 久久久久久久久中文字幕 | 国产午夜人做人免费视频中文 | 碰碰碰人人澡人人爱摸 | 国产免费资源高清小视频在线观看 | 加勒比东洋精品映画防屏蔽 | 日本韩国理论片大全在线 | 狠狠干一区 | 美女国内精品自产拍在线播放 |

長按二維碼關注我們