▌安全架構(gòu)設(shè)計(jì)必要性

將各個(gè)安全系統(tǒng)之間徹底打通，實(shí)現(xiàn)信息共享，融合成一套行之有效的安全防護(hù)體系，才能有效解決絕大部分安全問(wèn)題。但是企業(yè)需要關(guān)注的不僅僅是外部威脅，堡壘往往是從內(nèi)部攻破的，所以企業(yè)內(nèi)部的安全威脅也不容忽視。從近年來(lái)一系列安全事件發(fā)生原因總結(jié)看，基本都和安全意識(shí)淡薄、安全管理不規(guī)范密切相關(guān)，所以企業(yè)在搭建自己的安全防護(hù)體系的同時(shí)，也要搭建自己的安全管理體系。

但是隨著這些安全系統(tǒng)陸續(xù)上線運(yùn)行后，互聯(lián)網(wǎng)的安全架構(gòu)在逐漸完善，安全能力也得到了很大的提升，但是此時(shí)互聯(lián)網(wǎng)自己的安全防護(hù)體系依然沒(méi)有建立起來(lái)，各個(gè)安全系統(tǒng)由不同安全團(tuán)隊(duì)開(kāi)發(fā)維護(hù)，分散在不同的業(yè)務(wù)線上，各自為戰(zhàn)，依然會(huì)遇到很多各個(gè)系統(tǒng)獨(dú)自無(wú)法解決的安全問(wèn)題。

比如平時(shí)為了吸引消費(fèi)者，互聯(lián)網(wǎng)易購(gòu)經(jīng)常會(huì)送大家很多各類(lèi)優(yōu)惠券，也會(huì)對(duì)一些熱門(mén)商品進(jìn)行限時(shí)低價(jià)搶購(gòu)，由于購(gòu)買(mǎi)價(jià)格遠(yuǎn)低于市場(chǎng)價(jià)格，常常會(huì)吸引來(lái)大量黃牛薅羊毛。

此時(shí)智能數(shù)據(jù)風(fēng)控架構(gòu)就開(kāi)始起作用了，依賴(lài)訪問(wèn)特征和訪問(wèn)行為，能夠及時(shí)從海量數(shù)據(jù)里分析出哪些是黃牛請(qǐng)求并進(jìn)行阻斷驗(yàn)證，但是黃牛們?yōu)榱吮ＷC成功買(mǎi)到這些低價(jià)商品，往往會(huì)租用大量服務(wù)器并發(fā)購(gòu)買(mǎi)請(qǐng)求，即使請(qǐng)求都被風(fēng)控識(shí)別阻斷，由于這些請(qǐng)求已經(jīng)到了業(yè)務(wù)服務(wù)器，所有依然會(huì)對(duì)業(yè)務(wù)系統(tǒng)造成巨大的負(fù)載壓力。

▌安全架構(gòu)的頂層視圖

據(jù)《全球網(wǎng)絡(luò)安全指數(shù)》數(shù)據(jù)顯示，“2016年全球互聯(lián)網(wǎng)用戶達(dá)到35億人，約占世界總?cè)丝诘囊话搿５?020年，接入互聯(lián)網(wǎng)的終端設(shè)備預(yù)計(jì)將達(dá)到120億臺(tái)。”在萬(wàn)物互聯(lián)帶來(lái)便利的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突出。需要開(kāi)發(fā)者們從人工智能、新的架構(gòu)或者新的設(shè)備方面去探索更安全的解決方案。

1 ▏安全組織架構(gòu)視圖

首先需要明確安全部門(mén)的組織架構(gòu)，互聯(lián)網(wǎng)的安全相關(guān)部門(mén)目前主要分為管理和研發(fā)兩大類(lèi)。由于企業(yè)安全不僅包含外部網(wǎng)絡(luò)攻擊防護(hù)，還包含企業(yè)內(nèi)部安全威脅檢查，所以安全部門(mén)非常特殊，必須要有一定的獨(dú)立性，否則合規(guī)審計(jì)、內(nèi)外風(fēng)控、漏洞處理、應(yīng)急響應(yīng)等工作根本無(wú)法開(kāi)展。

一般互聯(lián)網(wǎng)公司大都會(huì)成立一個(gè)較高級(jí)別的安全部門(mén)專(zhuān)門(mén)負(fù)責(zé)各類(lèi)安全事務(wù)，因?yàn)檫@樣即方便管理又能減少溝通成本。互聯(lián)網(wǎng)安全管理中心由CTO直接負(fù)責(zé)，集團(tuán)所有安全相關(guān)事務(wù)都由它統(tǒng)一協(xié)調(diào)，安全研發(fā)工作主要由數(shù)據(jù)云團(tuán)隊(duì)負(fù)責(zé)，個(gè)別子公司因業(yè)務(wù)需要也會(huì)有相對(duì)獨(dú)立的安全部門(mén)。

2 ▏安全防護(hù)架構(gòu)視圖

互聯(lián)網(wǎng)的安全部門(mén)最初是從網(wǎng)絡(luò)運(yùn)維部門(mén)分離出來(lái)的，當(dāng)時(shí)部門(mén)的工作內(nèi)容也和安全開(kāi)發(fā)完全無(wú)關(guān)，主要就是各類(lèi)網(wǎng)絡(luò)設(shè)備以及操作系統(tǒng)的安全基線檢查，后來(lái)隨著互聯(lián)網(wǎng)向互聯(lián)網(wǎng)轉(zhuǎn)型，安全部門(mén)才開(kāi)始承擔(dān)起攻擊防護(hù)、風(fēng)險(xiǎn)檢測(cè)、漏洞處理等職責(zé)，逐步開(kāi)始自研各類(lèi)安全系統(tǒng)。

由于當(dāng)時(shí)安全工作都是圍繞互聯(lián)網(wǎng)易購(gòu)開(kāi)展的，而互聯(lián)網(wǎng)易購(gòu)又是一個(gè)綜合網(wǎng)上購(gòu)物架構(gòu)，所以保護(hù)消費(fèi)者的個(gè)人信息和資金安全自然是重中之重，因此互聯(lián)網(wǎng)安全防護(hù)架構(gòu)和互聯(lián)網(wǎng)智能數(shù)據(jù)風(fēng)控架構(gòu)是最早上線運(yùn)行的兩個(gè)安全系統(tǒng)，之后又陸續(xù)開(kāi)發(fā)上線了互聯(lián)網(wǎng)安全服務(wù)架構(gòu)、互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心等系統(tǒng)。

所以，互聯(lián)網(wǎng)安全防護(hù)架構(gòu)：由離線入侵分析、實(shí)時(shí)攻擊檢測(cè)、大數(shù)據(jù)分析等模塊組成，主要負(fù)責(zé)各類(lèi)常見(jiàn)的網(wǎng)絡(luò)攻擊的檢測(cè)和防御，是互聯(lián)網(wǎng)的第一道安全防線。

3 ▏安全數(shù)據(jù)風(fēng)控架構(gòu)

提供設(shè)備指紋、人機(jī)識(shí)別、敏感信息過(guò)濾、風(fēng)險(xiǎn)信息庫(kù)等功能，通過(guò)靈活的風(fēng)控智能算法和風(fēng)險(xiǎn)措施保護(hù)消費(fèi)者購(gòu)物流程安全。

4 ▏信息安全服務(wù)架構(gòu)

主要是為互聯(lián)網(wǎng)內(nèi)部所有系統(tǒng)提供各類(lèi)安全服務(wù)，包括漏洞掃描、滲透測(cè)試、系統(tǒng)加固、安全培訓(xùn)等。

5 ▏安全應(yīng)急響應(yīng)架構(gòu)

主要負(fù)責(zé)漏洞管理和威脅情報(bào)收集，以幫助提升互聯(lián)網(wǎng)自身產(chǎn)品及業(yè)務(wù)的安全性，同時(shí)也希望借此加強(qiáng)與安全業(yè)界的合作與交流。

▌互聯(lián)網(wǎng)安全架構(gòu)實(shí)例

蘇寧內(nèi)部安全事件的管理已有一套成熟的運(yùn)轉(zhuǎn)機(jī)制，在漏洞爆出之后，首先由安全管理中心評(píng)估此事故威脅程度并確認(rèn)事故責(zé)任人，然后由安全研發(fā)中心協(xié)助給出解決方案，再由安全管理中心督促事故責(zé)任人所在部門(mén)修復(fù)漏洞，最后由安全管理中心總結(jié)本次事故經(jīng)驗(yàn)教訓(xùn)并給予事故責(zé)任部門(mén)處罰。

▲基于頂層設(shè)計(jì)的蘇寧互聯(lián)網(wǎng)安全架構(gòu)

因?yàn)榘踩芾碇行挠锌己似渌邪l(fā)中心安全規(guī)范的權(quán)限，所以這套管理方法還是行之有效的。但是安全問(wèn)題的源頭還是人，如果僅僅依靠制度規(guī)范，肯定是無(wú)法解決所有內(nèi)部安全問(wèn)題的，甚至可能會(huì)阻礙企業(yè)發(fā)展，因此安全管理部門(mén)還應(yīng)該做好內(nèi)部員工的安全培訓(xùn)，尤其是業(yè)務(wù)系統(tǒng)研發(fā)人員，定期進(jìn)行安全相關(guān)培訓(xùn)和考核，提高所有人的安全意識(shí)。

▌總結(jié)

互聯(lián)網(wǎng)信息安全直接關(guān)系到互聯(lián)網(wǎng)用戶的信息和資金安全，是一個(gè)優(yōu)秀企業(yè)互聯(lián)網(wǎng)平臺(tái)必須不斷修煉的“內(nèi)功”。2018年互聯(lián)網(wǎng)+進(jìn)入高點(diǎn)，能否安全保護(hù)互聯(lián)網(wǎng)海量用戶的信息和資金安全，成為互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)成敗的關(guān)鍵之一。互聯(lián)網(wǎng)發(fā)展必須始終以信息安全頂層設(shè)計(jì)為基石，從信息安全組織架構(gòu)、信息安全防護(hù)架構(gòu)、信息安全風(fēng)控運(yùn)營(yíng)、信息安全服務(wù)架構(gòu)、信息安全應(yīng)急響應(yīng)架構(gòu)等多方面建立了全面頂層設(shè)計(jì)體系，才能有力保障互聯(lián)網(wǎng)用戶信息安全。

想了解更多IT資訊，請(qǐng)?jiān)L問(wèn)中培偉業(yè)官網(wǎng)：中培偉業(yè)