▌安全架構(gòu)設(shè)計(jì)必要性

將各個(gè)安全系統(tǒng)之間徹底打通，實(shí)現(xiàn)信息共享，融合成一套行之有效的安全防護(hù)體系，才能有效解決絕大部分安全問題。但是企業(yè)需要關(guān)注的不僅僅是外部威脅，堡壘往往是從內(nèi)部攻破的，所以企業(yè)內(nèi)部的安全威脅也不容忽視。從近年來一系列安全事件發(fā)生原因總結(jié)看，基本都和安全意識淡薄、安全管理不規(guī)范密切相關(guān)，所以企業(yè)在搭建自己的安全防護(hù)體系的同時(shí)，也要搭建自己的安全管理體系。

但是隨著這些安全系統(tǒng)陸續(xù)上線運(yùn)行后，互聯(lián)網(wǎng)的安全架構(gòu)在逐漸完善，安全能力也得到了很大的提升，但是此時(shí)互聯(lián)網(wǎng)自己的安全防護(hù)體系依然沒有建立起來，各個(gè)安全系統(tǒng)由不同安全團(tuán)隊(duì)開發(fā)維護(hù)，分散在不同的業(yè)務(wù)線上，各自為戰(zhàn)，依然會遇到很多各個(gè)系統(tǒng)獨(dú)自無法解決的安全問題。

比如平時(shí)為了吸引消費(fèi)者，互聯(lián)網(wǎng)易購經(jīng)常會送大家很多各類優(yōu)惠券，也會對一些熱門商品進(jìn)行限時(shí)低價(jià)搶購，由于購買價(jià)格遠(yuǎn)低于市場價(jià)格，常常會吸引來大量黃牛薅羊毛。

此時(shí)智能數(shù)據(jù)風(fēng)控架構(gòu)就開始起作用了，依賴訪問特征和訪問行為，能夠及時(shí)從海量數(shù)據(jù)里分析出哪些是黃牛請求并進(jìn)行阻斷驗(yàn)證，但是黃牛們?yōu)榱吮ＷC成功買到這些低價(jià)商品，往往會租用大量服務(wù)器并發(fā)購買請求，即使請求都被風(fēng)控識別阻斷，由于這些請求已經(jīng)到了業(yè)務(wù)服務(wù)器，所有依然會對業(yè)務(wù)系統(tǒng)造成巨大的負(fù)載壓力。

▌安全架構(gòu)的頂層視圖

據(jù)《全球網(wǎng)絡(luò)安全指數(shù)》數(shù)據(jù)顯示，“2016年全球互聯(lián)網(wǎng)用戶達(dá)到35億人，約占世界總?cè)丝诘囊话搿５?020年，接入互聯(lián)網(wǎng)的終端設(shè)備預(yù)計(jì)將達(dá)到120億臺。”在萬物互聯(lián)帶來便利的同時(shí)，網(wǎng)絡(luò)安全問題也日益突出。需要開發(fā)者們從人工智能、新的架構(gòu)或者新的設(shè)備方面去探索更安全的解決方案。

1 ▏安全組織架構(gòu)視圖

首先需要明確安全部門的組織架構(gòu)，互聯(lián)網(wǎng)的安全相關(guān)部門目前主要分為管理和研發(fā)兩大類。由于企業(yè)安全不僅包含外部網(wǎng)絡(luò)攻擊防護(hù)，還包含企業(yè)內(nèi)部安全威脅檢查，所以安全部門非常特殊，必須要有一定的獨(dú)立性，否則合規(guī)審計(jì)、內(nèi)外風(fēng)控、漏洞處理、應(yīng)急響應(yīng)等工作根本無法開展。

一般互聯(lián)網(wǎng)公司大都會成立一個(gè)較高級別的安全部門專門負(fù)責(zé)各類安全事務(wù)，因?yàn)檫@樣即方便管理又能減少溝通成本。互聯(lián)網(wǎng)安全管理中心由CTO直接負(fù)責(zé)，集團(tuán)所有安全相關(guān)事務(wù)都由它統(tǒng)一協(xié)調(diào)，安全研發(fā)工作主要由數(shù)據(jù)云團(tuán)隊(duì)負(fù)責(zé)，個(gè)別子公司因業(yè)務(wù)需要也會有相對獨(dú)立的安全部門。

2 ▏安全防護(hù)架構(gòu)視圖

互聯(lián)網(wǎng)的安全部門最初是從網(wǎng)絡(luò)運(yùn)維部門分離出來的，當(dāng)時(shí)部門的工作內(nèi)容也和安全開發(fā)完全無關(guān)，主要就是各類網(wǎng)絡(luò)設(shè)備以及操作系統(tǒng)的安全基線檢查，后來隨著互聯(lián)網(wǎng)向互聯(lián)網(wǎng)轉(zhuǎn)型，安全部門才開始承擔(dān)起攻擊防護(hù)、風(fēng)險(xiǎn)檢測、漏洞處理等職責(zé)，逐步開始自研各類安全系統(tǒng)。

由于當(dāng)時(shí)安全工作都是圍繞互聯(lián)網(wǎng)易購開展的，而互聯(lián)網(wǎng)易購又是一個(gè)綜合網(wǎng)上購物架構(gòu)，所以保護(hù)消費(fèi)者的個(gè)人信息和資金安全自然是重中之重，因此互聯(lián)網(wǎng)安全防護(hù)架構(gòu)和互聯(lián)網(wǎng)智能數(shù)據(jù)風(fēng)控架構(gòu)是最早上線運(yùn)行的兩個(gè)安全系統(tǒng)，之后又陸續(xù)開發(fā)上線了互聯(lián)網(wǎng)安全服務(wù)架構(gòu)、互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心等系統(tǒng)。

所以，互聯(lián)網(wǎng)安全防護(hù)架構(gòu)：由離線入侵分析、實(shí)時(shí)攻擊檢測、大數(shù)據(jù)分析等模塊組成，主要負(fù)責(zé)各類常見的網(wǎng)絡(luò)攻擊的檢測和防御，是互聯(lián)網(wǎng)的第一道安全防線。

3 ▏安全數(shù)據(jù)風(fēng)控架構(gòu)

提供設(shè)備指紋、人機(jī)識別、敏感信息過濾、風(fēng)險(xiǎn)信息庫等功能，通過靈活的風(fēng)控智能算法和風(fēng)險(xiǎn)措施保護(hù)消費(fèi)者購物流程安全。

4 ▏信息安全服務(wù)架構(gòu)

主要是為互聯(lián)網(wǎng)內(nèi)部所有系統(tǒng)提供各類安全服務(wù)，包括漏洞掃描、滲透測試、系統(tǒng)加固、安全培訓(xùn)等。

5 ▏安全應(yīng)急響應(yīng)架構(gòu)

主要負(fù)責(zé)漏洞管理和威脅情報(bào)收集，以幫助提升互聯(lián)網(wǎng)自身產(chǎn)品及業(yè)務(wù)的安全性，同時(shí)也希望借此加強(qiáng)與安全業(yè)界的合作與交流。

▌互聯(lián)網(wǎng)安全架構(gòu)實(shí)例

蘇寧內(nèi)部安全事件的管理已有一套成熟的運(yùn)轉(zhuǎn)機(jī)制，在漏洞爆出之后，首先由安全管理中心評估此事故威脅程度并確認(rèn)事故責(zé)任人，然后由安全研發(fā)中心協(xié)助給出解決方案，再由安全管理中心督促事故責(zé)任人所在部門修復(fù)漏洞，最后由安全管理中心總結(jié)本次事故經(jīng)驗(yàn)教訓(xùn)并給予事故責(zé)任部門處罰。

▲基于頂層設(shè)計(jì)的蘇寧互聯(lián)網(wǎng)安全架構(gòu)

因?yàn)榘踩芾碇行挠锌己似渌邪l(fā)中心安全規(guī)范的權(quán)限，所以這套管理方法還是行之有效的。但是安全問題的源頭還是人，如果僅僅依靠制度規(guī)范，肯定是無法解決所有內(nèi)部安全問題的，甚至可能會阻礙企業(yè)發(fā)展，因此安全管理部門還應(yīng)該做好內(nèi)部員工的安全培訓(xùn)，尤其是業(yè)務(wù)系統(tǒng)研發(fā)人員，定期進(jìn)行安全相關(guān)培訓(xùn)和考核，提高所有人的安全意識。

▌總結(jié)

互聯(lián)網(wǎng)信息安全直接關(guān)系到互聯(lián)網(wǎng)用戶的信息和資金安全，是一個(gè)優(yōu)秀企業(yè)互聯(lián)網(wǎng)平臺必須不斷修煉的“內(nèi)功”。2018年互聯(lián)網(wǎng)+進(jìn)入高點(diǎn)，能否安全保護(hù)互聯(lián)網(wǎng)海量用戶的信息和資金安全，成為互聯(lián)網(wǎng)平臺運(yùn)營成敗的關(guān)鍵之一。互聯(lián)網(wǎng)發(fā)展必須始終以信息安全頂層設(shè)計(jì)為基石，從信息安全組織架構(gòu)、信息安全防護(hù)架構(gòu)、信息安全風(fēng)控運(yùn)營、信息安全服務(wù)架構(gòu)、信息安全應(yīng)急響應(yīng)架構(gòu)等多方面建立了全面頂層設(shè)計(jì)體系，才能有力保障互聯(lián)網(wǎng)用戶信息安全。

想了解更多IT資訊，請?jiān)L問中培偉業(yè)官網(wǎng)：中培偉業(yè)