互联网企业安全建设之路：规划篇

admin · 发表于 2017-2-8 11:01:32

新年伊始，我决定写一篇关于互联网企业安全建设的文章。一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下，二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。

整篇文章分为三大部分：

一、互联网企业为什么要做安全
二、互联网企业需要什么样的安全
三、互联网企业如何做好安全

这也是我在企业安全建设过程中给自己提出和不断思考的问题。首先，我尝试通过第一个问题来剖析互联网企业都面临哪些安全威胁和安全挑战；然后挖掘出互联网企业的安全需求和安全目标；最终依据这些安全需求和安全目标来制定契合企业自身业务特性的安全建设规划。

OK，下面开始进入正题，我们先来谈谈今天第一个话题。

一、互联网企业为什么要做安全

从外部环境来看，目前互联网整体安全态势不容乐观。企业每天都面临着来自各方面的安全威胁，网络攻击、勒索、安全漏洞等事件时有发生，企业敏感信息泄露逐渐成为一种常态。一旦发生此类安全事件，都会对企业正常运营、业务发展造成不良影响。加上近年来一些重大安全事件不断被媒体曝光以及整个互联网行业的发展，使得越来越多的互联网企业意识到安全的重要性，开始着手或者计划招聘专业安全人员来提升企业自身的安全水平。

综合归纳一下，互联网企业做安全的驱动力主要源于以下几个方面：

1、面临来自各方面的安全威胁

譬如：外部黑客、网络黑产、竞争对手、内鬼等

2、面临各种安全挑战

譬如：安全漏洞、网络攻击、勒索、敏感信息泄露等

3、安全问题会对公司运营、业务发展造成不良影响

譬如：经济损失、用户流失、声誉受损、公信力下降等

二、互联网企业需要什么样的安全

在理解互联网企业为什么要做安全后，我们开始考虑下一个问题：互联网企业究竟需要什么样的安全？安全需求有哪些？核心安全目标是什么？为了实现安全目标，需要企业具备什么样的安全能力？

通过上面的分析，我们能够比较容易的树立企业核心安全目标。虽然各企业由于自身业务特性有所不同，但还是有很多共性的。我们一起来看下：

1、数据安全

数据安全是所有互联网公司最核心的安全需求，也是绝大多数互联网企业高管最为关注的安全问题。目标是要保障企业敏感数据的安全、可控。

2、在攻防对抗中占据主动地位

能够掌控企业整体的安全态势，可主动发现潜在安全风险，及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度，并且在第一时间内解决遇到的安全问题。

3、保障业务安全、连续、可用

尽可能降低因网络攻击造成业务系统受影响的安全风险，比如最常见的DDOS、CC攻击等。

上面这些，应该是大多数互联网公司的安全期望或者说是核心安全目标。虽然表面上看着字数不多，但真正要达到这些个目标并不是一件简单的事情，这应该是一个长期的目标。

三、互联网企业如何做好安全？

既然安全目标有了，那么就来聊聊今天的重头戏：互联网企业如何做好安全？这是一个值得思考的问题。

1、树立正确的安全观

安全是相对的。互联网企业安全绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及安全服务就可以搞定的事情。安全是一个整体，并且是动态的，是一件需要长期做并且需要持续投入的事情。

2、企业安全完整视角

上面说到安全是一个整体，那么互联网企业安全都包含哪些方面和内容呢？为了更加直观、清晰的表达，我们直接来看图说话：

[/url]

通过上图我们可以看到，一个完整的企业安全视角需要涵盖生产网络、办公网络、第三方供应商以及安全合规这四个方面。画出这个图并不难，真正的难点在于如何将安全规划和蓝图变成一件得以落地实施和可跟踪的事情。我想这是很多安全人员尤其是企业安全负责人一直在尝试和思考的问题。我的思路和建议是把整个安全规划中的内容先列出来，把一个大安全目标分解成多个小安全目标，然后列出打算如何实现这些安全目标，哪些安全产品打算自研，哪些需要和第三方安全厂商合作，最终依据企业目前的安全现状、现有资源以及项目优先级进行排期和实施，并定期跟进这些项目的进度，及时解决、改进整个过程中存在的问题，最终目标是建立一个相对完善的企业安全体系。

2.1、生产网络

2.1.1、基础架构安全

基础架构安全如果从网络层次上来划分的话，可以分为物理安全、网络安全和系统安全三个层面。这部分属于传统意义上的网络安全，是整个企业安全体系中最基础的部分。

[url=http://image.3001.net/images/20170204/14861880969254.png]

2.1.2、应用安全

应用安全绝对是互联网企业安全工作中的重点，也是企业投入资源最多的部分。分为WEB安全和移动安全两个方向，主要围绕SDL和应用层的攻防对抗展开。

[/url]

2.1.3、业务安全（风控）

业务安全（风控）专注于业务层面的安全对抗，是互联网企业安全中非常重要的组成部分，由于受业务特性影响，电商、互联网金融领域更加重视风控，这些企业中风控通常是一个独立的部门，而且汇报级别和权限都比较高。业务安全这块的市场前景广阔，现在不少安全创业公司尝试利用大数据、机器学习、人工智能等新技术来解决业务安全问题。

[url=http://image.3001.net/images/20170204/14861883022571.png]

2.1.4、安全运营

[/url]

2.2、办公网络

2.2.1、基础架构安全

办公网基础架构安全方面，重点要关注边界安全防护，尤其是WIFI和VPN这两个办公网入口的安全性。

[url=http://image.3001.net/images/20170204/14861883287898.png]

2.2.2、内部应用安全

办公网内部应用主要包括OA、企业邮箱、财务、运维及其他内部业务系统。这类系统的主要特点是上线后更新频率低，很多是采购第三方厂商的，还有一些是开源系统。谨记一定不要将内部系统暴露到公网，很多严重的安全事件都是由于将内部业务系统暴露到公网导致的。此外，还要对重要的内部系统做好安全监测，及时发现异常行为。

[/url]

2.2.3、终端安全

这部分工作相对比较简单，主要是终端防病毒、补丁管理、终端安全管控和审计，很多安全厂商都有成熟的产品。对绝大多数互联网公司来讲，都不需要也没有必要自研终端安全产品，直接选型、对比、采购第三方安全厂商的产品就可以搞定。

[url=http://image.3001.net/images/20170204/14861883483408.png]

2.2.4、安全管理

人是整体企业安全体系最薄弱的部分，这一点正被越来越多的企业和安全人员所认识和接受。安全管理侧重于企业人员安全意识的培养和提升，核心价值在于把安全建设成为一种企业文化。

[/url]

2.3、第三方供应商

这部分是之前被很多企业忽视的地方，在和企业合作的第三方合作伙伴中，安全水平也不尽相同，而且这部分通常是不可控的。所以安全团队在有精力和资源的情况下也应该关注下第三方合作伙伴的安全性，避免因第三方合作机构出现安全问题而影响公司业务。

[url=http://image.3001.net/images/20170204/14861883673494.png]

2.4、安全合规

对于企业来讲，如果想要开展某些业务，是需要通过一些安全认证的，比如要申请支付牌照的话，就需要通过PCI DSS认证，还有海外上市也会有一些安全合规上的要求。另外还有一些像ISO 27001、等保之类的需求，每个企业需求不太一样。总体来讲这部分工作侧重于安全合规、审计，这里就不讨论了