压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

 

 

安全的目的

互聯(lián)網(wǎng)公司為什么需要安全？大家可能會(huì)覺得問的這個(gè)問題這么傻，安全問題不是很明白的一件事兒嗎？肯定都需要安全。

我們需要靜下心來想想為什么要做安全。做安全無非是做兩件事情，一是保證公司自身資產(chǎn)不受到損害，二是讓公司用戶自身的資產(chǎn)不受到損害，總的來說都是我們公司資產(chǎn)的東西。我們做安全的主要目的在于，要保護(hù)資產(chǎn)不受到損失。

知道自己有什么？我們公司的資產(chǎn)到底有什么，用戶的資產(chǎn)到底有什么，用戶的數(shù)據(jù)還是公司有服務(wù)器等等。我們要保護(hù)的對象首先要搞清楚。

接下來知道自己能做什么，圍繞保護(hù)對象我們要做什么呢？應(yīng)用層有WAF，網(wǎng)絡(luò)層有防火墻，對資產(chǎn)保護(hù)能力要能理清楚。

知道自己哪兒有問題，這一般是通過滲透測試，白帽子提交的漏洞，要搞清楚我們自身安全建設(shè)或安全能力哪些存在薄弱環(huán)節(jié)。

知道自己哪兒有問題之后，還得知道之自己的問題怎么解決。

作為甲方首先要弄明白四點(diǎn)，知道自己需要保護(hù)什么，自己有什么樣的能力，知道自己哪兒有問題，知道這些問題怎么樣解決。

安全的任務(wù)。

知己知彼，百戰(zhàn)不殆，彼是對我們要保護(hù)的對象，對自己也要有清晰的認(rèn)識。

互聯(lián)網(wǎng)公司有這樣的特點(diǎn)，發(fā)展的非常迅速，如果一開始把安全的攤子支的太大，我們公司在安全上的投入，會(huì)給人感覺，我們安全上做了投入之后但成效布告，我并沒有感覺到安全上做了投入給公司帶來什么樣的收益。慢慢公司業(yè)務(wù)起來了，發(fā)展得非常快，這時(shí)候安全沒有跟上，到時(shí)候又會(huì)產(chǎn)生很多的安全問題。

面臨這種情況，安全問題怎么做呢？像更山一樣，拾級而上，一步步來做，一開始先定個(gè)小目標(biāo)，我們先有什么東西，隨著公司業(yè)務(wù)慢慢做開，我們再把安全的東西慢慢補(bǔ)上去，簡而言之，就是拾級而上，一步步來做。

安全怎么做。

技術(shù)，分為辦公區(qū)、IDC。

管理，SDL、網(wǎng)絡(luò)安全法、合規(guī)性建設(shè)、安全培訓(xùn)、安全管理等。

辦公區(qū)。

大部分甲方公司都比較忽視，忽視的原因無外乎，比如我經(jīng)常一個(gè)人宅在家里，怎么會(huì)知道我家里哪兒可能會(huì)出現(xiàn)安全隱患，我天天在家不可能有賊進(jìn)來。辦公區(qū)也一樣，我們天天都在工作，天天都有人，認(rèn)為不可能出現(xiàn)什么安全問題。但辦公區(qū)的問題往往會(huì)造成嚴(yán)重后果的地方。辦公區(qū)需要處理的問題主要包括終端和網(wǎng)絡(luò)。

終端，一般會(huì)出現(xiàn)的問題是，不裝殺毒軟件、不打補(bǔ)丁，亂傳文件。網(wǎng)絡(luò)管理就是有些員工喜歡看視頻，下載站用大量帶寬，私搭Wi-Fi熱點(diǎn)，這種情況在甲方公司非常常見。針對這些問題怎么解決呢？我這算解決的一個(gè)思路。

終端管理要防病毒、數(shù)據(jù)防泄密、補(bǔ)丁管理等8點(diǎn)，是非常緊急的，做安全建設(shè)必須一開始要下手做的。標(biāo)黃的是隨著安全建設(shè)到一定程度之后慢慢做跟進(jìn)，藍(lán)色是相對不是那么重要。

紅色——防病毒、數(shù)據(jù)防泄密甲方一般比較重視，裝殺毒軟件、上DLP，我們一般都會(huì)有這種意識去做。主要提到補(bǔ)丁管理和資產(chǎn)管理。說到補(bǔ)丁感覺不得不說到WannaCry事件，給所有的甲方安全敲響了警鐘。WannaCry這個(gè)事情所利用的漏洞MS-17010其實(shí)微軟早在3月份就發(fā)了補(bǔ)丁了，正常的員工電腦都跟著更新，每個(gè)月補(bǔ)丁都打上的話，WannaCry不會(huì)對我們有影響。恰恰有些員工忽視了這個(gè)漏洞的重要性，覺得打補(bǔ)丁會(huì)對電腦拖慢，容易死機(jī)，就不打，最后中趙了，結(jié)果就是得不償失。統(tǒng)一的補(bǔ)丁管理對甲方來說是非常重要的。資產(chǎn)對公司來說也非常重要，作為一家公司不知道你電腦上裝了多少終端，終端里裝了什么東西都不知道的話，做安全會(huì)非常得吃力。所以，資產(chǎn)管理做安全時(shí)是基本的工作，一定要捋清楚。

黃色——軟件管理和脆弱性掃描。

藍(lán)色——無響應(yīng)終端管理、介質(zhì)管理。無響應(yīng)終端管理，現(xiàn)在大部分公司都有網(wǎng)絡(luò)打印機(jī)、攝像頭設(shè)備，我們多覺得這種設(shè)備會(huì)有什么樣的影響呢？去年美國那邊就爆發(fā)了一個(gè)事件，利用IoT設(shè)備打DDoS，這個(gè)事件也給我們敲響了警鐘，利用攝像頭、打印機(jī)這種物聯(lián)網(wǎng)設(shè)備做網(wǎng)絡(luò)攻擊已經(jīng)不再是空談，是完全有可能實(shí)現(xiàn)的。在無響應(yīng)終端上，如果公司安全做到一定程度時(shí)需要考慮做這個(gè)事情。

網(wǎng)絡(luò)層面相對少一些，主要是有準(zhǔn)入上網(wǎng)行為管理、Wi-Fi熱點(diǎn)管理等總共6個(gè)方面，上網(wǎng)行為管理，Wi-Fi、VPN、防火墻四點(diǎn)是比較重要的。上網(wǎng)行為管理和Wi-Fi熱點(diǎn)管理，上網(wǎng)行為管理大部分甲方公司都會(huì)做這些事情，主要防止一些人在上班辦公期間上網(wǎng)不規(guī)矩，下載開一些視頻，導(dǎo)致整個(gè)辦公區(qū)網(wǎng)絡(luò)拖慢，上網(wǎng)行為管理，為了保證公司的辦公質(zhì)量這是必要的。萬一哪天辦公區(qū)有個(gè)人搞了一件不好的事情，發(fā)了一個(gè)不好的言論，我們需要做審計(jì)和追溯時(shí)這個(gè)東西是非常有用的，它能給我們提供非常有力的證據(jù)，也是需要非常必要的審計(jì)設(shè)備。

Wi-Fi熱點(diǎn)管理，很多員工喜歡私搭熱點(diǎn)，做滲透都知道，私搭熱點(diǎn)往往會(huì)包括滲透點(diǎn)，我私搭熱點(diǎn)，如果有密碼直接通過Wi-Fi就打到內(nèi)網(wǎng)去的，這不是一句空談，對私搭的Wi-Fi熱點(diǎn)一定要禁止，不能讓它存在這個(gè)地方。

VPN，一般公司做網(wǎng)絡(luò)時(shí)肯定會(huì)做。

準(zhǔn)入為什么不是很重要呢？等到我們公司大到一定程度時(shí)可以規(guī)定，哪些電腦允許訪問哪些區(qū)域，允許訪問內(nèi)網(wǎng)還是允許訪問外網(wǎng)，允許訪問內(nèi)網(wǎng)是訪問哪些網(wǎng)段，這是發(fā)展初期。發(fā)展中期，如果沒有說清楚，準(zhǔn)入不是很重要。態(tài)勢感知，很多專家提高態(tài)勢感知，我認(rèn)為，作為初創(chuàng)型企業(yè)或小公司一開始上來就做這個(gè)的話，投入巨大，而且沒有什么收益的東西。但態(tài)勢感知未來一定是安全發(fā)展的趨勢。所以，態(tài)勢感知固然好，但不要一上來就做。

辦公區(qū)的安全我寫了一首打油詩：病毒需要防，泄密不能忘，補(bǔ)丁要管理，資產(chǎn)莫彷徨，上網(wǎng)有管理，Wi-Fi能約束，專網(wǎng)火墻起，辦公把心放。

把這些做到基本能做到辦公區(qū)管理80%的健康度。

IDC。

IDC往往是我們安全工作當(dāng)中的重中之重，相信甲方做安全的都有這種體會(huì)。它分5個(gè)層面來解決：數(shù)據(jù)層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層、Web網(wǎng)絡(luò)。

IDC安全建設(shè)有哪些困難？

數(shù)據(jù)層，甲方做網(wǎng)絡(luò)經(jīng)常會(huì)說我們數(shù)據(jù)庫被人脫了。或者網(wǎng)絡(luò)工程師提意見，我們公司好像被DDoS了，甚至系統(tǒng)運(yùn)維人員過來告訴你，我們系統(tǒng)被種了木馬，你們安全人員去解決吧。還有客戶會(huì)問一個(gè)問題，你們首頁怎么被篡改了。這是應(yīng)用層面，所謂IDC機(jī)房會(huì)遇到的一些問題。怎么解決這些問題呢？一層層來說事兒。

數(shù)據(jù)層。

互聯(lián)網(wǎng)核心層是數(shù)據(jù)，對數(shù)據(jù)層進(jìn)行保護(hù)的話，要解決兩個(gè)問題。

1、如果我的數(shù)據(jù)被竊取了，我要知道，通過數(shù)據(jù)要審計(jì)得到，發(fā)生這樣的安全事件。

2、保證我的數(shù)據(jù)被竊取了，拿走了以后那個(gè)人用不了。我的數(shù)據(jù)是脫敏的或者被加密的數(shù)據(jù)。圍繞這兩個(gè)問題，數(shù)據(jù)層安全建設(shè)要做這兩個(gè)層面，數(shù)據(jù)加密和數(shù)據(jù)庫審計(jì)，相對數(shù)據(jù)庫審計(jì)重要一些。

網(wǎng)絡(luò)層。

數(shù)據(jù)層再往上就到了網(wǎng)絡(luò)層，主要做的工作就是防火墻、抗DDoS（紅色），防火墻沒有什么問題，出于成本的考慮DDoS做的少一些。我認(rèn)為，如果公司剛在起步期可以先省一省，如果公司發(fā)展得非常快，抗DDoS這個(gè)事情一定不能省。因?yàn)楝F(xiàn)在針對DDoS攻擊防御沒有什么特別好的辦法，我們能做的要么像運(yùn)營商，哪個(gè)IP攻擊DDoS我封了它。要么像阿里云盾那種做法，很多IDC機(jī)房我們做引流，把流量分出去，吸好我們再弄回來。不管怎么樣，抗DDoS一定要有。

網(wǎng)絡(luò)設(shè)備的監(jiān)控（黃色），主要是指交換機(jī)，一定要知道，發(fā)現(xiàn)了異常，比如交換機(jī)莫名其妙當(dāng)機(jī)或怎么回事，我們一定要知道，網(wǎng)絡(luò)設(shè)備監(jiān)控我認(rèn)為也是比較重要的。

流量監(jiān)測（藍(lán)色），在網(wǎng)絡(luò)輸入口我們部署一些流量探針，通過這些流量探針，在流量里檢測一些攻擊行為。我個(gè)人認(rèn)為，也是投入大，但收益比較小的東西，在安全建設(shè)比較完備的時(shí)候，這個(gè)東西會(huì)有助于你發(fā)現(xiàn)一些未知的攻擊行為，初期這些東西我個(gè)人認(rèn)為沒有什么太大的必要。

主機(jī)層。

主要是計(jì)算機(jī)，面臨的安全問題比較類似，主機(jī)這一層所做的工作也都大差不差。提到8個(gè)層面：資產(chǎn)審計(jì)、主機(jī)監(jiān)控、防病毒、異常行為審計(jì)、文件審計(jì)、脆弱性掃描、訪問控制、安全加固。

脆弱性掃描，主機(jī)層面的脆弱性掃描就是針對系統(tǒng)漏洞用掃描器對漏洞進(jìn)行及時(shí)發(fā)現(xiàn)和修復(fù)。如果有這項(xiàng)工作，像WannaCry事件以后對我們的影響會(huì)越來越小，如果我們有這樣的東西并及時(shí)修復(fù)的話，以后再出現(xiàn)這種問題可能我們就不再懼怕它了。

訪問控制，我認(rèn)為這非常容易理解，在一個(gè)公司里所有服務(wù)器并不是所有人員都有權(quán)限訪問，并不是所有訪問這個(gè)服務(wù)器的人員都有root權(quán)限或者admin權(quán)限。訪問控制一定要做好，做好訪問控制可以省去一大堆的安全隱患。據(jù)我了解，很多在內(nèi)部網(wǎng)絡(luò)出現(xiàn)問題都是他們權(quán)限設(shè)置做得不到位，導(dǎo)致比如root帳戶被一個(gè)開發(fā)碼盜了，開發(fā)的不太懂系統(tǒng)，上去瞎調(diào)一通，把機(jī)器搞當(dāng)機(jī)了，這種情況是經(jīng)常有的，所以訪問控制、權(quán)限控制一定要做好。

異常行為升級，做主機(jī)安全，我認(rèn)為主機(jī)往往是黑客的一個(gè)目標(biāo)，如果我們想判斷有沒有受到黑客的攻擊，主機(jī)異常肯定是個(gè)非常直接的反應(yīng)，如果我主機(jī)存在一些異常進(jìn)程，比如我主機(jī)反彈了一個(gè)shell出來，它肯定是被黑了。異常審計(jì)是非常重要的，有日常行為監(jiān)控和系統(tǒng)日志審計(jì)。日志審計(jì)來說，也是安全發(fā)展到一定階段之后我們要做的一件事情，但它非常重要，能很大程度增強(qiáng)我們安全健壯性。

安全加固，我為什么沒有給特別要緊的位置呢？我們甲方做工作有這樣的心得體會(huì)，一個(gè)機(jī)器有高危漏洞，我要打補(bǔ)丁，可能要重啟服務(wù)器，一重啟服務(wù)器可能業(yè)務(wù)就要斷，所以一般打補(bǔ)丁來修復(fù)漏洞，我們甲方一般不會(huì)采取這種方式來修復(fù)的。我們做安全加固往往會(huì)在應(yīng)用層或網(wǎng)絡(luò)層的安全設(shè)備上做一些配置，來對我的主機(jī)進(jìn)行安全加固，而不會(huì)采取打補(bǔ)丁的手段。安全加固我標(biāo)的黃線的意思是，安全加固是重要的，但做得肯定會(huì)落實(shí)不到位，安全加固就相對不是那么得重要。

應(yīng)用層

主要是應(yīng)用層防護(hù)、抗DDoS、漏洞掃描、防APT、防未知威脅、業(yè)務(wù)安全。我認(rèn)為重要的是應(yīng)用層防護(hù)、抗DDoS、業(yè)務(wù)安全。應(yīng)用層防護(hù)我們會(huì)做WAF，應(yīng)用層防護(hù)重要的設(shè)備，應(yīng)用層抗DDoS是用CC攻擊，這和網(wǎng)絡(luò)層打流量攻擊是不同的，主要是發(fā)起大量的并發(fā)請求，把你的業(yè)務(wù)給打癱，但它的防護(hù)手段肯定和網(wǎng)絡(luò)層的抗DDoS是有區(qū)別的。

業(yè)務(wù)安全，今天的論壇是云安全和電商安全論壇，現(xiàn)在越來越多的黑客關(guān)注這個(gè)層面的問題，比如“羊毛黨”、“盜刷洗錢”，他們的目的不是你的服務(wù)器，而是用你的業(yè)務(wù)來賺錢，做黑產(chǎn)。所以，業(yè)務(wù)安全這些年逐漸上升為網(wǎng)絡(luò)安全層面算是最重要的問題。業(yè)務(wù)安全要做的話，我認(rèn)為兩個(gè)工作一定要做好，一是反欺詐，二是數(shù)據(jù)風(fēng)控，二是綠網(wǎng)，就是反動(dòng)信息過濾。

應(yīng)用層的漏掃，我們一般在WAF后面，WAF不進(jìn)行防護(hù)的時(shí)候我們也做一些業(yè)務(wù)進(jìn)行漏洞掃描，即使發(fā)現(xiàn)業(yè)務(wù)層面出現(xiàn)的漏洞，因?yàn)樗贿^WAF，所以發(fā)現(xiàn)非常直接，發(fā)現(xiàn)漏洞我們可以用開發(fā)機(jī)制去修復(fù)。

防APT和防未知威脅大部分做法是基于大數(shù)據(jù)和威脅情報(bào)來做，和之前一樣，也是前期沒必要做，但做到后期一定要做的一個(gè)事情。

外部網(wǎng)絡(luò)是脆弱性掃描、安全測試和威脅情報(bào)。脆弱性掃描是指WAF外面一定要布置一個(gè)掃描器，WAF外面布入掃描器有什么作用呢？它的作用是查缺補(bǔ)漏，意思是，我們在外網(wǎng)對域名或IP段做掃描，用來發(fā)現(xiàn)那些我們沒有在WAF保護(hù)下的業(yè)務(wù)，如果我們發(fā)現(xiàn)了一個(gè)趕快調(diào)整一下策略，讓它在WAF后面，別讓這些業(yè)務(wù)萬一存在漏洞，成為黑客的一個(gè)入口。現(xiàn)在黑客攻擊一般不會(huì)攻擊門戶，公司主戰(zhàn)等主要業(yè)務(wù)網(wǎng)站，他心里清楚肯定是防護(hù)非常嚴(yán)的地方。他選擇的一定是計(jì)較旮旯，邊邊角角的地方，怎么查這些東西，就是在WAF外面不止一臺掃描器，讓它查，查出來就放在安全機(jī)制的后面。

安全測試（紅色），如果我們公司自建團(tuán)隊(duì)，外包，就是買安全團(tuán)隊(duì)測試服務(wù)。我們有掃描器掃漏洞，為什么還用安全漏洞呢？業(yè)務(wù)邏輯上的漏洞其實(shí)是漏洞掃描器掃不出來的，我們需要人員去找，找到一個(gè)掃描一個(gè)，這是安全測試的意義。

掃描和安全測試之后，第三項(xiàng)是威脅情報(bào)（黃色），最近這幾年甲方安全比較火的一個(gè)層面，比較典型的是各大安全網(wǎng)站的安全信息，各大漏洞平臺上面漏洞的披露，比如現(xiàn)在補(bǔ)天和阿里的先知計(jì)劃，然后是SRC、應(yīng)急響應(yīng)。這里面所有的工作都是想借助外部力量告訴我們安全還有哪兒做得不夠，哪兒還有問題。借用外部力量提升我們自身的安全水平，這是外部網(wǎng)絡(luò)所做的工作。威脅情報(bào)，相對以前的脆弱性掃描和安全測試的重要性相對一些。

IDC安全建設(shè)。橫軸表示重要性，縱軸是緊急行（圖），為什么重要性高的反而緊急性不高？比如數(shù)據(jù)層，它是公司的核心資產(chǎn)，肯定是最重要的，為什么緊急性不高呢？正因?yàn)樗匾詫λ谋Ｗo(hù)在外部網(wǎng)絡(luò)層、主機(jī)層應(yīng)用層、網(wǎng)絡(luò)層層層設(shè)卡，黑客竊取我的數(shù)據(jù)至少要繞過前面四道管卡才能對數(shù)據(jù)層的數(shù)據(jù)進(jìn)行竊取。所以，我們對數(shù)據(jù)層的保護(hù)為什么不緊急，因?yàn)榘阉木o急性轉(zhuǎn)化到前面幾層安全上去了。

安全管理。

它既是一門藝術(shù)也是一種責(zé)任。不管出了什么事兒，安全總有自己該背鍋的時(shí)候。做安全管理主要有以下三個(gè)點(diǎn)：SDL、合規(guī)性建設(shè)、安全培訓(xùn)。

管理容易出現(xiàn)的問題，一個(gè)常見的場景，比如現(xiàn)在一個(gè)業(yè)務(wù)要上線，開發(fā)把這個(gè)代碼提交到運(yùn)維這邊要上線。運(yùn)維說打住，你這個(gè)代碼我檢查出來有個(gè)非常嚴(yán)重的問題，你需要打回去修。這個(gè)開發(fā)人員就說，我們這個(gè)業(yè)務(wù)領(lǐng)導(dǎo)要求明天必須要上線，要搞活動(dòng)，如果今天晚上不上線，活動(dòng)明天就搞不了，你說耽誤公司賺錢，你一個(gè)安全工程師擔(dān)當(dāng)?shù)闷疬@個(gè)責(zé)任嗎？安全工程師可能會(huì)說，你這個(gè)業(yè)務(wù)有漏洞，萬一明天有人利用這個(gè)漏洞把我們公司黑掉了，造成的損失你一個(gè)開發(fā)賠得起嗎？這是很常見的場景，管理上的問題就是公說公有理，婆說婆有理，反正安全說服不了開發(fā)，開發(fā)也說服不了安全，兩個(gè)人就僵在那里。所以，怎么要讓安全懂得開發(fā)的難處，也要讓開發(fā)理解安全的辛苦呢？

解決之道，兩條路：事件驅(qū)動(dòng)，潛移默化。事件驅(qū)動(dòng)，是指我們抓住可以利用的事件告訴開發(fā)或安全人員，讓他們提高安全意識，提高對安全工作的認(rèn)可度。前段時(shí)間WannaCry例子，這個(gè)事件爆發(fā)出來之后，對網(wǎng)絡(luò)公司來講，對終端安全的認(rèn)識度一下提高了不少，最起碼大家要知道要打補(bǔ)丁了。潛移默化這個(gè)事情，對安全這個(gè)事情我們不能一刀切，不能說上級領(lǐng)導(dǎo)給我定下來一個(gè)任務(wù)，我們硬推下去。安全工作實(shí)際是給開發(fā)者業(yè)務(wù)使半子的工作，如果硬推下去肯定是不合適的，所以要講事件驅(qū)動(dòng)，潛移默化，我們要慢慢地來，溫水煮青蛙。

SDL

很多人可能做這個(gè)事情，大部分的做法是先出一個(gè)流程，領(lǐng)導(dǎo)一簽字我們推下去，結(jié)果推半天推不動(dòng)，這個(gè)事情就荒廢了。我們公司做這個(gè)事情兩個(gè)點(diǎn)，一是業(yè)務(wù)邏輯梳理，二是漏洞管理制度，業(yè)務(wù)邏輯梳理，是把所有的網(wǎng)站功能點(diǎn)理清楚，知道這個(gè)網(wǎng)站是干什么的，實(shí)現(xiàn)這個(gè)功能怎么做的。漏洞管理，就是這個(gè)網(wǎng)站存在的問題要給它管理起來，把這個(gè)漏洞落實(shí)到每個(gè)工程師身上，你要來修這個(gè)漏洞，你不修我對你有懲罰，我們要罰錢，一個(gè)高危漏洞要罰100元。這兩項(xiàng)工作落實(shí)之后，就是軟件開發(fā)生命周期制度，SDL流程就有了。有了這個(gè)流程之后，這三項(xiàng)工作就配合慢慢運(yùn)轉(zhuǎn)起來。如果害怕有些人不太遵守流程的話就開發(fā)類似平臺化的工具，在平臺上把流程自動(dòng)化地遵守好，自動(dòng)地遵守SDL，這比強(qiáng)推式的好很多。

合規(guī)性建設(shè)

主要是指等保，大部分甲方公司在做安全時(shí)都會(huì)考慮做等保的問題，等保比較多。這里有基本技術(shù)（藍(lán)色）、網(wǎng)絡(luò)安全法、基本管理（紅色），基本技術(shù)前面都做到，大部分基本技術(shù)都能滿足要求。基本管理有三項(xiàng)是最重要的（紅色），一是安全管理機(jī)構(gòu)，公司層面一定要把安全工作提到一定的位置上，比如國家想做安全，習(xí)近平掛帥安全領(lǐng)導(dǎo)小組的組長，這樣安全工作就重視起來了；二是系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，這兩個(gè)制度就是告訴開發(fā)和運(yùn)維怎么樣做是正確的，對他們來說安全操作手冊。人員安全管理，入職手段要有制度約束它。這四個(gè)制度有了之后最后我們修補(bǔ)邊邊角角，比如數(shù)據(jù)庫變更流程、數(shù)據(jù)庫管理邊邊角角一補(bǔ)，我們完整的安全體系就建立起來了。

《網(wǎng)絡(luò)安全法》是今年6月份新出臺的東西，詳細(xì)司法解釋還沒有出來，我相信司法解釋出來之后這也會(huì)成為合規(guī)性建設(shè)中非常重要的環(huán)節(jié)。

安全培訓(xùn)。

主要是員工安全意識，這個(gè)培訓(xùn)重中之重，不管是買第三方培訓(xùn)還是我們自己的人來做，要不停地做，反復(fù)地做，洗腦式的灌輸，讓員工明白這個(gè)安全非常重要。如果以后還有能力或有精力的話還可以做安全開發(fā)和安全技能培訓(xùn)，安全開發(fā)是針對開發(fā)人員，安全技能培訓(xùn)是針對技術(shù)人員，培養(yǎng)安全工程師的能力，保衛(wèi)我們的安全。

簡單來講，安全管理就是一個(gè)中心（SDL），兩個(gè)基本點(diǎn)（合規(guī)性建設(shè)+安全培訓(xùn)），最重要讓公司安全建設(shè)符合合規(guī)性建設(shè)的要求，并按照合規(guī)性建設(shè)的要求執(zhí)行下去，這是安全管理的最終目的。

安全的使命。

之前這個(gè)問題是領(lǐng)導(dǎo)拋給我的，說你認(rèn)為安全的使命是什么？我一開始覺得安全做到保障公司資產(chǎn)安全不就OK了嗎？后來隨著一系列安全事件發(fā)生和一些人聊過天之后，慢慢我發(fā)現(xiàn)，安全不僅僅是個(gè)公司信息資產(chǎn)的保障，更是一個(gè)公司品牌的證明。舉例，我們選購VPS時(shí)都傾向選擇阿里云，因?yàn)榘⒗镌频陌踩龅煤茫踩斜Ｕ希矣盟姆?wù)器放心我就用阿里云，這是簡單的邏輯。這是阿里云做安全給他的品牌帶來的效應(yīng)。

我相信不久的未來，安全一定會(huì)成為一個(gè)公司的核心競爭力，我們公司在對比技術(shù)上的能力時(shí)，安全未來肯定會(huì)作為一個(gè)能力擺在臺面來說的，而不是現(xiàn)在安全更像是個(gè)附加的產(chǎn)品。

謝謝！

主持人：感謝李總精彩演講，剛才提到，我也記了很多，我在這里也簡單跟大家說幾個(gè)，李總提到DDoS，游戲公司最怕這個(gè)，以前互聯(lián)網(wǎng)電商可能沒有感受到，現(xiàn)在電商公司慢慢感受到了，因?yàn)橛写蟠倭耍R上就要“6·18”了，以前還有“雙十一”，我看還出來5·18”，各種各樣的大促越來越多。活動(dòng)出來之后，這種DDoS的事情肯定是難免的，這上面非常需要落地方案。我們的理念，我們也會(huì)慢慢灌輸公司CTO體系，這個(gè)DDoS攻擊，不是我們現(xiàn)在有防護(hù)就OK了，我的感覺就應(yīng)當(dāng)像測試一樣，功能測試、性能測試、自動(dòng)化，應(yīng)該慢慢成為開發(fā)生命周期當(dāng)中的一部分，我上一個(gè)什么樣的業(yè)務(wù)，上去之后必須要滿足多大量的攻擊，什么類型的攻擊。后面我們一個(gè)理念，就是把DDoS演變測試變成例行檢測。

剛才李總提到整體事件驅(qū)動(dòng)，其實(shí)在于有些公司沒有辦法，我們當(dāng)初也是一點(diǎn)點(diǎn)這樣過來的。初期時(shí)，事件驅(qū)動(dòng)是最好的一種方式，京東現(xiàn)在這個(gè)規(guī)模，事件驅(qū)動(dòng)就需要往后放放了。大家在做安全時(shí)，事件驅(qū)動(dòng)可以是個(gè)方法，這個(gè)過程中，我們還加了一些點(diǎn)，把整個(gè)事件驅(qū)動(dòng)的事件全部轉(zhuǎn)化為現(xiàn)金。出現(xiàn)這個(gè)事件之后你給京東損失多少錢，按這個(gè)方法做。

SDL，我們從去年到現(xiàn)在也在做這個(gè)，很多人都在提，國內(nèi)SDL到底能不能做成？也在考慮這個(gè)事情。很多人說合規(guī)這個(gè)東西到底有用沒用，是不是貼好就完了。其實(shí)這里面有很多靈活點(diǎn)。京東做SDL時(shí)，剛才李總提到這個(gè)思路還是很好的，我們也基本上按照這樣的思路，但我加進(jìn)去一個(gè)東西，我給每個(gè)部門施以“問診”模式去做的，比如各個(gè)部門做之前，會(huì)把他們部門出的安全風(fēng)險(xiǎn)拿出來，他們部門安全風(fēng)險(xiǎn)有什么背景，每個(gè)人員以前經(jīng)受過這樣的安全培訓(xùn)沒有？他們的安全風(fēng)險(xiǎn)以前是由于失誤導(dǎo)致的還是由于安全意識導(dǎo)致的，全部給他分析出來，最終分析出來，它會(huì)有一個(gè)打分的，比如這個(gè)部門出來有60分，我會(huì)告訴他SDL確實(shí)在哪塊了，告訴他老板達(dá)到多少分，最后告訴他哪個(gè)階段應(yīng)該怎么做，每個(gè)階段像快速培訓(xùn)一樣，我們每一個(gè)階段是兩周，做完之后會(huì)有一個(gè)考核，這需要一些靈活的方式。

李總最后提到安全意識，這是很重要的。說白了現(xiàn)在已經(jīng)灌輸?shù)轿覀僀EO層面了，這是怎么灌輸?shù)模稽c(diǎn)點(diǎn)地讓京東每個(gè)角落全部都是信息安全，每天都在關(guān)注，甚至到廁所看小報(bào)都是安全，沒辦法，這需要一點(diǎn)點(diǎn)灌輸這個(gè)東西。還需要一個(gè)強(qiáng)有力的東西，我們現(xiàn)在有個(gè)安全委員會(huì)，最高的leader是老劉，如果要把安全做好，這兩個(gè)東西哪一個(gè)都是缺不了的。