压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

 

 

安全的目的

互聯網公司為什么需要安全？大家可能會覺得問的這個問題這么傻，安全問題不是很明白的一件事兒嗎？肯定都需要安全。

我們需要靜下心來想想為什么要做安全。做安全無非是做兩件事情，一是保證公司自身資產不受到損害，二是讓公司用戶自身的資產不受到損害，總的來說都是我們公司資產的東西。我們做安全的主要目的在于，要保護資產不受到損失。

知道自己有什么？我們公司的資產到底有什么，用戶的資產到底有什么，用戶的數據還是公司有服務器等等。我們要保護的對象首先要搞清楚。

接下來知道自己能做什么，圍繞保護對象我們要做什么呢？應用層有WAF，網絡層有防火墻，對資產保護能力要能理清楚。

知道自己哪兒有問題，這一般是通過滲透測試，白帽子提交的漏洞，要搞清楚我們自身安全建設或安全能力哪些存在薄弱環節。

知道自己哪兒有問題之后，還得知道之自己的問題怎么解決。

作為甲方首先要弄明白四點，知道自己需要保護什么，自己有什么樣的能力，知道自己哪兒有問題，知道這些問題怎么樣解決。

安全的任務。

知己知彼，百戰不殆，彼是對我們要保護的對象，對自己也要有清晰的認識。

互聯網公司有這樣的特點，發展的非常迅速，如果一開始把安全的攤子支的太大，我們公司在安全上的投入，會給人感覺，我們安全上做了投入之后但成效布告，我并沒有感覺到安全上做了投入給公司帶來什么樣的收益。慢慢公司業務起來了，發展得非?？?，這時候安全沒有跟上，到時候又會產生很多的安全問題。

面臨這種情況，安全問題怎么做呢？像更山一樣，拾級而上，一步步來做，一開始先定個小目標，我們先有什么東西，隨著公司業務慢慢做開，我們再把安全的東西慢慢補上去，簡而言之，就是拾級而上，一步步來做。

安全怎么做。

技術，分為辦公區、IDC。

管理，SDL、網絡安全法、合規性建設、安全培訓、安全管理等。

辦公區。

大部分甲方公司都比較忽視，忽視的原因無外乎，比如我經常一個人宅在家里，怎么會知道我家里哪兒可能會出現安全隱患，我天天在家不可能有賊進來。辦公區也一樣，我們天天都在工作，天天都有人，認為不可能出現什么安全問題。但辦公區的問題往往會造成嚴重后果的地方。辦公區需要處理的問題主要包括終端和網絡。

終端，一般會出現的問題是，不裝殺毒軟件、不打補丁，亂傳文件。網絡管理就是有些員工喜歡看視頻，下載站用大量帶寬，私搭Wi-Fi熱點，這種情況在甲方公司非常常見。針對這些問題怎么解決呢？我這算解決的一個思路。

終端管理要防病毒、數據防泄密、補丁管理等8點，是非常緊急的，做安全建設必須一開始要下手做的。標黃的是隨著安全建設到一定程度之后慢慢做跟進，藍色是相對不是那么重要。

紅色——防病毒、數據防泄密甲方一般比較重視，裝殺毒軟件、上DLP，我們一般都會有這種意識去做。主要提到補丁管理和資產管理。說到補丁感覺不得不說到WannaCry事件，給所有的甲方安全敲響了警鐘。WannaCry這個事情所利用的漏洞MS-17010其實微軟早在3月份就發了補丁了，正常的員工電腦都跟著更新，每個月補丁都打上的話，WannaCry不會對我們有影響。恰恰有些員工忽視了這個漏洞的重要性，覺得打補丁會對電腦拖慢，容易死機，就不打，最后中趙了，結果就是得不償失。統一的補丁管理對甲方來說是非常重要的。資產對公司來說也非常重要，作為一家公司不知道你電腦上裝了多少終端，終端里裝了什么東西都不知道的話，做安全會非常得吃力。所以，資產管理做安全時是基本的工作，一定要捋清楚。

黃色——軟件管理和脆弱性掃描。

藍色——無響應終端管理、介質管理。無響應終端管理，現在大部分公司都有網絡打印機、攝像頭設備，我們多覺得這種設備會有什么樣的影響呢？去年美國那邊就爆發了一個事件，利用IoT設備打DDoS，這個事件也給我們敲響了警鐘，利用攝像頭、打印機這種物聯網設備做網絡攻擊已經不再是空談，是完全有可能實現的。在無響應終端上，如果公司安全做到一定程度時需要考慮做這個事情。

網絡層面相對少一些，主要是有準入上網行為管理、Wi-Fi熱點管理等總共6個方面，上網行為管理，Wi-Fi、VPN、防火墻四點是比較重要的。上網行為管理和Wi-Fi熱點管理，上網行為管理大部分甲方公司都會做這些事情，主要防止一些人在上班辦公期間上網不規矩，下載開一些視頻，導致整個辦公區網絡拖慢，上網行為管理，為了保證公司的辦公質量這是必要的。萬一哪天辦公區有個人搞了一件不好的事情，發了一個不好的言論，我們需要做審計和追溯時這個東西是非常有用的，它能給我們提供非常有力的證據，也是需要非常必要的審計設備。

Wi-Fi熱點管理，很多員工喜歡私搭熱點，做滲透都知道，私搭熱點往往會包括滲透點，我私搭熱點，如果有密碼直接通過Wi-Fi就打到內網去的，這不是一句空談，對私搭的Wi-Fi熱點一定要禁止，不能讓它存在這個地方。

VPN，一般公司做網絡時肯定會做。

準入為什么不是很重要呢？等到我們公司大到一定程度時可以規定，哪些電腦允許訪問哪些區域，允許訪問內網還是允許訪問外網，允許訪問內網是訪問哪些網段，這是發展初期。發展中期，如果沒有說清楚，準入不是很重要。態勢感知，很多專家提高態勢感知，我認為，作為初創型企業或小公司一開始上來就做這個的話，投入巨大，而且沒有什么收益的東西。但態勢感知未來一定是安全發展的趨勢。所以，態勢感知固然好，但不要一上來就做。

辦公區的安全我寫了一首打油詩：病毒需要防，泄密不能忘，補丁要管理，資產莫彷徨，上網有管理，Wi-Fi能約束，專網火墻起，辦公把心放。

把這些做到基本能做到辦公區管理80%的健康度。

IDC。

IDC往往是我們安全工作當中的重中之重，相信甲方做安全的都有這種體會。它分5個層面來解決：數據層、網絡層、主機層、應用層、Web網絡。

IDC安全建設有哪些困難？

數據層，甲方做網絡經常會說我們數據庫被人脫了?；蛘呔W絡工程師提意見，我們公司好像被DDoS了，甚至系統運維人員過來告訴你，我們系統被種了木馬，你們安全人員去解決吧。還有客戶會問一個問題，你們首頁怎么被篡改了。這是應用層面，所謂IDC機房會遇到的一些問題。怎么解決這些問題呢？一層層來說事兒。

數據層。

互聯網核心層是數據，對數據層進行保護的話，要解決兩個問題。

1、如果我的數據被竊取了，我要知道，通過數據要審計得到，發生這樣的安全事件。

2、保證我的數據被竊取了，拿走了以后那個人用不了。我的數據是脫敏的或者被加密的數據。圍繞這兩個問題，數據層安全建設要做這兩個層面，數據加密和數據庫審計，相對數據庫審計重要一些。

網絡層。

數據層再往上就到了網絡層，主要做的工作就是防火墻、抗DDoS（紅色），防火墻沒有什么問題，出于成本的考慮DDoS做的少一些。我認為，如果公司剛在起步期可以先省一省，如果公司發展得非?？?，抗DDoS這個事情一定不能省。因為現在針對DDoS攻擊防御沒有什么特別好的辦法，我們能做的要么像運營商，哪個IP攻擊DDoS我封了它。要么像阿里云盾那種做法，很多IDC機房我們做引流，把流量分出去，吸好我們再弄回來。不管怎么樣，抗DDoS一定要有。

網絡設備的監控（黃色），主要是指交換機，一定要知道，發現了異常，比如交換機莫名其妙當機或怎么回事，我們一定要知道，網絡設備監控我認為也是比較重要的。

流量監測（藍色），在網絡輸入口我們部署一些流量探針，通過這些流量探針，在流量里檢測一些攻擊行為。我個人認為，也是投入大，但收益比較小的東西，在安全建設比較完備的時候，這個東西會有助于你發現一些未知的攻擊行為，初期這些東西我個人認為沒有什么太大的必要。

主機層。

主要是計算機，面臨的安全問題比較類似，主機這一層所做的工作也都大差不差。提到8個層面：資產審計、主機監控、防病毒、異常行為審計、文件審計、脆弱性掃描、訪問控制、安全加固。

脆弱性掃描，主機層面的脆弱性掃描就是針對系統漏洞用掃描器對漏洞進行及時發現和修復。如果有這項工作，像WannaCry事件以后對我們的影響會越來越小，如果我們有這樣的東西并及時修復的話，以后再出現這種問題可能我們就不再懼怕它了。

訪問控制，我認為這非常容易理解，在一個公司里所有服務器并不是所有人員都有權限訪問，并不是所有訪問這個服務器的人員都有root權限或者admin權限。訪問控制一定要做好，做好訪問控制可以省去一大堆的安全隱患。據我了解，很多在內部網絡出現問題都是他們權限設置做得不到位，導致比如root帳戶被一個開發碼盜了，開發的不太懂系統，上去瞎調一通，把機器搞當機了，這種情況是經常有的，所以訪問控制、權限控制一定要做好。

異常行為升級，做主機安全，我認為主機往往是黑客的一個目標，如果我們想判斷有沒有受到黑客的攻擊，主機異?？隙ㄊ莻€非常直接的反應，如果我主機存在一些異常進程，比如我主機反彈了一個shell出來，它肯定是被黑了。異常審計是非常重要的，有日常行為監控和系統日志審計。日志審計來說，也是安全發展到一定階段之后我們要做的一件事情，但它非常重要，能很大程度增強我們安全健壯性。

安全加固，我為什么沒有給特別要緊的位置呢？我們甲方做工作有這樣的心得體會，一個機器有高危漏洞，我要打補丁，可能要重啟服務器，一重啟服務器可能業務就要斷，所以一般打補丁來修復漏洞，我們甲方一般不會采取這種方式來修復的。我們做安全加固往往會在應用層或網絡層的安全設備上做一些配置，來對我的主機進行安全加固，而不會采取打補丁的手段。安全加固我標的黃線的意思是，安全加固是重要的，但做得肯定會落實不到位，安全加固就相對不是那么得重要。

應用層

主要是應用層防護、抗DDoS、漏洞掃描、防APT、防未知威脅、業務安全。我認為重要的是應用層防護、抗DDoS、業務安全。應用層防護我們會做WAF，應用層防護重要的設備，應用層抗DDoS是用CC攻擊，這和網絡層打流量攻擊是不同的，主要是發起大量的并發請求，把你的業務給打癱，但它的防護手段肯定和網絡層的抗DDoS是有區別的。

業務安全，今天的論壇是云安全和電商安全論壇，現在越來越多的黑客關注這個層面的問題，比如“羊毛黨”、“盜刷洗錢”，他們的目的不是你的服務器，而是用你的業務來賺錢，做黑產。所以，業務安全這些年逐漸上升為網絡安全層面算是最重要的問題。業務安全要做的話，我認為兩個工作一定要做好，一是反欺詐，二是數據風控，二是綠網，就是反動信息過濾。

應用層的漏掃，我們一般在WAF后面，WAF不進行防護的時候我們也做一些業務進行漏洞掃描，即使發現業務層面出現的漏洞，因為它不過WAF，所以發現非常直接，發現漏洞我們可以用開發機制去修復。

防APT和防未知威脅大部分做法是基于大數據和威脅情報來做，和之前一樣，也是前期沒必要做，但做到后期一定要做的一個事情。

外部網絡是脆弱性掃描、安全測試和威脅情報。脆弱性掃描是指WAF外面一定要布置一個掃描器，WAF外面布入掃描器有什么作用呢？它的作用是查缺補漏，意思是，我們在外網對域名或IP段做掃描，用來發現那些我們沒有在WAF保護下的業務，如果我們發現了一個趕快調整一下策略，讓它在WAF后面，別讓這些業務萬一存在漏洞，成為黑客的一個入口?，F在黑客攻擊一般不會攻擊門戶，公司主戰等主要業務網站，他心里清楚肯定是防護非常嚴的地方。他選擇的一定是計較旮旯，邊邊角角的地方，怎么查這些東西，就是在WAF外面不止一臺掃描器，讓它查，查出來就放在安全機制的后面。

安全測試（紅色），如果我們公司自建團隊，外包，就是買安全團隊測試服務。我們有掃描器掃漏洞，為什么還用安全漏洞呢？業務邏輯上的漏洞其實是漏洞掃描器掃不出來的，我們需要人員去找，找到一個掃描一個，這是安全測試的意義。

掃描和安全測試之后，第三項是威脅情報（黃色），最近這幾年甲方安全比較火的一個層面，比較典型的是各大安全網站的安全信息，各大漏洞平臺上面漏洞的披露，比如現在補天和阿里的先知計劃，然后是SRC、應急響應。這里面所有的工作都是想借助外部力量告訴我們安全還有哪兒做得不夠，哪兒還有問題。借用外部力量提升我們自身的安全水平，這是外部網絡所做的工作。威脅情報，相對以前的脆弱性掃描和安全測試的重要性相對一些。

IDC安全建設。橫軸表示重要性，縱軸是緊急行（圖），為什么重要性高的反而緊急性不高？比如數據層，它是公司的核心資產，肯定是最重要的，為什么緊急性不高呢？正因為它重要，所以對它的保護在外部網絡層、主機層應用層、網絡層層層設卡，黑客竊取我的數據至少要繞過前面四道管卡才能對數據層的數據進行竊取。所以，我們對數據層的保護為什么不緊急，因為把它的緊急性轉化到前面幾層安全上去了。

安全管理。

它既是一門藝術也是一種責任。不管出了什么事兒，安全總有自己該背鍋的時候。做安全管理主要有以下三個點：SDL、合規性建設、安全培訓。

管理容易出現的問題，一個常見的場景，比如現在一個業務要上線，開發把這個代碼提交到運維這邊要上線。運維說打住，你這個代碼我檢查出來有個非常嚴重的問題，你需要打回去修。這個開發人員就說，我們這個業務領導要求明天必須要上線，要搞活動，如果今天晚上不上線，活動明天就搞不了，你說耽誤公司賺錢，你一個安全工程師擔當得起這個責任嗎？安全工程師可能會說，你這個業務有漏洞，萬一明天有人利用這個漏洞把我們公司黑掉了，造成的損失你一個開發賠得起嗎？這是很常見的場景，管理上的問題就是公說公有理，婆說婆有理，反正安全說服不了開發，開發也說服不了安全，兩個人就僵在那里。所以，怎么要讓安全懂得開發的難處，也要讓開發理解安全的辛苦呢？

解決之道，兩條路：事件驅動，潛移默化。事件驅動，是指我們抓住可以利用的事件告訴開發或安全人員，讓他們提高安全意識，提高對安全工作的認可度。前段時間WannaCry例子，這個事件爆發出來之后，對網絡公司來講，對終端安全的認識度一下提高了不少，最起碼大家要知道要打補丁了。潛移默化這個事情，對安全這個事情我們不能一刀切，不能說上級領導給我定下來一個任務，我們硬推下去。安全工作實際是給開發者業務使半子的工作，如果硬推下去肯定是不合適的，所以要講事件驅動，潛移默化，我們要慢慢地來，溫水煮青蛙。

SDL

很多人可能做這個事情，大部分的做法是先出一個流程，領導一簽字我們推下去，結果推半天推不動，這個事情就荒廢了。我們公司做這個事情兩個點，一是業務邏輯梳理，二是漏洞管理制度，業務邏輯梳理，是把所有的網站功能點理清楚，知道這個網站是干什么的，實現這個功能怎么做的。漏洞管理，就是這個網站存在的問題要給它管理起來，把這個漏洞落實到每個工程師身上，你要來修這個漏洞，你不修我對你有懲罰，我們要罰錢，一個高危漏洞要罰100元。這兩項工作落實之后，就是軟件開發生命周期制度，SDL流程就有了。有了這個流程之后，這三項工作就配合慢慢運轉起來。如果害怕有些人不太遵守流程的話就開發類似平臺化的工具，在平臺上把流程自動化地遵守好，自動地遵守SDL，這比強推式的好很多。

合規性建設

主要是指等保，大部分甲方公司在做安全時都會考慮做等保的問題，等保比較多。這里有基本技術（藍色）、網絡安全法、基本管理（紅色），基本技術前面都做到，大部分基本技術都能滿足要求。基本管理有三項是最重要的（紅色），一是安全管理機構，公司層面一定要把安全工作提到一定的位置上，比如國家想做安全，習近平掛帥安全領導小組的組長，這樣安全工作就重視起來了；二是系統建設管理和系統運維管理，這兩個制度就是告訴開發和運維怎么樣做是正確的，對他們來說安全操作手冊。人員安全管理，入職手段要有制度約束它。這四個制度有了之后最后我們修補邊邊角角，比如數據庫變更流程、數據庫管理邊邊角角一補，我們完整的安全體系就建立起來了。

《網絡安全法》是今年6月份新出臺的東西，詳細司法解釋還沒有出來，我相信司法解釋出來之后這也會成為合規性建設中非常重要的環節。

安全培訓。

主要是員工安全意識，這個培訓重中之重，不管是買第三方培訓還是我們自己的人來做，要不停地做，反復地做，洗腦式的灌輸，讓員工明白這個安全非常重要。如果以后還有能力或有精力的話還可以做安全開發和安全技能培訓，安全開發是針對開發人員，安全技能培訓是針對技術人員，培養安全工程師的能力，保衛我們的安全。

簡單來講，安全管理就是一個中心（SDL），兩個基本點（合規性建設+安全培訓），最重要讓公司安全建設符合合規性建設的要求，并按照合規性建設的要求執行下去，這是安全管理的最終目的。

安全的使命。

之前這個問題是領導拋給我的，說你認為安全的使命是什么？我一開始覺得安全做到保障公司資產安全不就OK了嗎？后來隨著一系列安全事件發生和一些人聊過天之后，慢慢我發現，安全不僅僅是個公司信息資產的保障，更是一個公司品牌的證明。舉例，我們選購VPS時都傾向選擇阿里云，因為阿里云的安全做得好，安全有保障，我用他的服務器放心我就用阿里云，這是簡單的邏輯。這是阿里云做安全給他的品牌帶來的效應。

我相信不久的未來，安全一定會成為一個公司的核心競爭力，我們公司在對比技術上的能力時，安全未來肯定會作為一個能力擺在臺面來說的，而不是現在安全更像是個附加的產品。

謝謝！

主持人：感謝李總精彩演講，剛才提到，我也記了很多，我在這里也簡單跟大家說幾個，李總提到DDoS，游戲公司最怕這個，以前互聯網電商可能沒有感受到，現在電商公司慢慢感受到了，因為有大促了，馬上就要“6·18”了，以前還有“雙十一”，我看還出來5·18”，各種各樣的大促越來越多?；顒映鰜碇?，這種DDoS的事情肯定是難免的，這上面非常需要落地方案。我們的理念，我們也會慢慢灌輸公司CTO體系，這個DDoS攻擊，不是我們現在有防護就OK了，我的感覺就應當像測試一樣，功能測試、性能測試、自動化，應該慢慢成為開發生命周期當中的一部分，我上一個什么樣的業務，上去之后必須要滿足多大量的攻擊，什么類型的攻擊。后面我們一個理念，就是把DDoS演變測試變成例行檢測。

剛才李總提到整體事件驅動，其實在于有些公司沒有辦法，我們當初也是一點點這樣過來的。初期時，事件驅動是最好的一種方式，京東現在這個規模，事件驅動就需要往后放放了。大家在做安全時，事件驅動可以是個方法，這個過程中，我們還加了一些點，把整個事件驅動的事件全部轉化為現金。出現這個事件之后你給京東損失多少錢，按這個方法做。

SDL，我們從去年到現在也在做這個，很多人都在提，國內SDL到底能不能做成？也在考慮這個事情。很多人說合規這個東西到底有用沒用，是不是貼好就完了。其實這里面有很多靈活點。京東做SDL時，剛才李總提到這個思路還是很好的，我們也基本上按照這樣的思路，但我加進去一個東西，我給每個部門施以“問診”模式去做的，比如各個部門做之前，會把他們部門出的安全風險拿出來，他們部門安全風險有什么背景，每個人員以前經受過這樣的安全培訓沒有？他們的安全風險以前是由于失誤導致的還是由于安全意識導致的，全部給他分析出來，最終分析出來，它會有一個打分的，比如這個部門出來有60分，我會告訴他SDL確實在哪塊了，告訴他老板達到多少分，最后告訴他哪個階段應該怎么做，每個階段像快速培訓一樣，我們每一個階段是兩周，做完之后會有一個考核，這需要一些靈活的方式。

李總最后提到安全意識，這是很重要的。說白了現在已經灌輸到我們CEO層面了，這是怎么灌輸的，一點點地讓京東每個角落全部都是信息安全，每天都在關注，甚至到廁所看小報都是安全，沒辦法，這需要一點點灌輸這個東西。還需要一個強有力的東西，我們現在有個安全委員會，最高的leader是老劉，如果要把安全做好，這兩個東西哪一個都是缺不了的。