互联网企业 安全管理“三元”体系
- 来源:互联网经济 smarty:if $article.tag?>
- 关键字:互联网,三元,腾讯,诈骗 smarty:/if?>
- 发布时间:2015-05-04 13:57
优化安全组织架构
互联网领域新业态、新模式不断涌现,信息安全问题也愈加凸显。快速高效的安全组织架构具有扁平化、业务化及专业化特点。
扁平化:减少管理层级,提升沟通和反应效率。目前京东设置两层管理架构,即安全委员会(决策机构)和安全工作组(执行机构),让决策与执行快速高效衔接。
业务化:专业分工,让安全管理与业务线相对应。比如,京东作为全品类综合电商,业务综合而复杂,因此在组织设置上,按照业务类型、部门职能、归属区域等维度分为七大业务线,每条业务线以200:1原则配备安全官,由安全官全权负责本业务线所有安全事宜,包括安全审核、安全开发、安全测试、安全评估、应急响应及安全意识培训等。
专业化:针对新型安全问题,按业务领域划分方向,进行专业研究与处理。比如,启动对于移动安全、智能家居安全、JAVA安全、云安全等新兴领域的研究,第一时间升级相应应急响应机制,制定严格细致的处理流程,针对不同来源、不同级别漏洞设立相应汇报与处理的通道,及时识别和应对风险。
搭建安全决策蜂窝模型
信息安全风险无处不在,风险管控首先需要根据企业特点定位,找准安全方向。“安全决策蜂窝模型”综合了七大决策手段:
战略:服务公司整体战略。深入解构公司战略,评估企业的潜在风险、技术差距及人才储备状况等。
趋势:拥抱技术趋势。趋势的力量是无法抵抗的,快速学习当下热点,如移动安全、智能家居安全等,并及时布局,否则很可能产生灭顶之灾。
影响:评估漏洞影响。单个漏洞背后可能隐藏着更大的风险,应该根据漏洞出现的业务位置、业务来源和漏洞级别,判断是否影响核心业务运行,是否为外部接报漏洞,级别如何等。京东拥有专属漏洞风险分析平台,监控风险及处理紧急事宜。
特征:不同漏洞对症下药。当漏洞发生率飙升不降时,需要具体分析和应对。如是重发漏洞,需要制定解决方案,避免复发;如是频发漏洞,需调研是否因员工缺乏安全意识、程序员开发习惯或对该漏洞预防未定义等,需要安全官加强安全工作;如是典型漏洞,需对全网业务进行分析和监控,避免大批量出现;如是严重漏洞,则需先判定是否为典型漏洞,若不是,则根据应急响应流程及时处理。
业务:划分复杂级别。根据业务复杂程度进行分类,业务内容决定业务系统级别,可根据各公司特点划分,不同级别对应不同响应流程。
形象:评估品牌影响。信息安全也会涉及公司品牌和信誉,这时不是简单修复技术漏洞就可以,还应考虑外部风险应急控制,制定对外部接报漏洞的合理化处理方案,维护公司整体形象。
价值:衡量漏洞价值。根据漏洞严重级别判断紧急程度,根据所处业务类型确定风险范围,借由这两个维度评估安全工作成果,也即针对每个漏洞合理标价,量化体现通过内部检测和外部控制所挽回的损失。比如,京东针对不同来源、不同级别漏洞严格计算,得出每个来源的漏洞价值,对安全工作成果进行量化展现。
构筑技术保障体系
构建信息安全技术屏障,需将基础安全手段、核心信息保持举措及外部技术资源相结合。
注重基础安全保障
信息安全工作量巨大且简单重复,因此,通常以系统为主、人工为辅方式开展工作,并在例行关键节点介入人工审核。
完善安全流程。让整个流程顺畅运行并且有据可循,根据公司业务特征可先制定上线安全评估流程、应急响应流程、生产环境评估流程等,在其基础上再着手制定安全开发规范、安全测试手册、安全知识库的积累等,让开发对应开发手册、安全对应安全测试手册、漏洞对应漏洞实践。
搭建扫描平台。扫描范围涵盖上线项目评估、外网域名、独立重点项目评估及外网IP应用层评估等。在流程中针对不同漏洞采取不同集成方式,如针对struts2、spring等严重漏洞及SVN泄漏直接在上线部署中检查,若没匹配到安全策略则不允许上线;基础项目上线可直接进入扫描引擎;重点项目需单独进行手工检测,保证安全。
外网异常监控。外网所暴露的任何信息都可能为黑客创造入侵条件,所以需进行7×24小时检查,利用程序对有准确特征的监控进行报警,对常见风险控制利用差异比对方式监控。
异常流量测试与防御。根据公司条件搭建对应的DDOS攻击流量实验室,让企业在重大促销前能预演高流量攻击风险。
统一登录方案。如果登录接口存在安全隐患,将可能导致业务所使用账号系统遭遇撞库、扫号或暴力破解密码等威胁,给用户和业务安全带来极大威胁。登录可分为三类:对外网站登录、对外移动端登录和内部ERP等系统登录,每种都需要定义IP限制、验证码限制、登录频率限制和绑定限制等。
架构安全设计。仔细调研企业安全架构的风险点,并与开发架构师商讨方案,将安全策略增加到使用框架之中,形成稳固的安全系统。
强化核心信息保护
近年来,电商面临的最大风险演变为黑产利益链最为关注的数据安全、账户安全和业务诈骗安全,无论哪项都会带来严重危害,因此需要将其加入决策模型,制定应对之道。
数据安全。核心数据信息包括用户个人信息、用户名、密码、交易信息等敏感信息。保护核心数据首先保证访问的缜密性,例如采用堡垒机和一次一密的密码体制访问;密码采用主流加盐加密方式保存,不使用类似MD5加密等单一加密算法。对于支付交易的保护,可参考业内专门针对支付安全制定的标准PCI实施。
帐号安全。目前问题较多的是撞库,当用户在不同网站使用相同账号和密码时,黑客可通过获取用户在A网站的账户,尝试登陆B网址。安全部门可联合业务部门共同建设风险用户监控平台,监控用户的登录行为、验证码破解行为,建立IP、用户黑名单,快速解封风险用户,后续问题自定义加入风险策略之中。
业务安全。2014年年初电商网站大量遭遇退单、商品异常等诈骗事件困扰。这种诈骗行为不能单纯从技术角度分析,而是需要通过整体流程审核并借助公安执法共同打击。企业层面可以共同建立和维护诈骗分子特征库,类似腾讯的“雷霆行动”,把所有诈骗信息及时同步到各通信平台、IM通信工具、浏览器等,让实施诈骗行为的用户信息在各公司联动禁封或标记。
借力第三方资源
首先,广泛借力外部安全专家,建立外部安全响应中心。2013年在腾讯公司的牵引下,各互联网公司都在搭建自己的安全中心,回收外部风险漏洞,并通过评分奖励形式激励安全专家,通过安全响应中心弥补外部不可控的安全威胁。
其次,借助第三方公司技术力量,补充自身能力不足。1.在安全规则方面,借助安全咨询公司进行风险分析、制度梳理,同时引入和实施ISO27001信息安全管理体系等。2.在安全测试方面,验证公司安全部门成果,或在大促来临之前,借助第三方力量对安全现状进行测试和完善,目前较主流的测试方式为乙方远程/驻场测试和众测方式。3.在反诈骗方面,与业内专业反欺诈公司深度合作,利用对方风险IP库、诈骗手机号库、钓鱼网站库等,弥补自身平台数据空缺等。
总之,互联网领域新模式和新业态层出不穷,目前难以形成成熟、统一的安全解决方案。未来希望进一步促进电商行业合作,分享资源、情报和经验,并加强技术安全协作,打造绿色购物生态圈。
文/晋亮
