B2B创业型企业的安全运营建设之路
|
副标题[/!--empirenews.page--]
《B2B创业型企业的安全运营建设之路》要点: 作者简介:卞军军 前言本文大致分为以下三点:
我们找钢是在2011年年底成立的,之前也是响应国家“互联网+”号召,加上钢铁的产能过剩,于是我们公司成立了. 找钢网是全产业链的钢铁电商,从买钢材到仓储运输以及一些金融方面,加上智能数据形成了的一个完整的钢铁贸易的生态圈,一开始找钢网是做撮合业务,因为买卖双方渠道是不透明,现在我们也是做自营的业务,就是之前讲过的一些服务我们都可以做到. 规模上,到现在找钢网是有1400多人的大团队,也有一些分公司海外分公司,武汉二级研发中心. 1.2 找钢网B2B特色相对其他的一些互联网企业来说,找钢网是还是一个偏向传统的 B2B 互联网企业,从两方面可以介绍一下,第一个是从用户来说,我们的用户群体比较集中,另外从业务量来说,我们相对 2C,没有那么大的用户量,另外我们的核心业务是在内网. 1.3 历史遗留问题总体上,我们找钢网作为一个创业型的企业发展是很迅速的,相对的也有很多问题,这里简单讲一下,起初我们的物理机房很混乱,如上图所示,我想很多初创的公司都面临过这样的情况,还有应用的部署不合理,监控方面不全面等等问题.我们的安全运维建设都是从零到有的一个过程,包括标准化和自动化. 2. 安全运营下面介绍一下安全运营,找钢的安全也是从零开始建设的. 2.1 安全运营建设的通用公式首先讲一下安全建设的过程,我也了解了一些其他些企业安全建设的过程,大致总结有四点,我把它定义为一个通用公式. 最开始的是救火阶段,当前优先要解决刻不容缓的问题,比如说我们有一些外部应用遭到了攻击,发现了高危漏洞,甚至造成业务瘫痪了,直接可造成公司形象、经济等损失等. 接下来是建设阶段,救火之后我们做防范建设措施.做建设可以从两点做起,第一个是基础建设,包括办公网络和生产网络,第二个是安全建设,基础建设建设完后我们可以做一些扩展的安全建设,比如从内部的IT的建设,运维的建设扩展得到全公司的业务,跟公司业务结合. 第三阶段是优化阶段,当公司规模发展到一定规模,当前的一些策略,或者是我们现有的一些产品不能满足自己的公司的业务需求,那么进入到一个自研的环节,这一点是根据当前现状去开发满足业务需求的工具和产品, 最后一个阶段产品的对外开放. 2.2 救火系列之前也说了建设的四个阶段,首先讲一下救火阶段,我是2015年底加入找钢网的,当时第三方安全漏洞平台对爆出了找钢网的一些高危漏洞,那么首要解决这些高危安全漏洞,避免攻击扩大,漏洞修复完成后对存在漏洞的应用做一个整体的安全测试. 安全测试完全之后,接下来就是要让我们的研发人解决这些安全问题,同时也要提供安全解决方案,安全解决方案这可以整合成安全规范,比如针对当前比较常见的或者是基础的安全漏洞,例如 SQL 注入、以及常见的逻辑上的问题,提供一个完全的攻击案例和修复方案说. 再来就是对开发人员做安全培训,在一个公司中开发人员的水平也是不一样的,甚至有些开发人员对安全没有接触过,或者可以说没有安全基础的开发人员,对这一类开发人员要做的是先提高他们的安全认知. 我做了一个安全平台,这个安全平台初期的作用是作为安全漏洞的跟踪管理统计,后期会对它扩展,实现对所有安全的统一管理,比如说运维基准建设,自动化巡检以及日志平台的建立,实现自动化预警机制. 2.3 传统的安全体系救火之后我们需要做一些安全建设方面的工作,安全体系的建设,相对其它互联网企业来说,传统的互联网企业需要做的安全建设项要稍有不同. 我们根据找钢网的现状,从这五大方面做它的建设,包括:基础安全,应用安全,访问控制,运维安全,以及内网安全,为什么把内网安全单独拿出来呢?因为我们核心的业务是在内网,这对我们的业务体系来说是非常重要的. 传统的安全体系架构如上图所示,接下来我们一一讲述. 2.3.1 基础安全
首先是基础安全,看上图中基础安全中的分类,他包含很多的方面,如网络安全物理安全等等. 做安全建设的时候,大家会参考同行中其他互联网公司怎么做的,我这里要强调的是,参考只是参考,而不是照搬.每一家企业都有自己独特的业务体系,别的企业的不一定完全适用于自己,可以参考自己需要的. (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号