一提到網際網路領域的安全問題,我想大多數人的第一反應是利用網路、軟體的漏洞進行的各種攻擊,或者用手指在鍵盤上跳舞的黑客們,這似乎是乙個老生常談的問題。
我們每個人都能隨口說出幾種攻擊,比如sql注入、中間人攻擊、ddos攻擊等,然而每個概念在歷史發展的不同階段,卻都有著迥異的內涵,網際網路安全就是如此。
在網際網路行業發展的初期,我們會更關注傳統安全領域,如黑客,漏洞等上文所提到的內容,實際上這些大致可歸類於作業系統、網路、應用軟體層面的安全。再之前呢,我們的安全甚至會囊括硬體基礎、裝置層面的安全,如裝置故障、網路故障、斷電等。
而網際網路行業發展到了今天,我們的核心變成了業務,企業的發展靠業務來驅動,企業靠業務來賺錢,企業能最直接給到客戶的感受就是業務的好與壞,而我們的安全,也發展到了業務安全的階段。
業務安全,按我個人的理解,實際上是解決不規範、不合理的業務邏輯帶來的安全隱患。這種優惠力度是非常大的,其中也隱藏了一定的利潤空間,如果能夠將新使用者的優惠券賣給有需要的人,從中賺取外掛程式,這就形成了一條黑色的產業鏈。
這就是保證業務安全。
我們會發現業務安全不同於傳統的安全,傳統安全可能需要依賴於防火牆之類的與業務邏輯解耦的應用來完成。而我們的業務安全是與業務緊耦合的,解決業務安全無法使用某些通用的技術,而僅僅有方**上的指導,結合對具體業務的深刻理解,數里業務邏輯流程,盡量的避免業務邏輯中留下能被利用的漏洞,或者顯著增加利用某些漏洞的成本,來避免黑色產業鏈影響我們正常客戶的使用。
業務安全,業務在前,安全在後,因此業務安全是從屬於業務的,每個業務都應該有自己的安全部門。
我們要保證業務安全,就要對業務有著深刻的理解,保證業務的主要功能不會被影響的前提下,設計能夠提公升使用者體驗的無業務安全隱患的業務流程,也即是相應的業務邏輯。
另外從安全的領域來講,如果我們能夠準確的識別請求端的身份,究竟是「好人」還是「壞人」,也能為我們解決安全問題提供思路,實際上,很多用於解決傳統安全問題的方**也是適用於業務安全的。
總是在產生損失後再關注安全問題
一些新進入網際網路行業的廠商,在沒有遇到安全方面的問題時,沒有吃過苦頭,產生過真正的損失,是比較難花預算在安全問題上的,當然對成熟的大公司來說,安全防範意識會比較高,但是其新拓展的業務,如果對業務安全領域沒有深入的了解的話,也極有可能在業務流程**現易被黑產利用的漏洞。
業務安全無法準確量化
不做業務安全相關的工作,真正出了問題亡羊補牢,損失已經造成了,而做了業務安全的工作,卻又很難量化其作用如何,投入產出是否是值得的。我們無法計算通過業務安全為公司挽回了多少損失,同樣也很難統計避免了多少黑產的惡意訪問、註冊以及消費。因此業務安全部門的工作難以得到認可。
安全部門和開發部門的天然的矛盾
在企業發展的上公升期,往往是最需要注重業務安全的時期,在起步時使用者量較小,利潤空間也比較小,難以引起黑產的興趣來進行「薅羊毛」,也就不會太關注安全問題。而當業務快速發展壯大,安全的問題就值得警惕了。
而實際也往往是業務部門的話語權更大,安全問題得不到重視。
業務安全的一些例項
之前在部落格寫的一篇文章,但是部落格好久沒弄了。網域名稱忘記續費了。也懶的折騰,放在省心點吧,剛仔細看了一下之前寫了,覺得自己寫的好low,等我有空在整理一些案例。近期做的一些業務安全方面的測試,其實毫無技術含量,就是想總結一下經常測試的點以及遇到的奇葩問題。1.p2p常見邏輯漏洞 加車 下單 結算...
企業安全之如何在保證業務的同時做好安全
活動頁面一定要在七夕當天上線。活動已經安排好,頁面按照計畫在製作,準時上線沒問題。業務系統更改需要經過我們安全部門測試才可以上線。這個活動頁面是有時效性的,七夕當天必須要上線,安全測試完,活動都結束了,先上線再說,不然,活動期間業績完不成。我們發出去的1千個優惠券,怎麼一下子就被搶光了,而且,我們真...
登入業務中存在的安全問題
背景 在網際網路 中,使用者註冊,登入幾乎是每個 的標配功能。在一般人看來乙個小小的登入業務表面上看起來很簡單 大概過程是這樣的 使用者在前台頁面輸入使用者名稱和密碼,然後後台web伺服器拿到使用者輸入資訊,在資料庫裡根據使用者名稱和密碼匹配一下,有資料返回,表示使用者的賬號和密碼匹配成功,跳轉到相...