企業安全之如何在保證業務的同時做好安全

「活動頁面一定要在七夕當天上線。」

「活動已經安排好，頁面按照計畫在製作，準時上線沒問題。」

「業務系統更改需要經過我們安全部門測試才可以上線。」

「這個活動頁面是有時效性的，七夕當天必須要上線，安全測試完，活動都結束了，先上線再說，不然，活動期間業績完不成。」

「我們發出去的1千個優惠券，怎麼一下子就被搶光了，而且，我們真正的使用者都反應說沒搶到。」

「又是羊毛黨，頁面有個漏洞可以批量刷優惠券，使用者現在說我們耍猴，優惠券根本搶不到。」

「安全部門請解釋一下。」

安全部門：「我太難了......」

上述情景在很多企業會遇到，企業都是以業績為主，業務部門是賺錢的部門，安全部門是燒錢的。除了大型電商公司外，企業一般以業務部門的要求，優先考慮，安全工作要在不影響業務部門正常運轉的情況下開展。如何在保證業務的同時做好安全，是企業安全建設需要考慮的重要環節。

凡事預則立，不預則廢，安全部門首先要做的，是制定乙份安全工作方針，方針中除了整體安全建設外，還應包括業務部門和安全部門配合工作部分：

1）安全部門會擬定安全工作流程，包括安全測試、基線加固、補丁更新等，列舉每項工作需要業務部門配合的部分、對業務執行可能造成的影響，流程與業務部門確定，達成一致，如：系統上線前、迭代更新前，需要預留充分的安全檢測時間給安全部門。具體測試時長，收集業務部門、安全測試人員要求後由領導決定。

2）業務部門應該配置完善的灰度測試環境，保證灰度、真實環境一模一樣。

3）業務系統公升級迭代工作計畫，需要安全部門派人參與，避免設計階段帶來安全隱患，如：儘量減少網際網路暴露面，減少漏洞較多的中介軟體、框架的使用。

4）資產變更情況及時與安全部門同步，包括新資產下線，舊資產廢棄等，保證安全部門日常檢測的資產是全面的。

使用者互動性較高的系統，很難既做到安全又不影響使用者體驗，舉個栗子：某網銀系統沒有驗證碼，安全部門判斷存在暴力破解的風險，業務部門認為，每次都要輸入驗證碼，會影響使用者體驗。這時候需要平衡業務與安全，做個取捨，安全部門需要列舉不同場景下存在的風險，業務部門列舉同場景下使用者體驗的影響，由老闆做取捨。

同時，安全部門也需要從業務的角度出發，輸出對業務系統影響最小又保證安全的方案，老闆希望能解決問題的下屬多過只知道丟擲問題的下屬。

類似的方案包括：

1）前幾次輸入不需要驗證碼，輸入次數過多，才需要輸入驗證碼。

2）業務邏輯漏洞容易被羊毛黨利用，造成嚴重的經濟損失，修復可以採用session機制等方式，跟進每個使用者的狀態。

3）建立完善的風控系統，遏制羊毛黨，不影響真正、優質使用者使用系統。

4）不易修復的漏洞，如果上線時間緊的話，先輸出緊急抑制方案，如struts2漏洞，先關閉相應的功能，臨時修復。漏洞不能利用，業務不影響使用，後面再考慮公升級框架。同時，網路中使用流量監控的方式，發現系統執行期間，網際網路攻擊行為。

5）錯誤提示頁面友好化，如：「您訪問頻率太快，請稍後訪問。」等。

攻防是個博弈的過程，沒有一直勝利的將軍，安全工作從來都是，平時看不到工作效果，出事了才知道安全的作用。安全事件也反應了前期安全工作中的疏漏，安全部門可以借助事件，推進之前沒法推進的工作。如以下場景：

某單位業務系統，管理員經常對映高危埠到網際網路，方便在家裡遠端辦公，安全部門一直沒法收集網際網路開放的埠，以及弱口令控制。有一次單位中勒索病毒，大量伺服器、資料庫被加密。經查實是管理員對映3389埠到網際網路，黑客破解口令進入伺服器後，在內網大量散發勒索病毒。安全部門藉此事件，向單位發布安全生產管理要求，網際網路開放埠必須要經過安全部門審核，所有伺服器統一使用堡壘機登入，杜絕弱口令行為等等。

安全與業務是對冤家，不打不相識，懂得技術，撩得業務，才是合格的甲方安全。

最大的榮譽感是把售前大咖們吹的牛落地實現。

企業安全之如何在保證業務的同時做好安全

測試人員如何保證業務安全性？

如何保證Web Service的安全

HTTPS 是如何保證安全的？

企業安全之如何在保證業務的同時做好安全

測試人員如何保證業務安全性？

如何保證Web Service的安全

HTTPS 是如何保證安全的？

相關推薦