2020疫情引爆了在线新经济。疫情流量之下，在线新经济企业如何落地自身网络安全建设？8月知道创宇“产业安全大咖说”，邀6位大咖为您共同揭晓答案。

本文是第1位大咖林鹏的分享

关于林鹏

猎豹移动安全总监，《互联网安全建设从0到1》作者，曾任当当网安全经理，网络金融安全专家，万达电商信息安全部总经理等职位，长达10年的一线安全攻防实战经验，研究领域为日志分析、安全防御、金融安全、羊毛党对抗，并曾在QCON，SACC，GITC，HITCON等安全会议上发表过议题演讲。

01攻防不对等，企业安全风险无处不在

对于企业安全我总结了一个概念叫圆圈理论，意思是“伴随着企业规模的扩大，防御的面也随之扩大，即意味着受攻击的面增大。”

对攻击者来说，只需关注一个脆弱点就能够成功发起攻击。而对防御方尤其是企业来说，则需要关注全方位的安全，攻防不对等由此可见。

电商金融面临的主要风险类型主要包括：钓鱼、黑客攻击、盗号、恶意欺诈、信息泄露等。企业前期辛苦搭建的安全保障只要被攻击者抓住其中一个点，一样会造成巨大损失。

02安全建设三阶段——基础、体系、业务

为了构建尽量完备的企业安全，可以将其分为安全三阶段，分别为：基础安全、安全体系和业务安全。

基础安全顾名思义，是一切安全的基础。如果基础安全搭建的不完备，将会影响后面的安全建设。

安全体系则是作为基础安全的补充，通过一些体系或流程的建设去覆盖基础安全不能触及到的脆弱点。

最后，所有的安全都应该围绕业务进行。不围绕业务，安全的意义也不复存在。

下面我们分别细说各个安全阶段该如何执行。

基础安全

基础安全有很多，包括：运维安全、开发安全、办公安全、环境安全和人员安全。再细分下去的话，运维安全又包括：流量镜像、端口扫描、日志分析、主机检测、配置规范、备份/升级等；开发安全又包括：代码安全、后台安全、功能逻辑以及权限管理。

特别值得一提的是，在上云的大趋势下，据一份2019年的云安全报告显示现目前66%的传统安全解决方案在云上起不到任何作用，并且传统安全的许多工具都无法在云上运用，这更是增加了安全建设的困难。

基础安全建设往往是通过层次化的思想解决，网络层有自己的一套解决方案而主机层又有另一套。用层次化的建设增加攻击者的成本使其自动放弃攻击，达到平衡攻防天平的目的。同时在网络安全建设中没有银弹思维，即单一的安全产品或安全技术不可能保证整体的安全。所以分层次的安全建设也格外重要，联动起来层层设防。

除此之外还需要熟悉自己的资产有哪些，包括：系统、组件、第三方工具，知道自己的防御覆盖范围；同时知道对手的攻击手段，抓取攻击特征，清楚攻击是否成功。这样才能做到知己知彼百战不殆。

若把安全事件按照事前、事中、事后来区分的话，具体分类如下：

总结起来就是：事前做好战略规划，事中保持战术素养，事后总结分析做好复盘。

安全体系

安全体系主要起指导和弥补作用，当遇到不能靠技术完成的事情时，这就需要一些管理上的工作来完善。

当数据隐私安全越来越得到重视，这时便出台了一些相关政策规定。包括欧盟的《通用数据保护条例》（GDPR）和我国的《网络安全等级保护制度》都可以理解为安全体系一类。

数据控制者责任和义务

把流程梳理清晰有并有据可查之后，是非常有助于通过审计或是检查的，这时安全体系的重要性便再次体现出来。

安全体系的建设目标都大同小异，都是为了保护资产，通过评估安全风险，以总体安全策略为指导，制定安全保护措施，为公司信息系统及知识产权提供全面的安全保护，建立适用及高效的信息安全体系，尽可能的降低安全风险，从而提高组织的整体安全防护水平，为业务发展提供稳健的信息安全保护。

业务安全

业务安全，按照百度百科的解释：业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操作系统、数据库等）、业务系统自身（软件或设备）、业务所提供的服务的安全；狭义的业务安全指业务系统自有的软件与服务的安全。

上面我们提到过电商金融行业面临的风险，对业务来说攻击者只需关注一个点，但防御需要考虑整个面。不仅是电商金融行业，任何行业也是如此。

业务安全可以从两个方面寻找不同的解决方案：1.技术；2.流程。

技术上通过验证机制、分析注册用户行为、冻结机制、设立门槛、前端验证等。

流程上通过项目立项风控、安全测试、业务数据实时监控，并和客户建立良好的沟通机制，毕竟一线人员是最了解业务情况的。

在业务安全的攻防中，我们要合理平和业务与安全的关系，不能为了意义的上的安全而影响真实的业务进行。

（可以把业务安全看作坦克大战，保护好老家才是最终目的）

03甲方安全从业人员的定位与思考

安全部门也应该输出

企业招聘安全人员也是有成本的，而安全部门一般也可能是成本中心。但是我认为安全部门也应该有所输出，这个输出可以变现最好，即便不能变现也不能自high。安全要支持公司业务，努力做出平台级产品服务于公司和业务，任何一项很强的技术都需要耗费很高的成本去完成，但如果这个技术不能给公司带来任何实际用途，那么所有工作都是白费。

团队定位

安全团队的定位应该是服务于公司，服务于业务，应该尽最大的努力为业务保驾护航，为公司和业务部门提供各种安全支持，出谋划策一起面对安全风险。而不是以各种名义阻碍业务的发展，要知道如果是非安全公司，业务倒下了安全也就没有了价值。

换位思考与沟通

与沟通类似，安全部门的人员也需要站在对方的角度进行思考，更不能打着安全的旗号做浪费资源的事情。

沟通是安全工作的基础，与不同业务部门的同时沟通，以此找到安全最恰当的实施方式，同时要换位思考：在不同的业务场景下安全工作能否进展下去。

————END————

点击此处下载完整版PPT