B2B创业型企业的安全运营建设之路

《B2B创业型企业的安全运营建设之路》要点：
本文介绍了B2B创业型企业的安全运营建设之路，希望对您有用。如果有疑问，可以联系我们。

作者简介：

卞军军
找钢网 高级信息安全工程师
2015年年底加入找钢网,负责应用安全评估、渗透测试、运维安全基线建设、安全运营等. 前携程高级安全运营工程师(2012.7—2015.9),主要从事源码安全审计、安全漏洞测试,安全产品运营.

前言

本文大致分为以下三点：

• 找钢网的背景和问题；
• 安全运营；
• 安全驱动；
  

  1、说说找钢

  1.1 发展史

我们找钢是在2011年年底成立的,之前也是响应国家“互联网+”号召,加上钢铁的产能过剩,于是我们公司成立了.

找钢网是全产业链的钢铁电商,从买钢材到仓储运输以及一些金融方面,加上智能数据形成了的一个完整的钢铁贸易的生态圈,一开始找钢网是做撮合业务,因为买卖双方渠道是不透明,现在我们也是做自营的业务,就是之前讲过的一些服务我们都可以做到.

规模上,到现在找钢网是有1400多人的大团队,也有一些分公司海外分公司,武汉二级研发中心.

1.2 找钢网B2B特色

相对其他的一些互联网企业来说,找钢网是还是一个偏向传统的 B2B 互联网企业,从两方面可以介绍一下,第一个是从用户来说,我们的用户群体比较集中,另外从业务量来说,我们相对 2C,没有那么大的用户量,另外我们的核心业务是在内网.

1.3 历史遗留问题

总体上,我们找钢网作为一个创业型的企业发展是很迅速的,相对的也有很多问题,这里简单讲一下,起初我们的物理机房很混乱,如上图所示,我想很多初创的公司都面临过这样的情况,还有应用的部署不合理,监控方面不全面等等问题.我们的安全运维建设都是从零到有的一个过程,包括标准化和自动化.

2. 安全运营

下面介绍一下安全运营,找钢的安全也是从零开始建设的.

2.1 安全运营建设的通用公式

首先讲一下安全建设的过程,我也了解了一些其他些企业安全建设的过程,大致总结有四点,我把它定义为一个通用公式.

最开始的是救火阶段,当前优先要解决刻不容缓的问题,比如说我们有一些外部应用遭到了攻击,发现了高危漏洞,甚至造成业务瘫痪了,直接可造成公司形象、经济等损失等.

接下来是建设阶段,救火之后我们做防范建设措施.做建设可以从两点做起,第一个是基础建设,包括办公网络和生产网络,第二个是安全建设,基础建设建设完后我们可以做一些扩展的安全建设,比如从内部的IT的建设,运维的建设扩展得到全公司的业务,跟公司业务结合.

第三阶段是优化阶段,当公司规模发展到一定规模,当前的一些策略,或者是我们现有的一些产品不能满足自己的公司的业务需求,那么进入到一个自研的环节,这一点是根据当前现状去开发满足业务需求的工具和产品,

最后一个阶段产品的对外开放.

2.2 救火系列

之前也说了建设的四个阶段,首先讲一下救火阶段,我是2015年底加入找钢网的,当时第三方安全漏洞平台对爆出了找钢网的一些高危漏洞,那么首要解决这些高危安全漏洞,避免攻击扩大,漏洞修复完成后对存在漏洞的应用做一个整体的安全测试.

安全测试完全之后,接下来就是要让我们的研发人解决这些安全问题,同时也要提供安全解决方案,安全解决方案这可以整合成安全规范,比如针对当前比较常见的或者是基础的安全漏洞,例如 SQL 注入、以及常见的逻辑上的问题,提供一个完全的攻击案例和修复方案说.

再来就是对开发人员做安全培训,在一个公司中开发人员的水平也是不一样的,甚至有些开发人员对安全没有接触过,或者可以说没有安全基础的开发人员,对这一类开发人员要做的是先提高他们的安全认知.

我做了一个安全平台,这个安全平台初期的作用是作为安全漏洞的跟踪管理统计,后期会对它扩展,实现对所有安全的统一管理,比如说运维基准建设,自动化巡检以及日志平台的建立,实现自动化预警机制.

2.3 传统的安全体系

救火之后我们需要做一些安全建设方面的工作,安全体系的建设,相对其它互联网企业来说,传统的互联网企业需要做的安全建设项要稍有不同.

我们根据找钢网的现状,从这五大方面做它的建设,包括：基础安全,应用安全,访问控制,运维安全,以及内网安全,为什么把内网安全单独拿出来呢?因为我们核心的业务是在内网,这对我们的业务体系来说是非常重要的.

传统的安全体系架构如上图所示,接下来我们一一讲述.

2.3.1 基础安全

首先是基础安全,看上图中基础安全中的分类,他包含很多的方面,如网络安全物理安全等等.

做安全建设的时候,大家会参考同行中其他互联网公司怎么做的,我这里要强调的是,参考只是参考,而不是照搬.每一家企业都有自己独特的业务体系,别的企业的不一定完全适用于自己,可以参考自己需要的.

（编辑：ASP站长网）