国内互联网公司进入欧美需要加强网络安全

      转自: https://zhuanlan.zhihu.com/p/598105882

      读了最近发生的蔚来数据泄漏的报道：蔚来数据泄漏：黑客有理，车主遭殃 ，感觉国内企业普遍不太重视网络安全及数据的保护，隐私的保护等安全问题。

      当我们的造车新势力雄心壮志进军欧美市场的时候，可能会碰到一个下马威（如果他们不重视安全问题），因为智能汽车和传统汽车不同，会搜集客户诸多信息（个人的，行车的），这些信息如果被泄漏了可能会造成极其严重的后果，试想如果一个公司或政府的名人的行车信息被泄漏，那么他的生活习惯就会被泄漏，可能会招致意想不到的灾难。在这方面可以参考下当年Zoom公司面临的安全打击，及zoom老板如何下定决心要把安全补上来的，迅速采取了大力的安全行动，最终赢得了客户的信任。

      如果国内互联网相关企业如果下定决心进军欧美市场，结合自己在日常工作中的经验，想提下几点个人的愚见。（这里不谈论如何检测系统安全漏洞，相信各家企业的安全已经涵盖这一点了，只谈论进军欧美国家容易忽略的问题）：

1）公司高层一定要重视安全，高层不重视什么也白搭。因为安全是要花很多成本才能提高的，同时安全在不少方面和公司的业务有抵触，也即：会在某些情况下会拖慢业务的开发部署等，在某些情况下：要易用性就没安全，要安全就要牺牲部分易用性。所以高层不重视，安全无法全面开展，只能修修补补处理应急事件，出了事还要当替罪羊。这点需要公司高层的魄力。

2）对业务的核心领域实施安全开发生命周期（SDL）的开发模式，从需求设计阶段就全面介入，开发阶段要审核代码，测试阶段要测试要扫描，发布阶段也要介入。这点要耗费大量人力物力，同时还要和业务研发部分沟通好这个流程。结合企业的规模及自身确定的安全规划，如果暂时没有太大能力做到所有业务都实施SDL，那么首先确定什么才是公司最重要的资产，对核心资产、核心业务、核心数据实施这个安全流程。

3）数据的合规性检查保护，这点其实可以在第2点内包含，但是相信很多企业没重视这点，所以单独拿出来说下。欧美国家尤其欧盟会对用户的数据有严格的要求，例如GDPR，欧洲人的数据只能存在欧洲，千万不能为了省钱把欧洲客户的数据放到了别的已有的data center中，会吃法律官司的，需要为欧洲建立单独的数据中心，这个钱省不了，同时欧洲的数据请求也千万别路由到国内的服务器来处理，如果被发现了会解释不清楚的，欧洲业务用到的各种key也不能和国内业务通用同一套key。这些都需要在设计阶段就提出来，需要做设计安全review，当然公司应该要聘请一个懂得欧美安全法规的相关人士。

4）除了公司自己的安全红队检查漏洞，最好也请第三方帮忙做些测试审查。例如进驻hackerone平台，让白帽子帮助抓bug；让第三方安全咨询公司咨询下，例如NCC group。

5）千万别耍小聪明，为了某种目的私自提取或追踪客户的数据，例如：tictok被爆追踪记者的数据，而且涉及到国内的员工做这个事情，这让美国监管部门怎么想？你们中国员工能读取tictok的用户数据？这还得了，必须得从严处理。我估计tickok即便不会被迫出售给美国公司，也会迫使其把数据彻底存储在类似于Oracle数据中心，不能让其随意触碰数据。其实字节跳动在这方面应该聘请美国人来做相关职位，而不是从国内空降人过来，国内人不了解美国法规，很容事搞出事来。

      这些安全措施的实施需要花不少财力人力，可根据自己公司发展的阶段来制定相应的安全规划plan，从而决定先做哪些后做哪些，以期达到花费最小，安全收益最大化。（如果安全花费大于造成的安全损失，那自然不需要做了，作为known issue来处理）