苏宁安全架构演进及实践

　　近年来，各类网络安全事件层出不穷，木马病毒、信息泄漏、网络诈骗等等字眼时常见诸媒体，就连年初美国的总统大选都被黑客闹得鸡飞狗跳，网络安全从未像今天这样受到整个社会的重视，那么对于绝大部分互联网企业尤其是电商平台而言，为消费者提供隐私信息保护以及安全可靠服务的重要性毋庸赘言。

　　苏宁安全架构是伴随苏宁易购一起成长的，经历了从无到有到逐步完善的过程，期间不管是在技术上还是在管理上，都遇到了非常多的难题，但一旦闭环安全体系完善起来后，安全事件发现、处理效率会得到极大提升。

　　苏宁首先进行了安全组织架构，苏宁的安全相关部门目前主要分为管理和研发两大类。由于企业安全不仅包含外部网络攻击防护，还包含企业内部安全威胁检查，所以安全部门非常特殊，必须要有一定的独立性，否则合规审计、内外风控、漏洞处理、应急响应等工作根本无法开展。一般互联网公司大都会成立一个较高级别的安全部门专门负责各类安全事务，因为这样即方便管理又能减少沟通成本。苏宁安全管理中心由CTO直接负责，集团所有安全相关事务都由它统一协调，安全研发工作主要由数据云团队负责，个别子公司因业务需要也会有相对独立的安全部门。

　　其次，是安全防护体系建设，苏宁的安全部门最初是从网络运维部门分离出来的，当时部门的工作内容也和安全开发完全无关，主要就是各类网络设备以及操作系统的安全基线检查，后来随着苏宁向互联网转型，安全部门才开始承担起攻击防护、风险检测、漏洞处理等职责，逐步开始自研各类安全系统。由于当时安全工作都是围绕苏宁易购开展的，而苏宁易购又是一个综合网上购物平台，所以保护消费者的个人信息和资金安全自然是重中之重，因此苏宁安全防护平台和苏宁智能数据风控平台是最早上线运行的两个安全系统，之后又陆续开发上线了苏宁安全服务平台、苏宁安全应急响应中心等系统。

　　再有就是安全管理体系建设，对于外部攻击者来讲，企业是一个黑盒，虽然无从获知企业内部网络架构和安全系统详情，但为了找到一个有效可利用的的漏洞他可能会进行各种尝试，不同目的的攻击者发起请求的方式和特征也会不同，所以企业绝不能期望一个安全系统就解决所有安全问题，也不能期望无限增加安全开发投入，头痛医头脚痛医脚。企业首先需要部署WAF、IDS/IPS、风控、漏扫等基本的安全系统，在此基础上再将各个安全系统之间彻底打通，实现信息共享，融合成一套行之有效的安全防护体系，才能有效解决绝大部分安全问题。但是企业需要关注的不仅仅是外部威胁，堡垒往往是从内部攻破的，所以企业内部的安全威胁也不容忽视。从苏宁近年来内部几起安全事件发生原因总结看，基本都和安全意识淡薄、安全管理不规范密切相关，所以企业在搭建自己的安全防护体系的同时，也要搭建自己的安全管理体系。

　　苏宁内部安全事件的管理已有一套成熟的运转机制，在漏洞爆出之后，首先由安全管理中心评估此事故威胁程度并确认事故责任人，然后由安全研发中心协助给出解决方案，再由安全管理中心督促事故责任人所在部门修复漏洞，最后由安全管理中心总结本次事故经验教训并给予事故责任部门处罚。因为安全管理中心有考核其它研发中心安全规范的权限，所以这套管理方法还是行之有效的。但是安全问题的源头还是人，如果仅仅依靠制度规范，肯定是无法解决所有内部安全问题的，甚至可能会阻碍企业发展，因此安全管理部门还应该做好内部员工的安全培训，尤其是业务系统研发人员，定期进行安全相关培训和考核，提高所有人的安全意识。

引用文章地址：http://www.uml.org.cn/zjjs/201803021.asp，https://mp.weixin.qq.com/s?__biz=MzIyNjE4NDcyMA==&mid=2247484739&idx=1&sn=44957c483184ec990bf706322c5f7b12&chksm=e8751e3cdf02972acdc4388c6e0cf832f9fe0fe9698e6d2263d15c62ee5a5c97fd98e0e19db6&scene=21#wechat_redirect