數字化時代，如果說哪些信息是最受關注的，能不能上“熱搜”一定是評價的方法之一。在每天進入“熱搜”的新聞中，有一類事件不僅上熱搜的頻率高，并且熱搜的名稱格式也高度統一，那就是“某某崩了”或者“某某打不開了”。這里“某某”指那些與我們生活息息相關的數字化平臺，可能是購物平臺，也可能是信息分享平臺。之所以人們如此的關注這類事件，因為這些數字化平臺已經與我們生活緊密結合，其用戶規模龐大，一旦系統出現故障，勢必會造成一定生活的不便。比如疫情時代，健康碼已經成為人們出門必備的條件，一旦提供健康碼服務平臺出現故障，出行將變得寸步難行。

系統安全問題成為威脅企業正常運行的重大風險

數字化系統在給我們生活帶來便利的同時，也提升了他在人們生活中的重要性，一旦系統出現故障，不僅僅會影響到業務的正常運行，也會影響到用戶的日常生活和體驗。因此，系統安全問題成為威脅企業正常運行的重大風險，其安全穩定將變的越來越重要。

在此背景下，一方面企業開始加大系統安全領域的投入，另一方面國家監管要求也變得越來越高。2021年6月10日，第十三屆全國人民代表大會通過了《全國人民代表大會常務委員會關于修改[中華人民共和國安全生產法]的決定》，自2021年9月1日實施。新安全生產法首次提出平臺經濟等新興行業、領域的生產經營單位應當根據本行業、領域的特點，建立健全并落實全員安全生產責任制，加強從業人員安全生產教育和培訓，履行有關安全生產義務。在工信部和應急管理部印發《“工業互聯網+安全生產”行動計劃（2021-2023年）》中，也提出了要增強工業安全生產的感知、監測、預警、處置和評估能力，加速安全生產從靜態分析向動態感知、事后應急向事前預防、單點防控向全局聯防的轉變，提升工業生產本質安全水平。

內部風險成為威脅系統安全的主要風險之一

在影響系統穩定和安全的原因中，按照其發生的主體，可以分為外部安全和內部安全，外部安全指常見由于黑客攻擊、木馬、DDOS攻擊等原因導致的系統安全問題，而內部安全則是由誤操作、變更故障、程序缺陷、硬件故障等原因導致的系統安全問題。外部安全屬于信息安全的覆蓋域，目前已經相對成熟，而內部風險的控制還是薄弱環節。

通過對企業內部安全故障原因分析可以發現，其中變更類故障導致的安全問題約占60-70%，環境變化類故障（如流量過大）導致的問題約占約15-25%，硬件類故障約占約5-15%。由此可見，由于變更風險導致的系統安全問題是威脅系統安全的主要風險之一。

傳統風險控制方法難以解決內部風險帶來的系統安全挑戰

傳統變更風險的控制是通過制度規范、宣貫、審批等方式來進行控制，由于風險控制復雜性，通過傳統方式進行風險管控存在較大挑戰，主要表現在：

1）產品更新迭代快，僅靠制度和人工審核控制風險難度大。由于目前數字化產品研發追求敏捷性，產品迭代頻繁，可能導致系統故障發生頻繁，而規章制度難以深入到產品研發、運維細節中，執行難度較大。通過人工審核、審批的方式成本高，難以直接量化風險，在需要大量審核的場景下，容易忽視風險。

2）系統安全涉及范圍廣，控制成本高。范圍廣主要體現在數字化系統和人員范圍廣，數字化系統包括重要業務系統、相應變更系統（云資源變更、應用變更、業務變更）；人員包括產品、研發、測試、運維、運營人員等。

3）點狀風險控制方案難以有效控制風險，控制效果差。風險控制是復雜系統工程，控制效果受短板影響明顯，沒有體系化控制手段，難有效控制風險發生。

解決方案實踐

系統故障誘因復雜，這導致單點控制很難解決問題，需要一個系統化解決方案。第一屆天貓雙十一，開發和運維人員需要整夜保障，隨時解決出現的問題，即便這樣，也會出一些意想不到的故障。2020年雙十一用戶數量和銷售規模與第一屆雙十一對比，已經不可同日而語，系統也更加復雜，但雙十一大促系統保障過程卻越來越流暢，保障人數也在持續降低，這背后就是一個系統化解決方案。

組織的頂層設計

組織設計是指從組織層面設置專門組織機構來負責系統穩定和安全，包括最高層安全生產委員會和各個研發部門穩定性負責人。安全生產委員會職能包括負責全局穩定性決策、安全生產規則制定、整體應急協同、安全文化培養、全局管控系統的規劃與管理。當故障發生時，由相關人員負責故障應急與統籌，各研發部門穩定性負責人負責各系統風險治理和穩定性保障，在研發、運維過程中避免系統故障出現。

事前的風險預防

防患于未然是安全最高能力。首先，事前風險預防包括事前分析系統各個組成要素、組成要素可能面臨威脅和存在脆弱性，并將分析結果作為安全治理輸入。對于威脅，需要制定相應措施避免或減少威脅發生。對于脆弱性，需要針對性進行鞏固，比如對于經常會導致系統故障的系統變配操作，通過統一的變更平臺集中管理各種變配申請，從而實現對變配操作集中管控。其次，通過最小權限原則，限制操作人操作權限，包括操作時間限制、操作對象限制和操作范圍限制。另外，每一次的變配操作，系統可以根據操作人、操作對象、操作類型等要素，計算操作過程中存在的風險，一旦發現過程中存在確定風險，則會直接阻斷當前操作；如果是高風險，則會發起交叉確認流程；如果是低風險，則會直接放行。這種方式，既實現了對風險的實時管控，防止由于人為失誤導致故障，同時又平衡了研發效率與安全生產間關系。

事中的實時觀測

快速發現是避免損失擴大的重要手段。首先，在系統運行過程中，通過業務指標觀測、應用程序觀測、云資源觀測相結合的方式，能夠及時發現系統存在的問題，一旦發現故障，按照事先制定的預案，系統會通知相關人員進行處理。其次，基于大數據和人工智能算法，平臺會實時預測相關指標變化趨勢，將故障預警時間再次提前。

事后的快速恢復

盡管事前事中制定了詳盡的方案，但是還是很難避免故障發生。一旦故障發生，如何快速進行故障恢復就是首要事情。按照故障不同類型，可以使用故障恢復手段有限流、攔截、熔斷、快恢、降級、擴容、切流、重啟等。不同恢復方式都需要有相應系統支持和日常演練測試。

故障恢復后，安全生產委員會還需要組織相關人員排查和分析故障原因，制定整改方案，確定故障責任人，推進和落實整改方案，防止相同故障再次發生。

業務系統安全工程

從以上的實踐過程可以看出，企業很難依靠單一手段解決系統故障，而需要通過系統化的手段，從頂層的組織設計、事前的風險分析和策略制定、事中的持續監測和預警、日常的演練和事后的應急響應等多方面進行控制。

在傳統行業中，為了保證生產經營活動能夠正常運行，國家制定了一系列的措施使生產過程在符合規定的物質條件和工作秩序下進行，從而有效消除或控制危險和有害因素，減少人身傷亡和財產損失，保障人員安全與健康、設備和設施免受損壞、環境免遭破壞。在建筑、石油化工、交通運輸、航空航天等行業，安全生產已相對成熟和完備，但在互聯網領域還是空白。以下圖采礦業安全生產流程為例，我們可以看出安全生產的管理要求已經落實到了作業的各個過程和環節。

參考傳統行業中的安全生產解決方案，同時結合阿里巴巴內部的最佳實踐，我們提出了業務系統安全工程解決方案，該方案是指導業務系統防范故障的安全指南，其目標是通過預防、監測預警、應急響應等手段，減少業務系統故障，保障業務系統穩定、可用和可靠，防范由于業務系統故障導致的資產損失和用戶影響。

業務系統安全工程框架

由于業務系統以及故障原因的復雜性，單純的從一個或多個點出發很難解決問題。業務系統安全工程以控制論和系統論為指導，以風險控制方法為工具，形成了自己的實施框架 IPDRI，即識別（identify)、預防（protect）、監測（detect）、恢復（recover）和改進（improvement）五個環節。從事前、事中、事后進行風險的控制，形成閉環的反饋網絡。

其中，識別包括資產分析、威脅識別、脆弱性識別等。預防是為了避免風險的發生而采取的一定的預防措施。監測是監測系統和保護措施是否在正常的運行。恢復是在故障出現時快速的采取措施恢復系統的運行。改進是查找故障原因，制定改進方案避免相同故障的再次發生。

業務系統安全工程標準

在此背景下，阿里云聯合國家信通院牽頭起草了《基于云計算的數字化業務安全工程標準》，該標準是國內首部聚焦于保護系統持續正常運行的行業標準。標準核心目標是保護業務系統能夠持續正常運行，防范由于業務系統故障導致資產損失和用戶影響，保證系統可用、穩定和可靠。

標準規定了企業實現業務系統持續正常運行需要具備的各項能力，包括組織設計能力、風險分析與識別能力、策略與管控能力、監測與預警能力以及應急響應能力。

其中：

· ? ? ? 組織設計能力規定企業應設立頂層安全生產委員會，下轄公司安全生產部門，用技術手段提升風險控制能力，保障業務穩定；打造安全生產文化，確保人人重視、有持續性提升；明確行為準則，用機制保護人，減少犯錯，降低損失，以此快速推進穩定治理，大幅收斂公司全局性故障和重大影響故障。

· ? ? ? 風險分析與識別模塊幫助企業通過對系統脆弱性、業務安全生產需求、系統已發生故障分析，尋找影響信息系統安全生產的潛在風險。

· ? ? ? 策略與管控模塊是針對已經分析發現的風險制定安全生產管控策略，通過降低、預防威脅發生，提前鞏固、消除脆弱性等手段預防風險的發生。

· ? ? ? 觀測與預警模塊是通過業務狀態觀測、云資源狀態觀測、大數據風險分析與預警以及預警管理等能力，快速發現風險。

· ? ? ? 應急響應模塊規定了企業縮短故障時間、快速恢復故障應該具備的響應和快恢能力，包括容災演練、切流、限流、降級、重啟、攔截、擴容等能力。

總結

系統安全受內部和外部雙重影響，在防止企業系統受外部影響上，信息安全目前相關理論研究和產品建設已經較為完善。當前系統故障更多原因是由于企業內部問題導致，安全工程成為降低系統故障體系化解決方案。

隨著企業上云和用云深入，阿里云混合云安全工程為企業上好云、安全用云提供了全套解決方案， 內容包括：安全工程標準培訓、企業安全工程標準評測認證（聯合信通院）、安全工程產品體系（運維風控等）、業務穩定性咨詢等產品與服務， 提升云上業務的安全可控。

?

---

阿里云混合云（Apsara Stack）建管用一體化的混合云平臺，助力企業級客戶全棧建云、智能管云、極致用云，致力于成為 #政企數智創新的同行者#！

更多資訊歡迎訪問【阿里云混合云】官網或加入釘群（32450454）交流。

總結

以上是生活随笔為你收集整理的Apsara Stack 技术百科 | 数字化业务系统安全工程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。