一、前言

近年來，各類網(wǎng)絡(luò)安全事件層出不窮，木馬病毒、信息泄漏、網(wǎng)絡(luò)詐騙等等字眼時常見諸媒體，就連年初美國的總統(tǒng)大選都被黑客鬧得雞飛狗跳，網(wǎng)絡(luò)安全從未像今天這樣受到整個社會的重視，那么對于絕大部分互聯(lián)網(wǎng)企業(yè)尤其是電商平臺而言，為消費者提供隱私信息保護以及安全可靠服務(wù)的重要性毋庸贅言。

蘇寧安全架構(gòu)是伴隨蘇寧易購一起成長的，經(jīng)歷了從無到有到逐步完善的過程，期間不管是在技術(shù)上還是在管理上，都遇到了非常多的難題，但一旦閉環(huán)安全體系完善起來后，安全事件發(fā)現(xiàn)、處理效率會得到極大提升。

二、安全組織架構(gòu)

首先需要明確安全部門的組織架構(gòu)，蘇寧的安全相關(guān)部門目前主要分為管理和研發(fā)兩大類。由于企業(yè)安全不僅包含外部網(wǎng)絡(luò)攻擊防護，還包含企業(yè)內(nèi)部安全威脅檢查，所以安全部門非常特殊，必須要有一定的獨立性，否則合規(guī)審計、內(nèi)外風(fēng)控、漏洞處理、應(yīng)急響應(yīng)等工作根本無法開展。一般互聯(lián)網(wǎng)公司大都會成立一個較高級別的安全部門專門負(fù)責(zé)各類安全事務(wù)，因為這樣即方便管理又能減少溝通成本。蘇寧安全管理中心由CTO直接負(fù)責(zé)，集團所有安全相關(guān)事務(wù)都由它統(tǒng)一協(xié)調(diào)，安全研發(fā)工作主要由數(shù)據(jù)云團隊負(fù)責(zé)，個別子公司因業(yè)務(wù)需要也會有相對獨立的安全部門。

三、安全防護體系建設(shè)

蘇寧的安全部門最初是從網(wǎng)絡(luò)運維部門分離出來的，當(dāng)時部門的工作內(nèi)容也和安全開發(fā)完全無關(guān)，主要就是各類網(wǎng)絡(luò)設(shè)備以及操作系統(tǒng)的安全基線檢查，后來隨著蘇寧向互聯(lián)網(wǎng)轉(zhuǎn)型，安全部門才開始承擔(dān)起攻擊防護、風(fēng)險檢測、漏洞處理等職責(zé)，逐步開始自研各類安全系統(tǒng)。由于當(dāng)時安全工作都是圍繞蘇寧易購開展的，而蘇寧易購又是一個綜合網(wǎng)上購物平臺，所以保護消費者的個人信息和資金安全自然是重中之重，因此蘇寧安全防護平臺和蘇寧智能數(shù)據(jù)風(fēng)控平臺是最早上線運行的兩個安全系統(tǒng)，之后又陸續(xù)開發(fā)上線了蘇寧安全服務(wù)平臺、蘇寧安全應(yīng)急響應(yīng)中心等系統(tǒng)。

蘇寧安全防護平臺：由離線入侵分析、實時攻擊檢測、大數(shù)據(jù)分析等模塊組成，主要負(fù)責(zé)各類常見的網(wǎng)絡(luò)攻擊的檢測和防御，是蘇寧的第一道安全防線；

蘇寧智能數(shù)據(jù)風(fēng)控平臺：提供設(shè)備指紋、人機識別、敏感信息過濾、風(fēng)險信息庫等功能，通過靈活的風(fēng)控智能算法和風(fēng)險措施保護消費者購物流程安全；

蘇寧安全服務(wù)平臺：主要是為蘇寧內(nèi)部所有系統(tǒng)提供各類安全服務(wù)，包括漏洞掃描、滲透測試、系統(tǒng)加固、安全培訓(xùn)等；

蘇寧安全應(yīng)急響應(yīng)中心：主要負(fù)責(zé)漏洞管理和威脅情報收集，以幫助提升蘇寧自身產(chǎn)品及業(yè)務(wù)的安全性，同時也希望借此加強與安全業(yè)界的合作與交流。

因為上述四個系統(tǒng)是蘇寧安全研發(fā)部門最主要的產(chǎn)品，也是蘇寧安全防護體系最核心的組成部分，基本囊括了企業(yè)安全的方方面面，限于篇幅，其它一些次要安全系統(tǒng)就不在此一一介紹了。

隨著這些安全系統(tǒng)陸續(xù)上線運行后，蘇寧的安全架構(gòu)在逐漸完善，安全能力也得到了很大的提升，但是此時蘇寧自己的安全防護體系依然沒有建立起來，各個安全系統(tǒng)由不同安全團隊開發(fā)維護，分散在不同的業(yè)務(wù)線上，各自為戰(zhàn)，依然會遇到很多各個系統(tǒng)獨自無法解決的安全問題。比如平時為了吸引消費者，蘇寧易購經(jīng)常會送大家很多各類優(yōu)惠券，也會對一些熱門商品進行限時低價搶購，由于購買價格遠低于市場價格，常常會吸引來大量黃牛薅羊毛。此時智能數(shù)據(jù)風(fēng)控平臺就開始起作用了，依賴訪問特征和訪問行為，能夠及時從海量數(shù)據(jù)里分析出哪些是黃牛請求并進行阻斷驗證，但是黃牛們?yōu)榱吮ＷC成功買到這些低價商品，往往會租用大量服務(wù)器并發(fā)購買請求，即使請求都被風(fēng)控識別阻斷，由于這些請求已經(jīng)到了業(yè)務(wù)服務(wù)器，所有依然會對業(yè)務(wù)系統(tǒng)造成巨大的負(fù)載壓力。

最好的解決方案當(dāng)然是在這些黃牛的請求到達業(yè)務(wù)系統(tǒng)之前就被攔截，那么處在蘇寧網(wǎng)絡(luò)邊界的安全防護平臺實時攻擊檢測模塊（WAF）自然是首選。其實黃牛并發(fā)的大量請求也可以看成CC攻擊，盡管請求發(fā)起者目的不同，但攻擊特征與攻擊效果是一樣的，而蘇寧攻擊防護平臺本身是具備CC攻擊防護能力的，可從實際效果看，還是有一部分請求繞過了CC攻擊防護規(guī)則檢測。這是由于黃牛發(fā)起的請求和正常用戶是沒有任何區(qū)別的，而且現(xiàn)在黃牛還會更換代理IP，偽造user-agent，一個帳號可能完成一次購買流程就結(jié)束了，普通CC攻擊的特征非常不明顯 ，安全防護平臺對于此類攻擊很難有效攔截阻斷。數(shù)據(jù)風(fēng)控平臺善長識別卻不適合攔截，安全防護平臺適合攔截卻不善長識別，那么將安全防護平臺和數(shù)據(jù)風(fēng)控平臺結(jié)合起來進行黃牛防護自然是最好的選擇了，所以我們對這兩個系統(tǒng)進行了改造，在安全防護平臺實時攻擊檢測模塊增加了一個風(fēng)險黑名單庫，數(shù)據(jù)風(fēng)控平臺實時將高風(fēng)險特征如IP、設(shè)備號、帳號、會員號等寫入風(fēng)險黑名單庫，實時攻擊檢測模塊會匹配每個請求是否有特征在此黑名單庫里，同時將攔截信息如某帳號被攔截N次，某IP觸犯什么規(guī)則等寫入數(shù)據(jù)風(fēng)控平臺的風(fēng)控規(guī)則庫，形成了一個簡單的閉環(huán)安全防護體系，這也是現(xiàn)在蘇寧安全防護體系的雛形。

類似的情況還有很多，比如利用漏掃系統(tǒng)訓(xùn)練機器學(xué)習(xí)模型，用SRC漏洞完善安全規(guī)則等等，不過在不斷完善蘇寧安全防護體系的過程中，我們意識到僅僅兩兩系統(tǒng)之間實現(xiàn)數(shù)據(jù)交互依然是不夠的，由于各個安全系統(tǒng)數(shù)據(jù)來源單一且分析標(biāo)準(zhǔn)不一致，導(dǎo)致這些共享數(shù)據(jù)適用性并不高，利用效率低下。不僅僅安全系統(tǒng)，蘇寧幾千個系統(tǒng)每天都在生產(chǎn)大量的數(shù)據(jù)，可是并沒有任何一個系統(tǒng)會去專門分析這些數(shù)據(jù)，而潛在的攻擊很可能就隱藏在這海量的數(shù)據(jù)里。所以我們目前正在開發(fā)蘇寧自己的基于大數(shù)據(jù)架構(gòu)的威脅感知系統(tǒng)，初期是將幾個核心安全系統(tǒng)的流量日志以統(tǒng)一的格式匯聚到威脅感知系統(tǒng)，利用關(guān)聯(lián)算法、異常分析算法等機器學(xué)習(xí)算法深入挖掘攻擊行為，收集威脅情報，積累攻擊特征數(shù)據(jù)，為蘇寧安全防護體系添加一顆無所不在、無所不知的聰明大腦，真正將蘇寧所有安全系統(tǒng)融合成一體，不僅要做到固若金湯，還要做到防患于未然。

在我們的長期規(guī)劃中，蘇寧威脅感知系統(tǒng)會逐步將蘇寧所有系統(tǒng)生產(chǎn)的流量數(shù)據(jù)納入分析范圍，并且還要與業(yè)界其它企業(yè)一起合作，共享威脅情報，加強安全信息交流，共建中國互聯(lián)網(wǎng)威脅感知平臺。

四、安全管理體系建設(shè)

對于外部攻擊者來講，企業(yè)是一個黑盒，雖然無從獲知企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)和安全系統(tǒng)詳情，但為了找到一個有效可利用的的漏洞他可能會進行各種嘗試，不同目的的攻擊者發(fā)起請求的方式和特征也會不同，所以企業(yè)絕不能期望一個安全系統(tǒng)就解決所有安全問題，也不能期望無限增加安全開發(fā)投入，頭痛醫(yī)頭腳痛醫(yī)腳。企業(yè)首先需要部署WAF、IDS/IPS、風(fēng)控、漏掃等基本的安全系統(tǒng)，在此基礎(chǔ)上再將各個安全系統(tǒng)之間徹底打通，實現(xiàn)信息共享，融合成一套行之有效的安全防護體系，才能有效解決絕大部分安全問題。但是企業(yè)需要關(guān)注的不僅僅是外部威脅，堡壘往往是從內(nèi)部攻破的，所以企業(yè)內(nèi)部的安全威脅也不容忽視。從蘇寧近年來內(nèi)部幾起安全事件發(fā)生原因總結(jié)看，基本都和安全意識淡薄、安全管理不規(guī)范密切相關(guān)，所以企業(yè)在搭建自己的安全防護體系的同時，也要搭建自己的安全管理體系。

蘇寧內(nèi)部安全事件的管理已有一套成熟的運轉(zhuǎn)機制，在漏洞爆出之后，首先由安全管理中心評估此事故威脅程度并確認(rèn)事故責(zé)任人，然后由安全研發(fā)中心協(xié)助給出解決方案，再由安全管理中心督促事故責(zé)任人所在部門修復(fù)漏洞，最后由安全管理中心總結(jié)本次事故經(jīng)驗教訓(xùn)并給予事故責(zé)任部門處罰。因為安全管理中心有考核其它研發(fā)中心安全規(guī)范的權(quán)限，所以這套管理方法還是行之有效的。但是安全問題的源頭還是人，如果僅僅依靠制度規(guī)范，肯定是無法解決所有內(nèi)部安全問題的，甚至可能會阻礙企業(yè)發(fā)展，因此安全管理部門還應(yīng)該做好內(nèi)部員工的安全培訓(xùn)，尤其是業(yè)務(wù)系統(tǒng)研發(fā)人員，定期進行安全相關(guān)培訓(xùn)和考核，提高所有人的安全意識。

五、總結(jié)

僅僅做到以上這些就可以高枕無憂了嗎？答案當(dāng)然是不，安全是一種攻防的對抗，是一種競爭，我們絕不能指望我們的敵人原地踏步，那只能自取滅亡。蘇寧的安全體系建設(shè)并不是一蹴而就的，安全架構(gòu)也不是一成不變的，從傳統(tǒng)安全硬件到現(xiàn)在的各種云安全系統(tǒng)，從基于規(guī)則防護到現(xiàn)在的基于大數(shù)據(jù)、機器學(xué)習(xí)的自學(xué)習(xí)智能防護，不管是安全系統(tǒng)還是安全技術(shù)一直都在變化，我們必須腳踏實地地做好安全工作，不斷突破和創(chuàng)新。

出處：http://www.uml.org.cn/zjjs/201803021.asp

總結(jié)

以上是生活随笔為你收集整理的苏宁安全架构演进及实践的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。