一、前言

近年來，各類網絡安全事件層出不窮，木馬病毒、信息泄漏、網絡詐騙等等字眼時常見諸媒體，就連年初美國的總統大選都被黑客鬧得雞飛狗跳，網絡安全從未像今天這樣受到整個社會的重視，那么對于絕大部分互聯網企業尤其是電商平臺而言，為消費者提供隱私信息保護以及安全可靠服務的重要性毋庸贅言。

蘇寧安全架構是伴隨蘇寧易購一起成長的，經歷了從無到有到逐步完善的過程，期間不管是在技術上還是在管理上，都遇到了非常多的難題，但一旦閉環安全體系完善起來后，安全事件發現、處理效率會得到極大提升。

二、安全組織架構

首先需要明確安全部門的組織架構，蘇寧的安全相關部門目前主要分為管理和研發兩大類。由于企業安全不僅包含外部網絡攻擊防護，還包含企業內部安全威脅檢查，所以安全部門非常特殊，必須要有一定的獨立性，否則合規審計、內外風控、漏洞處理、應急響應等工作根本無法開展。一般互聯網公司大都會成立一個較高級別的安全部門專門負責各類安全事務，因為這樣即方便管理又能減少溝通成本。蘇寧安全管理中心由CTO直接負責，集團所有安全相關事務都由它統一協調，安全研發工作主要由數據云團隊負責，個別子公司因業務需要也會有相對獨立的安全部門。

三、安全防護體系建設

蘇寧的安全部門最初是從網絡運維部門分離出來的，當時部門的工作內容也和安全開發完全無關，主要就是各類網絡設備以及操作系統的安全基線檢查，后來隨著蘇寧向互聯網轉型，安全部門才開始承擔起攻擊防護、風險檢測、漏洞處理等職責，逐步開始自研各類安全系統。由于當時安全工作都是圍繞蘇寧易購開展的，而蘇寧易購又是一個綜合網上購物平臺，所以保護消費者的個人信息和資金安全自然是重中之重，因此蘇寧安全防護平臺和蘇寧智能數據風控平臺是最早上線運行的兩個安全系統，之后又陸續開發上線了蘇寧安全服務平臺、蘇寧安全應急響應中心等系統。

蘇寧安全防護平臺：由離線入侵分析、實時攻擊檢測、大數據分析等模塊組成，主要負責各類常見的網絡攻擊的檢測和防御，是蘇寧的第一道安全防線；

蘇寧智能數據風控平臺：提供設備指紋、人機識別、敏感信息過濾、風險信息庫等功能，通過靈活的風控智能算法和風險措施保護消費者購物流程安全；

蘇寧安全服務平臺：主要是為蘇寧內部所有系統提供各類安全服務，包括漏洞掃描、滲透測試、系統加固、安全培訓等；

蘇寧安全應急響應中心：主要負責漏洞管理和威脅情報收集，以幫助提升蘇寧自身產品及業務的安全性，同時也希望借此加強與安全業界的合作與交流。

因為上述四個系統是蘇寧安全研發部門最主要的產品，也是蘇寧安全防護體系最核心的組成部分，基本囊括了企業安全的方方面面，限于篇幅，其它一些次要安全系統就不在此一一介紹了。

隨著這些安全系統陸續上線運行后，蘇寧的安全架構在逐漸完善，安全能力也得到了很大的提升，但是此時蘇寧自己的安全防護體系依然沒有建立起來，各個安全系統由不同安全團隊開發維護，分散在不同的業務線上，各自為戰，依然會遇到很多各個系統獨自無法解決的安全問題。比如平時為了吸引消費者，蘇寧易購經常會送大家很多各類優惠券，也會對一些熱門商品進行限時低價搶購，由于購買價格遠低于市場價格，常常會吸引來大量黃牛薅羊毛。此時智能數據風控平臺就開始起作用了，依賴訪問特征和訪問行為，能夠及時從海量數據里分析出哪些是黃牛請求并進行阻斷驗證，但是黃牛們為了保證成功買到這些低價商品，往往會租用大量服務器并發購買請求，即使請求都被風控識別阻斷，由于這些請求已經到了業務服務器，所有依然會對業務系統造成巨大的負載壓力。

最好的解決方案當然是在這些黃牛的請求到達業務系統之前就被攔截，那么處在蘇寧網絡邊界的安全防護平臺實時攻擊檢測模塊（WAF）自然是首選。其實黃牛并發的大量請求也可以看成CC攻擊，盡管請求發起者目的不同，但攻擊特征與攻擊效果是一樣的，而蘇寧攻擊防護平臺本身是具備CC攻擊防護能力的，可從實際效果看，還是有一部分請求繞過了CC攻擊防護規則檢測。這是由于黃牛發起的請求和正常用戶是沒有任何區別的，而且現在黃牛還會更換代理IP，偽造user-agent，一個帳號可能完成一次購買流程就結束了，普通CC攻擊的特征非常不明顯 ，安全防護平臺對于此類攻擊很難有效攔截阻斷。數據風控平臺善長識別卻不適合攔截，安全防護平臺適合攔截卻不善長識別，那么將安全防護平臺和數據風控平臺結合起來進行黃牛防護自然是最好的選擇了，所以我們對這兩個系統進行了改造，在安全防護平臺實時攻擊檢測模塊增加了一個風險黑名單庫，數據風控平臺實時將高風險特征如IP、設備號、帳號、會員號等寫入風險黑名單庫，實時攻擊檢測模塊會匹配每個請求是否有特征在此黑名單庫里，同時將攔截信息如某帳號被攔截N次，某IP觸犯什么規則等寫入數據風控平臺的風控規則庫，形成了一個簡單的閉環安全防護體系，這也是現在蘇寧安全防護體系的雛形。

類似的情況還有很多，比如利用漏掃系統訓練機器學習模型，用SRC漏洞完善安全規則等等，不過在不斷完善蘇寧安全防護體系的過程中，我們意識到僅僅兩兩系統之間實現數據交互依然是不夠的，由于各個安全系統數據來源單一且分析標準不一致，導致這些共享數據適用性并不高，利用效率低下。不僅僅安全系統，蘇寧幾千個系統每天都在生產大量的數據，可是并沒有任何一個系統會去專門分析這些數據，而潛在的攻擊很可能就隱藏在這海量的數據里。所以我們目前正在開發蘇寧自己的基于大數據架構的威脅感知系統，初期是將幾個核心安全系統的流量日志以統一的格式匯聚到威脅感知系統，利用關聯算法、異常分析算法等機器學習算法深入挖掘攻擊行為，收集威脅情報，積累攻擊特征數據，為蘇寧安全防護體系添加一顆無所不在、無所不知的聰明大腦，真正將蘇寧所有安全系統融合成一體，不僅要做到固若金湯，還要做到防患于未然。

在我們的長期規劃中，蘇寧威脅感知系統會逐步將蘇寧所有系統生產的流量數據納入分析范圍，并且還要與業界其它企業一起合作，共享威脅情報，加強安全信息交流，共建中國互聯網威脅感知平臺。

四、安全管理體系建設

對于外部攻擊者來講，企業是一個黑盒，雖然無從獲知企業內部網絡架構和安全系統詳情，但為了找到一個有效可利用的的漏洞他可能會進行各種嘗試，不同目的的攻擊者發起請求的方式和特征也會不同，所以企業絕不能期望一個安全系統就解決所有安全問題，也不能期望無限增加安全開發投入，頭痛醫頭腳痛醫腳。企業首先需要部署WAF、IDS/IPS、風控、漏掃等基本的安全系統，在此基礎上再將各個安全系統之間徹底打通，實現信息共享，融合成一套行之有效的安全防護體系，才能有效解決絕大部分安全問題。但是企業需要關注的不僅僅是外部威脅，堡壘往往是從內部攻破的，所以企業內部的安全威脅也不容忽視。從蘇寧近年來內部幾起安全事件發生原因總結看，基本都和安全意識淡薄、安全管理不規范密切相關，所以企業在搭建自己的安全防護體系的同時，也要搭建自己的安全管理體系。

蘇寧內部安全事件的管理已有一套成熟的運轉機制，在漏洞爆出之后，首先由安全管理中心評估此事故威脅程度并確認事故責任人，然后由安全研發中心協助給出解決方案，再由安全管理中心督促事故責任人所在部門修復漏洞，最后由安全管理中心總結本次事故經驗教訓并給予事故責任部門處罰。因為安全管理中心有考核其它研發中心安全規范的權限，所以這套管理方法還是行之有效的。但是安全問題的源頭還是人，如果僅僅依靠制度規范，肯定是無法解決所有內部安全問題的，甚至可能會阻礙企業發展，因此安全管理部門還應該做好內部員工的安全培訓，尤其是業務系統研發人員，定期進行安全相關培訓和考核，提高所有人的安全意識。

五、總結

僅僅做到以上這些就可以高枕無憂了嗎？答案當然是不，安全是一種攻防的對抗，是一種競爭，我們絕不能指望我們的敵人原地踏步，那只能自取滅亡。蘇寧的安全體系建設并不是一蹴而就的，安全架構也不是一成不變的，從傳統安全硬件到現在的各種云安全系統，從基于規則防護到現在的基于大數據、機器學習的自學習智能防護，不管是安全系統還是安全技術一直都在變化，我們必須腳踏實地地做好安全工作，不斷突破和創新。

出處：http://www.uml.org.cn/zjjs/201803021.asp

總結

以上是生活随笔為你收集整理的苏宁安全架构演进及实践的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。