一本书讲透混合云安全
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

2.2 识别业务安全的意义

不同公司的业务场景对应的风险不尽相同,比如视频网站存在视频盗播、账号共享、浏览器去广告插件等安全风险;金融行业存在交易安全风险;政府获取了大量公民信息,存在隐私泄露风险。

通常,政企移动端会有账户、交易、查询、支付及内容等几个方面,对应的安全手段并不相同,可以分为基础安全和纵深防御两部分。基础安全主要包括应用加固、日志搜集、数据备份、密码安全、零信任安全(统一身份认证管理)等,这部分安全承担着业务安全的基础防护;纵深防御承担着更高的安全使命,如南北向流量防护(WAF、下一代防火墙)、东西向流量防护(主机安全、端点安全防护)、高级威胁发现(APT攻击预警)、网络欺骗诱捕(蜜罐)、数据中心资源管理(多租户安全管理平台)、资产监测发现(资产测绘)、应用安全监控、运维审计安全(数据库审计、堡垒机、日志审计等)、威胁情报等。

同时,业务安全也离不开办公网的安全。办公网的主体是员工,个体上网行为千奇百怪,攻击面大于业务网。对于偏科技研发类的企业,图纸、配方等机密资料是最重要的,而这些往往直接存储在办公网上。此外,办公网还往往是业务网的信赖对象,后者很容易成为战略迂回攻击业务网的绝好跳板。近期,全球著名的某身份安全供应商就是因为员工在办公电脑上使用了个人Google账号记忆密码的功能而被攻陷。

“凡事预则立,不预则废”,只有抓住业务的主要脉络,行动起来,才能避免安全工作千头万绪但收效甚微,员工起早贪黑却碌碌无为。

2.2.1 金融行业

金融行业的信息安全工作需要围绕如何保障客户资金安全、客户信息安全、客户服务能够正常提供等开展。通过设计合理的业务逻辑、采取严密的身份验证措施和交易验证措施、建立风险监测模型、部署安全防控工具、加强运维保障等手段,在尽量简化客户操作、优化客户体验的同时,向客户提供安全稳定的服务。

金融业轰动一时的黑客攻击事件有,美国某信用评级机构被黑客攻击,超过1.4亿人的个人信息被泄露。

2.2.2 更多行业

能源行业一般大家的安全关注都在基础设施上。能源行业使用大量的工控系统来监测和控制电力设备、油气设备等,这些系统通常是老旧的软件和硬件,存在着安全漏洞,容易受到网络攻击。安全无小事,能源行业的防钓鱼和防DNS劫持也是重要的安全命题。近年来出现了一些新的形式,随着各种油价上涨的话题频繁冲上热搜,一些钓鱼网站为了混淆视听,故意将地址设置得和官网非常相似,比如仅有一个英文字母的差别,或是在网址栏输入时会自动跳出假网址。URL的微小差异很容易让人上当。网民在线充值油卡,网址不小心多打了一个s,被钓鱼网站坑一张充值卡,就损失几百元。

互联网行业的网络安全重点是保护数据,如用户个人信息、交易过程等,同时需要保障庞大的网络基础设施的安全,包括服务器、路由器、交换机等硬件设备的安全,以及操作系统、数据库等软件的安全。2018年,四川一男子发现了某约车平台的破绽,不仅打车不用花钱,还疯狂套现了50万元。除了这种直接的资金损失,黑客行为还有可能带来间接损失。2016年,某公司发生了用户数据被盗事件,直接导致该公司股价跌幅超过6%,甚至影响到收购事宜。

在网络安全面临威胁的情况下,各行各业都很难独善其身。