7月17日的北京,一大早便烏云壓城,正值漏洞平臺(tái)烏云網(wǎng)(Wooyun.org)舉辦烏云第二屆“白帽子大會(huì)”。這一次,著名黑客大會(huì)HITCON也第一次走出臺(tái)灣,與烏云網(wǎng)聯(lián)手,組織分享信息安全領(lǐng)域的攻防最新趨勢(shì)和業(yè)務(wù)安全經(jīng)驗(yàn)。在大會(huì)上,去哪兒網(wǎng)安全總監(jiān)郭添森分享了如何從0到1的打造企業(yè)信息安全的經(jīng)驗(yàn)。
眾所周知,在攜程“泄密門”事件中,大規(guī)模的攜程用戶信用卡信息面臨泄露風(fēng)險(xiǎn),曾引發(fā)大批用戶的恐慌。據(jù)悉,做為同類型網(wǎng)站的去哪兒,其安全在國(guó)內(nèi)能夠排到前幾名,安全部門在去哪兒內(nèi)部也很有話語(yǔ)權(quán)。
做為老一輩的大黑客,郭添森曾是藝龍網(wǎng)最早的的安全人員,也是去哪兒網(wǎng)的第一個(gè)安全人員。
郭添森將去哪兒網(wǎng)的安全工作分成了三個(gè)階段。第一階段是安全融入基礎(chǔ)IT,第二階段是融入企業(yè)業(yè)務(wù),第三階段是融入企業(yè)文化。
在第一階段,公司剛剛起步,因此安全主要的工作方向是組建團(tuán)隊(duì),熟悉環(huán)境、滅火、設(shè)立技術(shù)制度流程和技術(shù)標(biāo)準(zhǔn)最終解決網(wǎng)絡(luò)層面的問(wèn)題。
在第二階段,隨著業(yè)務(wù)數(shù)量逐步升級(jí),安全的工作則放在了完善制度流程和SOX404 PCI DSS標(biāo)準(zhǔn)等方面。其中,最重要的事情是建立自動(dòng)化系統(tǒng),確保安全規(guī)劃落地執(zhí)行。主要解決操作系統(tǒng)、數(shù)據(jù)庫(kù)、系統(tǒng)應(yīng)用、web應(yīng)用層面的問(wèn)題。
在第三階段,到了公司成立的第四年,安全工作的重點(diǎn)變化,更多的投入在數(shù)據(jù)安全、業(yè)務(wù)安全上。“尤其是數(shù)據(jù)安全,是行業(yè)內(nèi)的公司都會(huì)面臨的問(wèn)題,也是普遍消費(fèi)者會(huì)遇到的問(wèn)題。”郭添森說(shuō)。
去哪兒網(wǎng)所采取的措施就是制定標(biāo)準(zhǔn);申請(qǐng)PCI DSS認(rèn)證,保護(hù)用戶信用卡相關(guān)數(shù)據(jù);為保護(hù)用戶個(gè)人隱私數(shù)據(jù),做加密、清洗、打碼;自動(dòng)抽樣、授權(quán)、并人工巡查github等渠道。
郭添森還指出,面對(duì)業(yè)務(wù)和安全如何平衡的問(wèn)題,安全的使命是消除風(fēng)險(xiǎn)還是控制風(fēng)險(xiǎn),較好的方式可能是用恰當(dāng)?shù)氖侄魏屯度肟刂骑L(fēng)險(xiǎn)?;A(chǔ)架構(gòu)運(yùn)維和安全的關(guān)系最緊密,必須與基礎(chǔ)架構(gòu)部門合作共贏,與業(yè)務(wù)部門找到切入對(duì)合適時(shí)機(jī)和方式,過(guò)早優(yōu)化和過(guò)度優(yōu)化都不合適。有的時(shí)候沖突的解決要依靠妥協(xié)和升級(jí)。