色呦呦在线观看91,久久香蕉爱网

我們只關(guān)注教育

從初創(chuàng)到成熟企業(yè)需要注意哪些安全問題

來(lái)源：青橘網(wǎng)綜合發(fā)表于2020-06-11 15:12:01 編輯：楊青青

摘要: 原標(biāo)題：從初創(chuàng)到成熟，企業(yè)需要注意哪些安全問題安全，長(zhǎng)期以來(lái)是企業(yè)最容易忽視的關(guān)鍵點(diǎn)之一。安全問題發(fā)生前，存在感低;然而發(fā)生以后，損失卻

　　原標(biāo)題：　從初創(chuàng)到成熟，企業(yè)需要注意哪些安全問題

　　安全，長(zhǎng)期以來(lái)是企業(yè)最容易忽視的關(guān)鍵點(diǎn)之一。安全問題發(fā)生前，存在感低;然而發(fā)生以后，損失卻已經(jīng)難以挽回。在白皮書《后疫情時(shí)期，初創(chuàng)企業(yè)安全生存指南》中我們提到，企業(yè)為什么要做安全建設(shè)的三大要點(diǎn)：

　　● 防損：避免安全問題帶來(lái)?yè)p失，造成致命打擊

　　● 增長(zhǎng)：保障業(yè)務(wù)安全穩(wěn)定從而支撐增長(zhǎng)

　　● 合規(guī)：讓業(yè)務(wù)符合國(guó)家法律法規(guī)，保障安全同時(shí)避免法律風(fēng)險(xiǎn)

　　今天我們繼續(xù)從另一角度深入探討，處在不同發(fā)展階段的企業(yè)，需要重點(diǎn)關(guān)注哪些安全問題?

　　初創(chuàng)期——關(guān)鍵點(diǎn)：保障業(yè)務(wù)順利上線

　　創(chuàng)業(yè)公司在早期，目標(biāo)就是盡可能久地活下來(lái)。為了找到市場(chǎng)機(jī)會(huì)產(chǎn)品會(huì)快速迭代，不斷探索調(diào)整業(yè)務(wù)方向，這也意味著在創(chuàng)業(yè)公司業(yè)務(wù)快速發(fā)展的同時(shí)，運(yùn)維策略和研發(fā)過程都可能不太規(guī)范。

　　為了保障業(yè)務(wù)順利上線，有這幾點(diǎn)安全工作是必須要做的。

　　1.為網(wǎng)站、APP、小程序等業(yè)務(wù)系統(tǒng)安裝數(shù)字證書(SSL證書)

　　SSL證書是數(shù)字證書的一種，它的作用是在客戶端瀏覽器和Web服務(wù)器之間建立一條SSL安全通道。

　　不安裝SSL證書，采用HTTP通信，就是不加密的通信。所有信息以明文的形式傳播，這會(huì)帶來(lái)三大風(fēng)險(xiǎn)。

　　● 竊聽風(fēng)險(xiǎn)：第三方可以獲知通信內(nèi)容

　　● 篡改風(fēng)險(xiǎn)：第三方可以修改通信內(nèi)容

　　● 冒充風(fēng)險(xiǎn)：第三方可以冒充他人參與通信

　　好在創(chuàng)業(yè)公司在SSL證書上的花費(fèi)并不會(huì)太高，現(xiàn)在市面上許多有免費(fèi)的證書可以選擇。當(dāng)然，如果有更高安全的需求，也可以選擇付費(fèi)購(gòu)買。

　　2.上線前對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全檢測(cè)

　　根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》的數(shù)據(jù)顯示，2019年，國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄安全漏洞數(shù)量創(chuàng)下歷史新高，共計(jì)16193 個(gè)。

　　2019年收錄的安全漏洞數(shù)量中，按影響對(duì)象分類統(tǒng)計(jì)，排名前三的是應(yīng)用程序漏洞、 Web應(yīng)用漏洞、操作系統(tǒng)漏洞。

　　數(shù)據(jù)來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中?從數(shù)據(jù)可以看出，不管是什么樣的業(yè)務(wù)系統(tǒng)，大部分都會(huì)被漏洞影響。要保障業(yè)務(wù)順利上線，安全測(cè)試必不可少。

　　初創(chuàng)公司可以使用免費(fèi)開源的漏洞掃描工具如：OpenVAS、Nikto。但免費(fèi)工具也意味著對(duì)開發(fā)者的安全素養(yǎng)要求較高。

　　如果沒有專業(yè)的安全運(yùn)維人員，可以使用商業(yè)的漏洞掃描工具，掃描后會(huì)出具報(bào)告以及修復(fù)建議。

　　漏洞掃描只能基于漏洞數(shù)據(jù)庫(kù)對(duì)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，通常是作為滲透測(cè)試的前奏。如果是正式對(duì)外上線并且有大流量的業(yè)務(wù)系統(tǒng)，建議在上線前需要對(duì)系統(tǒng)進(jìn)行滲透測(cè)試。

　　滲透測(cè)試是模擬黑客攻擊對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全性測(cè)試，可以比黑客更早發(fā)現(xiàn)導(dǎo)致企業(yè)數(shù)據(jù)泄露、資產(chǎn)受損、數(shù)據(jù)被篡改等風(fēng)險(xiǎn)的漏洞。

　　初創(chuàng)公司一般沒有自己的安全團(tuán)隊(duì)，可以選擇第三方專業(yè)安全公司提供的滲透測(cè)試服務(wù)，或者接入第三方安全眾測(cè)。

　　3.接入免費(fèi)或者低費(fèi)用的云安全產(chǎn)品

　　云安全產(chǎn)品有天生的優(yōu)勢(shì)，方便、易用、門檻低，而且一般產(chǎn)品都是按需付費(fèi)，對(duì)初期的創(chuàng)業(yè)公司來(lái)說，是控制成本的絕佳方式。

　　創(chuàng)業(yè)公司如果已經(jīng)接入了公有云廠商的云服務(wù)，可以選擇云廠商提供的附帶云安全產(chǎn)品，也可以選擇專業(yè)云安全公司的產(chǎn)品。

　　為應(yīng)對(duì)復(fù)雜且多變網(wǎng)絡(luò)環(huán)境，創(chuàng)業(yè)公司網(wǎng)站通常需要接入云WAF以抵御黑客的攻擊。

　　根據(jù)知道創(chuàng)宇云防御平臺(tái)攔截的Web應(yīng)用攻擊數(shù)據(jù)顯示，2019年攻擊趨勢(shì)呈現(xiàn)出高強(qiáng)度、持續(xù)性的特征。全年攔截網(wǎng)絡(luò)攻擊3321億次，相比2018年上升12.3%。其中惡意網(wǎng)絡(luò)爬蟲攻擊首次超過掃描器攻擊攔截惡意爬蟲超927億次，占全年攻擊總量的36%。

　　數(shù)據(jù)來(lái)源:知道創(chuàng)宇云防御平臺(tái)除此之外，網(wǎng)站還可以選擇接入CDN，安全加速業(yè)務(wù)系統(tǒng)的同時(shí)減少創(chuàng)業(yè)公司的帶寬投入。既提高用戶訪問速度，又減少了成本開支。

　　如果是高風(fēng)險(xiǎn)行業(yè)，如游戲、電商、金融等，DDoS防御也必不可少。這種流氓的攻擊方式，讓許多創(chuàng)業(yè)公司苦不堪言。由于攻擊與防御成本嚴(yán)重傾斜，許多創(chuàng)業(yè)公司會(huì)面臨沒有資金防御攻擊的尷尬境地。

　　因此，在前期可以通過架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^載流量，并通過接入第三方服務(wù)攔截惡意流量。這種防御思想更為“理智”，而且對(duì)抗效果良好。

　　成長(zhǎng)期——關(guān)鍵點(diǎn)：讓業(yè)務(wù)穩(wěn)定運(yùn)行

　　成長(zhǎng)期的創(chuàng)業(yè)公司已經(jīng)過跨過了初期不斷迭代探索的鴻溝，開始有了較為穩(wěn)定的業(yè)務(wù)模式。這個(gè)階段是創(chuàng)業(yè)公司高速發(fā)展的時(shí)期，業(yè)務(wù)的穩(wěn)定運(yùn)行也自然成為了快速增長(zhǎng)的保障。針對(duì)這個(gè)階段的創(chuàng)業(yè)公司來(lái)說，對(duì)安全的投入需要更加用心。

　　1·聘請(qǐng)專業(yè)的安全人員

　　成長(zhǎng)期的創(chuàng)業(yè)公司，對(duì)安全的需求更為迫切。這時(shí)，若發(fā)生安全事故，將會(huì)對(duì)快速發(fā)展的成長(zhǎng)期創(chuàng)業(yè)公司帶來(lái)致命打擊。所以聘請(qǐng)專人負(fù)責(zé)公司安全，顯得十分必要。

　　專業(yè)的事交給專業(yè)的人做，可以減少公司不必要的人力成本投入。人才是公司安全發(fā)展的根本，創(chuàng)業(yè)公司在成長(zhǎng)期可以開始引入安全工程師，人數(shù)不必過多，可以隸屬于公司的信息部門。

　　2.IPv6安全部署

　　隨著全球IPv4地址的耗盡，以IPv6為代表的下一代互聯(lián)網(wǎng)技術(shù)應(yīng)運(yùn)而生。國(guó)家層面出臺(tái)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》，全力推進(jìn)互聯(lián)網(wǎng)演進(jìn)升級(jí)和健康創(chuàng)新發(fā)展。接入IPv6已然成為業(yè)務(wù)剛需，現(xiàn)目前不支持IPv6等于放棄市場(chǎng)。

　　在發(fā)展的同時(shí)，IPv6的安全風(fēng)險(xiǎn)也開始顯現(xiàn)，IPv6網(wǎng)絡(luò)攻擊數(shù)量劇增，攻擊范圍也在逐漸擴(kuò)大。僅2019年，知道創(chuàng)宇云防御平臺(tái)共攔截來(lái)自IPv6網(wǎng)絡(luò)攻擊9.2億余次，總訪問請(qǐng)求中有8.3%的請(qǐng)求為網(wǎng)絡(luò)攻擊。

　　在大量攻擊的背景下，成長(zhǎng)期的創(chuàng)業(yè)公司需要重視IPv6的安全部署。

　　3.嚴(yán)格管理內(nèi)部業(yè)務(wù)權(quán)限

　　據(jù)著名國(guó)際咨詢服務(wù)公司W(wǎng)illis Towers Watson的網(wǎng)絡(luò)保險(xiǎn)理賠數(shù)據(jù)顯示，2/3的網(wǎng)絡(luò)安全問題是由于員工疏忽和瀆職而直接或間接造成的。相較之下，僅有18%的網(wǎng)絡(luò)安全問題是由外部威脅直接引發(fā)的。

　　數(shù)據(jù)來(lái)源：Willis Towers Watson因此，成長(zhǎng)期的創(chuàng)業(yè)公司必須重視內(nèi)部權(quán)限管理，包括數(shù)據(jù)庫(kù)、服務(wù)器、后臺(tái)等各種關(guān)系公司核心資產(chǎn)的權(quán)限。

　　必要時(shí)建議開始雙重驗(yàn)證，這樣可以最大程度避免一個(gè)員工的誤操作或惡意行為。

　　今年2月微盟數(shù)據(jù)庫(kù)被刪事件，直接影響了300萬(wàn)商家。微盟受事故影響，市值一日內(nèi)蒸發(fā)超12億港元。一場(chǎng)人為的破壞導(dǎo)致了無(wú)法估量的損失，讓成千上萬(wàn)的商家生意停擺。

　　這次事件再次給業(yè)界同行敲響警鐘：數(shù)據(jù)安全管理無(wú)小事。所以企業(yè)在進(jìn)行數(shù)據(jù)管理需要做到兩點(diǎn)：

　　● 實(shí)行嚴(yán)格的備份機(jī)制

　　● 管理權(quán)限分開

　　成熟期——關(guān)鍵點(diǎn)：加強(qiáng)安全建設(shè)

　　普華永道在報(bào)告《從初創(chuàng)到成熟，獨(dú)角獸企業(yè)如何識(shí)別風(fēng)險(xiǎn)、迅速響應(yīng)?》里提到：僅有39%的受訪企業(yè)表示他們有危機(jī)應(yīng)對(duì)計(jì)劃并進(jìn)行過測(cè)試，有44%的成熟獨(dú)角獸企業(yè)尚沒有危機(jī)應(yīng)對(duì)計(jì)劃及預(yù)案。

　　數(shù)據(jù)來(lái)源：《普華永道獨(dú)角獸CEO調(diào)研2018》普華永道還提到：能否預(yù)測(cè)各種不確定性并適當(dāng)?shù)奶幚聿淮_定性、建立有效的危機(jī)應(yīng)對(duì)計(jì)劃及預(yù)案，成為創(chuàng)業(yè)成功與否的決勝因素。

　　越成熟的創(chuàng)業(yè)公司，越依賴數(shù)字化，更應(yīng)該重視安全建設(shè)。

　　1·打造強(qiáng)有力的安全團(tuán)隊(duì)

　　成熟創(chuàng)業(yè)公司有必要打造自己的安全團(tuán)隊(duì)。處于此階段的創(chuàng)業(yè)公司通常也在經(jīng)歷B-C輪融資，或籌備上市，安全問題不應(yīng)該成為資本流失的隱患。

　　安全團(tuán)隊(duì)可以幫助公司及時(shí)發(fā)現(xiàn)問題，他們可以全權(quán)負(fù)責(zé)公司內(nèi)外部的安全建設(shè)。

　　2.定期進(jìn)行業(yè)務(wù)安全檢測(cè)

　　安全檢測(cè)可以由自己的安全團(tuán)隊(duì)進(jìn)行，也可以由安全公司協(xié)助完成。定期的安全檢查，可以發(fā)現(xiàn)潛在隱患并及時(shí)修復(fù)，以確保業(yè)務(wù)系統(tǒng)安全性。

　　3.選購(gòu)貼合業(yè)務(wù)的商業(yè)安全產(chǎn)品

　　安全團(tuán)隊(duì)與商業(yè)安全產(chǎn)品的加持下，可以讓安全工作更易進(jìn)行。專業(yè)人員與專業(yè)工具結(jié)合，可以最大程度的提升公司安全能力。

　　4.員工安全意識(shí)培訓(xùn)

　　前面有提到：2/3的網(wǎng)絡(luò)安全問題是由于員工疏忽和瀆職而直接或間接造成的。所以在加強(qiáng)權(quán)限管理的同時(shí)，成熟的創(chuàng)業(yè)公司需要對(duì)員工做安全培訓(xùn)，這時(shí)公司有能力，也有必要去做這項(xiàng)安全措施。除此之外，為了幫助企業(yè)低成本提高抗風(fēng)險(xiǎn)能力，近期知道創(chuàng)宇發(fā)起了復(fù)蘇季·安全助力活動(dòng)，免費(fèi)開放多款安全產(chǎn)品，讓不同階段的企業(yè)能低成本快速完成安全建設(shè)，避免安全問題造成致命打擊。