《网络安全法》实施五年来,中国的互联网行业正在由web2.0时代走向web3.0时代。在移动互联网、云计算等相关领域的助推下,我们已经处于全新的大数据时代,用户信息安全的重要性已经远超以往任何一个时代。
面对移动化、数字化安全形势,多点DMALL将信息安全上升到企业的战略发展层面,在技术层面加强重视和投入,组建了符合多点特色业务的网络安全强军,严格要求业务满足网络安全行业标准,例如ISO27001信息安全管理体系认证、GDPR等规范,不断提高企业自身以及广大用户、消费者的数据安全。
在企业生产过程中,网络安全挑战存在各个方面。如果用户信息数据保护不当,极有可能被不法分子、不良商家使用非法手段获取,在用户未经允许、不知情的情况下进行非法售卖、使用,对⽤户的隐私权、知情权等都造成危害,甚⾄会威胁⼈⾝安全。多点DMALL高度重视用户信息安全,依据《数据安全法》《个人信息保护法》,在用户授权的前提下获取必要信息,并通过动态加密存储敏用户感信息、严格控制数据权限、定期审核数据访问日志等方式,对用户信息进行高度保护。
在推进网络安全建设方面,多点DMALL从多个层面开展工作。对于网络基础设施安全,对每一个生产服务器完成安全基线建设、部署主机安全产品,进行安全能力覆盖漏洞扫描、系统补丁检查、木马病毒监控、监控与拦截常见入侵行为等;在每个网络环境、网络进出口部署各种安全分析、告警、拦截设备,例如IPS、防火墙、WEB应用防火墙、蜜罐系统;在网络隔离方面,不同的网络环境无法相互联通,端口仅开放与业务相关端口,例如生产环境网络环境仅开放80、443、8080端口。
对于业务代码安全,多点DMALL依据自身代码与业务特性建立研发流程管理,并以此为基础设计多点DMALL的DevSecOps能力,在产品设计中注入安全需求,在代码编写阶段提供代码扫描工具,在产品测试阶段加入IAST安全扫描能力覆盖常见安全漏洞,在产品上线前进行人工渗透测试、第三方安全公司外部安全测试,最终进行上线运营。
对于安全运营,对所有的安全设备进行日常运营,分析设备日志,在第一时间确认安全风险;推出多点安全应急响应中心(DMSRC),负责接收安全社区、第三方安全漏洞通告,弥补安全建设问题;每季度对多点所有资产进行安全渗透测试,覆盖多点所有业务系统、生产环境、各移动互联应用,发现的安全问题将及时告知对应负责人进行修复、复测,将安全问题消灭在内部。
同时,多点DMALL推行《网络安全应急响应流程》,将第一时间对发生网络安全的风险进行规避。例如,对log4j的0day安全漏洞通告,在通告发出后2小时内所有线上业务均可拦截log4j安全漏洞攻击,在48小时内完成所有涉及log4j漏洞的应用整改。
保护用户信息安全,我们还需要做些什么?多点DMALL作为SaaS服务提供者,离不开“云”技术,大量采用了微服务或Serverless技术。多点DMALL安全团队将继续深耕符合业务发展的安全技术,搭建不同的安全防御、监测设备与平台工具,建设云原生安全能力,容器安全技术,立志于做到线上安全零事故发生。保护信息的完整、保密、可用、可控,离不开整个行业乃至整个社会的共同努力。信息安全对抗是信息和技术的对抗,我们要了解网络攻击者使用的攻击技术,从而以攻促防;我们要比攻击者有更灵通的漏洞消息,在攻击者前掌握各种安全漏洞与风险,在实施攻击前将漏洞修复。
在此,我们呼吁安全厂商、软件厂商、企业、白帽子等各方力量更加紧密地合作,为用户营造更为健康、安全的网络环境。