安全無小事 如何給企業使用者資料上把鎖?

2021-09-19 09:47:35 字數 2187 閱讀 4565

安全無小事!這句話放在網際網路行業依然很貼切。對企業而言,使用者的資料資訊就是發展的命脈。但是對安全領域稍微了解的人都有乙個共識,那就是網路攻擊者所使用的方法、技術和工具的發展速度都遠遠超過網路防禦者。而新興的網路威脅正在不斷「侵蝕」著企業的網路、核心資料以及應用程式安全。我們應該如何應對?

對國內新興的汽車電商平台愛車網而言,對使用者的資料資訊保護從來都是 it 團隊工作的「重中之重」。愛車網的 ceo 范成發表示:「我們是乙個年輕的品牌,我們的產品也是為了年輕人服務。雖然這兩年企業發展的很迅速,但是我們深知網際網路行業競爭的慘烈,「一著不慎滿盤皆輸」,尤其是在使用者資料保護方面,我們不敢有絲毫的懈怠之心。」

公司背景

成立於2023年的愛車網是一家新興的汽車門戶**,他們將「年輕就是享受」作為品牌宗旨,不僅僅是為愛車一族服務,更將觸角延伸到每一位注重生活品質的中高階人群,致力打造成為乙個集觀賞性、實用性、互動性為一體的專業時尚品質生活交流平台。

面臨的挑戰

隨著汽車後市場的爆發,目前愛車網的業務發展非常迅速,憑藉強大的平台整合能力,使用者規模預計在2023年就能突破100萬。為了滿足使用者的多種需求,現有 it 系統的複雜度變得更高,包括雲端和移動端的多種服務。而傳統的安全工具,很難解決一站式解決這些問題;

對網際網路企業,尤其是電商企業而言,使用者資料資訊關係到企業發展的命脈。任何資訊的洩露或者被破壞,對企業而言都是無法估量的損失。而愛車網擁有大量車主的各種資訊資料,面臨洩露風險。資料安全成為這家新興電商平台最關注的核心點;

現在市面上能夠依賴的安全工具不夠快,很難滿足快速檢測、緊急補救和後續對安全事件進行調查和分析的需求,尤其是面對複雜多變的網路攻擊,傳統的安全解決方案有些「力不從心」,像 waf 這種專業級的解決方案,部署的費用動輒上百萬,也不是一般的創業公司所能接受的,而且還需要大量的安全人員進行維護。

為什麼選擇 onerasp 這款安全產品?

對愛車網這家電商企業而言,對使用者資料的保護是最重要的,但是成本也是企業必須要考慮的關鍵要素。范成發表示:「首先,rasp 技術是得到全球認可的一種技術,而且 onerasp 是國內唯一掌握這種技術的產品,所以選擇他們也是看中了其強大的防護能力。而且 rasp 使用的「位元組碼」技術本身的防護手段就很高,安裝也很簡單,幾分鐘就能完成部署,也不需要我們修改大量的**。再者,從成本上而言,也非常適合中小型創業公司進行採購。」

其實,onerasp 的安全保護控制點通常放在應用程式和其他系統的互動連線點上,包括和使用者、資料庫、網路以及檔案系統的連線點。onerasp 在這些節點上監聽所有互動行為,一旦發現威脅行為,在監控模式下, onerasp 會記錄威脅的攻擊路徑,提供如何修復這些問題的建議並通知安全管理員,在防護模式下可以實時攔截威脅行為,比如一旦發現,有應用在訪問敏感資料,onerasp 馬上就會啟動防禦機制。所以從一定意義上講,onerasp 在保護使用者資料方面,有著非常強大的優勢。這也是該產品能夠得到愛車網認可的很重要原因。

onerasp 提供的解決方案

客戶反饋

其實,很多電商企業在安全層面都付出了巨大的努力,他們也在嘗試僱傭最有經驗的程式設計師,使用非常昂貴的分析工具和安全產品,但是依然還是會存在漏洞,我們還是經常可以在網路上看到各種使用者資料遭到洩露的新聞。

愛車網的 ceo 范成發表示:「對我們這些創新型企業而言,我們希望將大部分精力投放在核心業務的發展上,但是安全問題對企業而言是大問題,使用者資料對我們來說就是企業最具價值的「資產」。所以我們在安全層面願意投入,但是我們更希望看到效果。我們也是在免費試用了 oneapm 的產品之後,才決定在生產系統中進行部署。」

其實,安全防護就像貓鼠遊戲,沒有起點也沒有終點。任何號稱 100% 保障系統安全的產品都是不可能的,而國際調研機構之所以如此推崇 rasp 這種解決方案,也是源於這是一種動態的解決方案,是面向最底層(**級)的防護,相對於傳統的解決方案而言,更具有普適性,而且防護能力也非常強大。

「我們也了解過 waf 的解決方案,不僅費用很高,而且對技術的要求也很高,對我們而言,現階段無法進行部署。 onerasp 的解決方案是屬於現在比較流行的 saas 部署,對我們這些中小企業而言更具吸引力,幾分鐘的時間就可以完成部署,而且費用也是按需付費,非常靈活。還有一點,就是 onerasp 的介面做的非常的直觀、簡潔,使用者體驗非常好,我們的開發人員基本上很快就能上手,給我們節省了大量的人力成本。」

本文** oneapm 官方部落格

使用者資料安全常用方法

1 在登陸註冊頁面使用https,避免在傳輸賬號密碼時使用明文傳輸。2 公鑰加密私鑰解密,在客戶端使用公鑰加密賬號密碼等資訊,在服務端用私鑰解密。3 使用者密碼salt防止破解,在資料庫儲存賬號密碼時,將密碼 salt uuid生成的隨機字串 再使用md5加密 4 設定token有效期,過一段時間就...

使用者資料註冊安全性

1 https註冊頁 http明文https加密的,有些 登入註冊是https 減少伺服器後台加密計算 現在多數是https的,防止運營商攔截 新增廣告什麼的,導致使用者體驗差。2 公鑰加密私鑰解密,支付寶h5頁面的支付密碼加密 純粹資料加密可以採用秘鑰對,使用者開啟頁面時伺服器會下發乙個公鑰,填寫...

谷歌解讀雲計算 使用者資料很安全

8月29日訊息,據國外 報道,谷歌公司僱傭了450名全職工程師來阻止黑客和其他 者入侵他們的資料中心和雲服務端。現在,谷歌發表了乙份工作報告,詳述了其如何妥當地處理這些問題。這份最新的報告解釋了谷歌的雲計算服務是如何運作的以及為何它們是安全的。例如,谷歌的雲端利用了 完美前向安全 這是一種利用了旨在...