《網(wǎng)絡(luò)安全法》實(shí)施五年來����,中國的互聯(lián)網(wǎng)行業(yè)正在由web2.0時(shí)代走向web3.0時(shí)代���。在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算等相關(guān)領(lǐng)域的助推下��,我們已經(jīng)處于全新的大數(shù)據(jù)時(shí)代��,用戶信息安全的重要性已經(jīng)遠(yuǎn)超以往任何一個(gè)時(shí)代�。
面對(duì)移動(dòng)化、數(shù)字化安全形勢(shì)���,多點(diǎn)DMALL將信息安全上升到企業(yè)的戰(zhàn)略發(fā)展層面����,在技術(shù)層面加強(qiáng)重視和投入���,組建了符合多點(diǎn)特色業(yè)務(wù)的網(wǎng)絡(luò)安全強(qiáng)軍���,嚴(yán)格要求業(yè)務(wù)滿足網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn),例如ISO27001信息安全管理體系認(rèn)證���、GDPR等規(guī)范�,不斷提高企業(yè)自身以及廣大用戶�、消費(fèi)者的數(shù)據(jù)安全。
在企業(yè)生產(chǎn)過程中��,網(wǎng)絡(luò)安全挑戰(zhàn)存在各個(gè)方面�����。如果用戶信息數(shù)據(jù)保護(hù)不當(dāng)�,極有可能被不法分子、不良商家使用非法手段獲取���,在用戶未經(jīng)允許��、不知情的情況下進(jìn)行非法售賣��、使用�,對(duì)⽤戶的隱私權(quán)��、知情權(quán)等都造成危害���,甚⾄會(huì)威脅⼈⾝安全���。多點(diǎn)DMALL高度重視用戶信息安全�,依據(jù)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》�����,在用戶授權(quán)的前提下獲取必要信息�,并通過動(dòng)態(tài)加密存儲(chǔ)敏用戶感信息、嚴(yán)格控制數(shù)據(jù)權(quán)限�、定期審核數(shù)據(jù)訪問日志等方式,對(duì)用戶信息進(jìn)行高度保護(hù)����。
在推進(jìn)網(wǎng)絡(luò)安全建設(shè)方面,多點(diǎn)DMALL從多個(gè)層面開展工作��。對(duì)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全��,對(duì)每一個(gè)生產(chǎn)服務(wù)器完成安全基線建設(shè)�����、部署主機(jī)安全產(chǎn)品�����,進(jìn)行安全能力覆蓋漏洞掃描�、系統(tǒng)補(bǔ)丁檢查�、木馬病毒監(jiān)控���、監(jiān)控與攔截常見入侵行為等;在每個(gè)網(wǎng)絡(luò)環(huán)境���、網(wǎng)絡(luò)進(jìn)出口部署各種安全分析����、告警��、攔截設(shè)備�����,例如IPS����、防火墻、WEB應(yīng)用防火墻�����、蜜罐系統(tǒng)�����;在網(wǎng)絡(luò)隔離方面,不同的網(wǎng)絡(luò)環(huán)境無法相互聯(lián)通�����,端口僅開放與業(yè)務(wù)相關(guān)端口�,例如生產(chǎn)環(huán)境網(wǎng)絡(luò)環(huán)境僅開放80、443��、8080端口��。
對(duì)于業(yè)務(wù)代碼安全��,多點(diǎn)DMALL依據(jù)自身代碼與業(yè)務(wù)特性建立研發(fā)流程管理����,并以此為基礎(chǔ)設(shè)計(jì)多點(diǎn)DMALL的DevSecOps能力,在產(chǎn)品設(shè)計(jì)中注入安全需求��,在代碼編寫階段提供代碼掃描工具����,在產(chǎn)品測(cè)試階段加入IAST安全掃描能力覆蓋常見安全漏洞,在產(chǎn)品上線前進(jìn)行人工滲透測(cè)試、第三方安全公司外部安全測(cè)試�����,最終進(jìn)行上線運(yùn)營���。
對(duì)于安全運(yùn)營,對(duì)所有的安全設(shè)備進(jìn)行日常運(yùn)營����,分析設(shè)備日志,在第一時(shí)間確認(rèn)安全風(fēng)險(xiǎn)����;推出多點(diǎn)安全應(yīng)急響應(yīng)中心(DMSRC),負(fù)責(zé)接收安全社區(qū)�����、第三方安全漏洞通告���,彌補(bǔ)安全建設(shè)問題�;每季度對(duì)多點(diǎn)所有資產(chǎn)進(jìn)行安全滲透測(cè)試���,覆蓋多點(diǎn)所有業(yè)務(wù)系統(tǒng)����、生產(chǎn)環(huán)境、各移動(dòng)互聯(lián)應(yīng)用����,發(fā)現(xiàn)的安全問題將及時(shí)告知對(duì)應(yīng)負(fù)責(zé)人進(jìn)行修復(fù)、復(fù)測(cè)�����,將安全問題消滅在內(nèi)部����。
同時(shí),多點(diǎn)DMALL推行《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程》����,將第一時(shí)間對(duì)發(fā)生網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)進(jìn)行規(guī)避。例如�����,對(duì)log4j的0day安全漏洞通告�����,在通告發(fā)出后2小時(shí)內(nèi)所有線上業(yè)務(wù)均可攔截log4j安全漏洞攻擊,在48小時(shí)內(nèi)完成所有涉及l(fā)og4j漏洞的應(yīng)用整改�。
保護(hù)用戶信息安全,我們還需要做些什么����?多點(diǎn)DMALL作為SaaS服務(wù)提供者,離不開“云”技術(shù)���,大量采用了微服務(wù)或Serverless技術(shù)�。多點(diǎn)DMALL安全團(tuán)隊(duì)將繼續(xù)深耕符合業(yè)務(wù)發(fā)展的安全技術(shù)����,搭建不同的安全防御�、監(jiān)測(cè)設(shè)備與平臺(tái)工具,建設(shè)云原生安全能力��,容器安全技術(shù)��,立志于做到線上安全零事故發(fā)生���。保護(hù)信息的完整���、保密�����、可用��、可控����,離不開整個(gè)行業(yè)乃至整個(gè)社會(huì)的共同努力�。信息安全對(duì)抗是信息和技術(shù)的對(duì)抗,我們要了解網(wǎng)絡(luò)攻擊者使用的攻擊技術(shù)�����,從而以攻促防�;我們要比攻擊者有更靈通的漏洞消息,在攻擊者前掌握各種安全漏洞與風(fēng)險(xiǎn)���,在實(shí)施攻擊前將漏洞修復(fù)��。
在此���,我們呼吁安全廠商����、軟件廠商�、企業(yè)、白帽子等各方力量更加緊密地合作���,為用戶營造更為健康��、安全的網(wǎng)絡(luò)環(huán)境��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
