何为业务安全,业务安全部门的具体职责是什么?
互联网安全的发展史
一提到互联网领域的安全问题,我想大多数人的第一反应是利用网络、软件的漏洞进行的各种攻击,或者用手指在键盘上跳舞的黑客们,这似乎是一个老生常谈的问题。
我们每个人都能随口说出几种攻击,比如SQL注入、中间人攻击、DDOS攻击等,然而每个概念在历史发展的不同阶段,却都有着迥异的内涵,互联网安全就是如此。
在互联网行业发展的初期,我们会更关注传统安全领域,如黑客,漏洞等上文所提到的内容,实际上这些大致可归类于操作系统、网络、应用软件层面的安全。再之前呢,我们的安全甚至会囊括硬件基础、设备层面的安全,如设备故障、网络故障、断电等。
而互联网行业发展到了今天,我们的核心变成了业务,企业的发展靠业务来驱动,企业靠业务来赚钱,企业能最直接给到客户的感受就是业务的好与坏,而我们的安全,也发展到了业务安全的阶段。
何为业务安全
业务安全,按我个人的理解,实际上是解决不规范、不合理的业务逻辑带来的安全隐患。
举个例子来讲,我们现在应该都意识到了新用户是多么珍贵的一笔资源,很多App都会给新用户一些极具诱惑力的福利,来进行第一笔订单,比如某外卖平台,会给新用户大额优惠券来鼓励用户下单,优惠额度甚至会达到一单一毛钱甚至免费。
这种优惠力度是非常大的,其中也隐藏了一定的利润空间,如果能够将新用户的优惠券卖给有需要的人,从中赚取插件,这就形成了一条黑色的产业链。
然后我们会发现,这些优惠券有着很多的限制条件,比如,仅能在本App的本账号下使用,仅能为新手机号使用,这类使用条件上的限制。同时也会有使用时间上的限制,这些限制的目的是为了保证我们的优惠券的最终使用者确实是我们的新用户,而不是流通到了某些黑色的产业链中。
这就是保证业务安全。
我们会发现业务安全不同于传统的安全,传统安全可能需要依赖于防火墙之类的与业务逻辑解耦的应用来完成。而我们的业务安全是与业务紧耦合的,解决业务安全无法使用某些通用的技术,而仅仅有方法论上的指导,结合对具体业务的深刻理解,数里业务逻辑流程,尽量的避免业务逻辑中留下能被利用的漏洞,或者显著增加利用某些漏洞的成本,来避免黑色产业链影响我们正常客户的使用。
如何保证业务安全
业务安全,业务在前,安全在后,因此业务安全是从属于业务的,每个业务都应该有自己的安全部门。
我们要保证业务安全,就要对业务有着深刻的理解,保证业务的主要功能不会被影响的前提下,设计能够提升用户体验的无业务安全隐患的业务流程,也即是相应的业务逻辑。
另外从安全的领域来讲,如果我们能够准确的识别请求端的身份,究竟是“好人”还是“坏人”,也能为我们解决安全问题提供思路,实际上,很多用于解决传统安全问题的方法论也是适用于业务安全的。
业务安全的痛点
总是在产生损失后再关注安全问题
一些新进入互联网行业的厂商,在没有遇到安全方面的问题时,没有吃过苦头,产生过真正的损失,是比较难花预算在安全问题上的,当然对成熟的大公司来说,安全防范意识会比较高,但是其新拓展的业务,如果对业务安全领域没有深入的了解的话,也极有可能在业务流程中出现易被黑产利用的漏洞。
业务安全无法准确量化
不做业务安全相关的工作,真正出了问题亡羊补牢,损失已经造成了,而做了业务安全的工作,却又很难量化其作用如何,投入产出是否是值得的。我们无法计算通过业务安全为公司挽回了多少损失,同样也很难统计避免了多少黑产的恶意访问、注册以及消费。因此业务安全部门的工作难以得到认可。
安全部门和开发部门的天然的矛盾
在企业发展的上升期,往往是最需要注重业务安全的时期,在起步时用户量较小,利润空间也比较小,难以引起黑产的兴趣来进行“薅羊毛”,也就不会太关注安全问题。而当业务快速发展壮大,安全的问题就值得警惕了。
而此时也会产生矛盾:
业务部门希望尽快上线,加快开发流程,完成KPI目标,而安全部门则希望保证业务流程的安全性,势必要提更多的要求,进行更多的讨论和迭代。
而实际也往往是业务部门的话语权更大,安全问题得不到重视。
还未入职学生的榆枋之见,结合资料整理和个人见解写成此文,如有不足还望海涵。欢迎评论讨论。
何为业务安全,业务安全部门的具体职责是什么?相关推荐
- 基于ESB的业务集成业务梳理
企业服务总线ESB在实际项目中一般有两个重要的应用模式,一是数据总线,二是服务总线:数据总线包括数据集成和文件传输,主要实现数据的抽取同步.清洗转换.加工汇总,典型应用场景就是ODS.数仓的数据汇聚: ...
- java 业务层业务接口层_Java web五层架构
DAO层: 1.DAO层--[面向表]: 持久层.数据访问层,主要与数据库进行交互 介绍: DAO层只是封装增删改查,比较底层,比较基础的操作,具体到对于某个表.某个实体的增删改查.至于增删查改如何去 ...
- 【CyberSecurityLearning 65】业务安全+业务逻辑漏洞实战
目录 业务安全 * 业务安全概述 * 黑客攻击的目标 业务安全测试流程 * 测试准备 * 业务调研 * 业务建模 * 业务流程梳理 * 业务风险点识别 * 开展测试 * 撰写报告 万能用户名|密码 业 ...
- 使用redis实现防止重复提交,成功解决方案 春风化作秋雨 2018-09-13 18:09:52 13787 收藏 6 分类专栏: 解决方案 版权 1、业务场景 业务开发中,常常涉及对前端操作
使用redis实现防止重复提交,成功解决方案 1.业务场景 业务开发中,常常涉及对前端操作进行重复校验,避免重复提交造成数据重复操作.比如转账操作,因为网络卡顿,客户连续点击转账按钮,造成多次转成:又 ...
- 中国电信电信综合业务管理平台ISMP和移动业务网络综合业务接入网关ISAG
中国电信移动业务网络综合业务接入网关(ISAG)将中国电信的网络能力高度抽象,向 CP/SP提供标准.统一的业务开发接口,支持电信自营增值业务.第三方 CP/SP 增值业务及企业应用的接入. 中国电信 ...
- 业务安全 –业务逻辑漏洞
目录 业务安全 –业务逻辑漏洞 业务安全概述; 业务安全测试流程: 业务数据安全 商品支付金额篡改 前端JS限制绕过验证 请求重放测试 业务上线测试 *商品订购数量篡改 密码找回安全 注入 业务逻辑 ...
- 1月第1周业务风控关注 | 四部门联合印发App违法违规收集使用个人信息行为认定方法
易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1.四部门联合印发App违法违规 ...
- 1月第2周业务风控关注|“扫黄打非”部门查处互动作业、纳米盒等20多个学习类APP
易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1 全国"扫黄打非&q ...
- 10月第4周业务风控关注|多部门联合调查教育类App:重点排查游戏、打赏等内容
易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1.多部门联合调查教育类App: ...
- 企业服务业务系统-业务模型梳理(中)
本篇文章算是企业服务业务系统的第二篇文章,上一篇选取了4个系统作为基本业务系统的基础服务功能,有了基础服务,之后的业务系统开展建设起来会方便很多.本篇文章和后面一篇文章则会基于上一篇文章中提到的系统做 ...
最新文章
- 【采用】信贷业务风控逾期指标及风控模型评估指标
- User.find_each
- Android免Root环境下Hook框架Legend原理分析
- java复制类mytool_MyTools
- 在线机器学习FTRL(Follow-the-regularized-Leader)算法介绍
- python Pillow 的简单案例
- 随机排列实现 -shuffle算法
- oracle10g 监听服务无法启动
- 又偷偷夹带反战私货!npm生态还能信任吗?
- Lua语言模型 与 Redis应用
- The name Foxit Software sounds familiar
- 论文:GeoGebra 在线数学应用函数演示
- Springboot+vue项目酒店民宿管理系统
- ubuntu 截图工具的使用
- Linux系统字符终端自动登录问题
- 2022年前端技术发展趋势
- 【毕业季】致毕业生的一句话:天高任鸟飞,海阔凭鱼跃
- Pacman基本使用
- APP推广重点渠道解析及我这些年踩过的坑
- Goolge Colab使用教程