中国IDC圈12月28日报道，12月20-22日，第十一届中国IDC产业年度大典（IDCC2016）在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会，之前已成功举办过十届，在本届大会无论是规格还是规模都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上，蘑菇街 信息安全总监 张作裕 出席IDC服务大会并为当天的安全运维分论坛做《蘑菇街，从一到百的安全系统搭建》主题演讲。

蘑菇街 信息安全总监 张作裕 

以下是演讲实录：

做一下公司的介绍，美丽说、蘑菇街等都是集团的业务，我们遇到的问题和挑战是比较多的，包括有很多家小的APP应用厂商，包括有很多大的已经在用，或者已经在建的互联网公司，大家遇到的问题我们都有遇到过，而且挑战非常大。讲一下我们的经验，也算是过来跟大家做一个分享。

我刚才提到挑战，大家可以想一下，一家互联网公司从刚开始做肯定是不会有安全条件的，一家互联网公司从一开始做会遇到什么样的安全问题，会遇到什么样的安全管理挑战呢？今天我主要分享一下蘑菇街是怎么做的，顺利抛这个问题给大家。

第一，企业安全现状。大家知道互联网企业，尤其是近些年的创业公司爆发的业务增长是互联网公司的安全问题频发。一家互联网公司在创业初期是不会成立安全团队的，因为这时候的业务，或者说这时候遇到的资产需要保护还没有那么大，除非是安全的创业公司才创业初期就会有安全团队。不管是什么样的互联网创业公司安全团队起步都晚，包括整个政府来说，我们的安全也是起步比较晚的。

当前现状的问题。说下企业里面，起步晚遇到的问题分三个，当出现一个安全问题，一定是从发现到阻断到复盘去处理，我们知道这样去处理问题，但是具体怎么做呢？有人要问这个图什么意思，现在的做法是当我们发现有一个安全挑战，比如说有一个漏洞被报到漏洞评级机构，或者媒体有去曝光我们有数据泄露的情况，我们怎么做的呢？我们还没有做到应急实时反应的时候乙方公司就打电话说，买个设备，买个产品吧。这个不会解决一些问题，或者说我们会对接乙方的公司购买安全服务获取一段时间的保护，但是这样是解决不了问题的。我称这样的方式叫快照式安全，它在某一个时间内是安全的。比如我们用三个月时间做一个众测，在这三个月的时间段内我们的安全是有提升的，整个过程是不是完美的？解决问题了呢？这三个月内我们是好一些，但是并没有彻底解决问题。我们遇到的问题和挑战依然很不大，不能用这种方式解决安全问题。

回归本质想一下我们最终的目的是什么？最终想解决什么样的问题？企业遇到大量的安全问题最后回到的初衷就是当出现一个问题的时候，我们以什么样的能力对待这样的问题，就是从威胁感知到响应手段的能力，或者说一种过程，这是我们需要去挑战的。

第一，说一下Hades系统。这是两年以前蘑菇街的安全是零，外面也有数据泄露，我们当时花了一部分精力购买了安全产品，比如说阻断的能力，像防火墙，甚至做了众测，遇到这样的事情，我们最后收到的是差不多将近一百个PDF，教你如何把这些问题修复了。这就是我刚才说的没有彻底解决问题，因为当众测一停止我们的威胁又来了。当我们的设备，规则没有更新，我们的问题又来了，我们当时做了一个项目，就是把所有的问题全部记录下来。记录这个问题并不是说我们找到这个问题的时候，看之前是怎么处理的，我们就是把所有的问题记录下来，这个系统包含到一个漏洞从谁提交的，提交的级别是怎样的，谁跟进的，跟进的时间用了多久，谁负责修复的，修复的整个流程是怎样的，修复成什么样的程度，以后会不会出，我们都有做了标记。

这个系统就从上到下灌输着一个漏洞的生命时间，我们要这个东西的作用，第一个是做漏洞回溯，我们并不想知道这个漏洞发生到最后的解决结果是怎样的，但是要回溯这个漏洞是谁做的，来定位一些问题。第二个是弱点分析，当一个系统记录了我们超过五家合作伙伴，超过十几个安全项目对我们的弱点发现之后，我们就知道在整个美联集团应用上、外部服务上的缺陷在哪里，哪一类最容易出现问题，哪个项目组最容易出现问题，我们会针对这个项目组做集中的问题管控。第三个是效果比较，比如说我们接了三到五家众测，Hades会监测哪一家的效果好，哪一家优先发现漏洞，这个数据我们会直接看的到。但是只去做数据统计是没有用的，或者说用处只是告诉我们该怎么做，除了我们去做众测，我们还需要抬高我们受攻击的门槛，提高我们的发现能力。所以就有我们的黑客扫描器Eagle，这个扫描器有很大的精力投入，它理想比Hades这个项目还早，但是它最终出现的时候解决了我们很多问题，不大量的人工要去做的事情反馈在这个扫描器上。

有人就说一千个人读哈姆雷特是一千个版本，我们行业也是这样的，一千个漏洞就有一千扫描器。我们做这个事情就是把公司里面的发现能力进行了统一，减少重复造漏子，企业版的扫描器加上我们多年的定制，它的发现能力极强，这是我们发现能力的统一。做了这个发现能力统一之后我们就将它和我们的Hades系统进行对接，这么做的结果就是我们减少了一部分人工操作，统一了我们的发现能力，在这个规划上，将人工的大量工作以自动化的方式体现出来，就构成了这样子上报给Hades的样子，所以Eagle是非常重要的。

第三个就是Cobra系统。大家知道一个安全的流程从发现一个漏洞到数据平台，到将这个问题修复好，整个过程应该做成一个闭环。我们只去发现问题是不够的，我们会发现有一个团队老出问题，这个时候我们服务会不会被干掉，安全团队不到十个人，开发团队有上百号人，他们老出现问题，就老过来找我们修，每次都要沟通一遍，所以我们要做一个事情，这个是被逼的，但是它也是在正常的开发流程中体现出来的。我们在他们还没有把漏洞写出来的时候，就在代码里做检查，提前预知和发现这个漏洞可能会在哪里，当然还有漏报。发现这个问题之后我们能定位这个问题的基本原因，统一了一个修复方案，将这个修复方案以自动化的方式反馈给开发。当开发提交一个系统变更的时候，或者说代码变更要发布的时候，他们会从Cobra直接取到一些结果，告诉他们的代码潜在风险。这样就自动地做了一次安全甲方的加固。

Cobra本身的作用是多大？因为我们发现很多的规则，写了之后会扫出来很多问题。所以它在这个环节里面体现的作用是有一个威胁分析，当我们发现有很多出现代码风险，或者说出现代码漏洞的地方，经常是某一个团队某一个人出现的，我们会对这个人的历史项目进行检查，就可能会再把一些问题抛出来，是这样的分析。

这个安全架构是一年前的状态，我们做到了人工提交到一个系统再进行提交到复盘，升级我们的防火墙、堡垒及策略来去做的一套安全管控，这个就是刚才我们一进来提到的，从威胁感知到自动化响应的补充。

Aone是干什么的呢？这个东西大家都在做，用处只是通过积累我们做的东西不一样。但是安全依然是投入大量的人力资源去做重复的事情，我们要做的事情是要针对所有的安全申请、需求、规则学习和情报，要做这样的安全派发。大家知道安全不能做一个闭环的东西，要开放。需求申请，比如说有大量的安全需求，提过来说我们需要你们做一个审计，一个项目要上线，我们可以自动派发成用户填清单，有一些系统黑盒、白盒搞不定我们会有一些情报联动。讲到情报联动，我们在这个东西前面加了一个大喇叭，这个项目是做什么用的呢？刚才提到Aone能够将所有的安全资源，比如情报相关的、漏洞相关的，比如别人提的需求申请相关的，都能通过它自动分发给人工做处理，这么做虽然已经完成了以前能力的提升，但是还不够。Aone还有一件事情就是所有安全工作都以Aone的形式进行统计，有机会我们可以看一下整个界面。它通过分发之后就能够把大量的任务进行衔接，我刚才提到有情报的时候，我们情报是需要一个自动化的系统。这个和黑盒、白盒一样，我们现在去关注的所有情报和漏洞，它的发布都有不同的战略。我们同时又是将所有团队里面能够收集到的情报源进行统一，减少了重复造笼子的过程，有了这个情报系统，它会将大量现有、已有的情报源做一次人工分检，情报对接的后面就是Aone下发给各个平台或者说工具去处理。

比如说我们发现了一个CVE漏洞，这个漏洞进行人工评估之后可以通过黑盒或者白盒的方式去发现，所以我们就做了情报到CVE到规则升级，我们可以立刻去出一个检测方案，立刻去出一个白盒的修补方案，这是这个情报对我们最重要的地方。

接下来是问题预警，对别的厂家来说是一个很严重的高危漏洞，但是我们没有遇到，这个我们可以做一个预警。说到合作和采购，我们还会采购一些第三方的网站产品，这些服务如果出现漏洞的时候，我们也会通过情报平台去进行跟进。以人工提需求扩展到以人工自动化发现去提需求。

刚才提到安全不能做一个闭环，这整套东西我们用了十一个月时间，把它在公司里面玩的很溜。从一个信息发现到最终推送给黑盒安、白盒，到将这个问题升级成我们的管控手段。比如说白盒里升级了一个规则去发现这一类漏洞，我们一年发现了蘑菇街、美丽说、好世界四万多个漏洞，推进修复两万七千多个，这是最近一年统计出来的数据。我们不会做封闭的安全，所以我们也是很开放的。

我正式宣布我们美丽联合的MLSRC上弦，有这么一个平台增加我们和甲方、乙方、合作伙伴、其他的SRC合作伙伴的沟通和交流平台，因为我们之前自己踩过很多坑，有大量的问题，画一个流程图是不够，我们希望将这个系统放出来，开元出来，让大家做代码贡献。由我们自发的情报预警系统共同推动一个自动化的任务，或者说通过Aone自动化选择所有的任务，下发给人工，下发给黑盒和白盒进行联动，通过黑白盒将产生的问题交给Hades，通过人工的再次干预定位这个漏洞到底是什么样子，最后推送给Action、防火墙、堡垒机等等我们现有的安全产品，乙方有很多优秀的产品。

这就是我今天想分享的主要内容。因为在座有很多是安全相关的从业者。我再多讲两句，我们是一家比较开放的公司，我们在安全上面的态度是一样的，我们接受所有的问题，我们处理所有我们的问题，我们也很希望在座的各位安全行业内的朋友可以跟我们敞开心扉，有任何问题我们都可以坐下来聊。但是我们不接受恶意的提交和恶意的漏洞攻击，这块我们也会保留我们起诉的权利。最后送一句话给大家，我自己觉得安全从业者很多人具有很强大的技术能力，但是我们拥有这样的能力，我们没有拥有用这个能力去做攻击的权利。我们不能消灭心魔，我们只是学着与它共存。谢谢大家！