近年来，互联网公司的业务发展呈高速增长态势，但是随之而来的是网络安全问题频繁爆发。在当前网络安全严峻形式下，互联网企业展开各种尝试，也构建出属于自己的安全运维体系。

作为国内知名女性时尚类电商，蘑菇街拥有自己技术团队和运维方案，妥善处理了多次信息安全危机。在12月21日的中国IDC大典安全运维分论坛上，蘑菇街信息安全总监 张作裕将经验和业界同仁进行了分享。

首先，张作裕对当前互联网的安全现状进行了分析，他提到，互联网公司的业务在爆发式成长的同时，安全问题也频繁发生。出于业务规模的考虑，一家互联网公司在创业初期往往不会成立安全团队的。从整体上看，国内企业乃至政府，在网络安全的构建上起步比较晚。

在安全问题的解决上，企业往往陷入到“快照式安全”的状态中。一旦安全挑战来临，企业会通过购买外部产品和服务快速解决问题。事实上，购买外部产品并没有使得安全问题真正解决。根据蘑菇街的实测，引入外部产品后三个月内安全确实有提升，但是长期来依赖外部对提升网络安全没有实质性帮助。

张作裕认为，真正解决问题需要回归问题的本质，想清企业真正需要什么？其实，企业需要打造的是一种应对安全问题的能力。一旦问题爆发，企业能够灵活面对即将到来的挑战，从威胁感知到响应手段，做到全流程高效、可靠的应对。

基于对目前行业的认识，蘑菇街在实际的安全实践中采取了多种解决方案，其中的一个是Hades系统。在内部安全措施相对匮乏，外面存在数据泄露的情况下，蘑菇局从两年之前开始启用这套系统了。

企业在安全布局中往往会出现以下问题：安全漏洞的修复过程缺乏一个系统性的记录。记录并不是简单的查询之前的解决方案，而是要对处理过程仅进行全程的监控，包括系统漏洞的提交人、提交级别、跟进时间、修复人、修复程度等信息。

Hades从上到下贯穿一个漏洞的生命时间，它的作用如下：

第一是漏洞回溯，了解这漏洞解决周期，回溯这个漏洞由何产生，又由何解决，从而准确定位问题。

第二个作用是弱点分析，系统记录了合作伙伴的安全项目。通过对的弱点分析，从而发现应用、外部服务上的缺陷，从而让企业长主动针对目标项目组做集中的问题管控。

第三个是作用是效果比较。当企业接入了多家众测，Hades会监测哪一家的效果好，哪一家优先发现漏洞。

当然，只去做数据统计是远远不够的。企业还需要抬高受攻击的门槛，提高发现能力，所以蘑菇街引入了黑客扫描器Eagle.

借助Eagle，蘑菇街把公司的发现能力进行了统一，减少重复漏洞的产生。根据自身的情况，蘑菇街在扫描器加上了定制，提升其发现能力。在具体的实践中，Eagle和Hades系统进行对接，将问题以自动化的方式上报给Hades系统，从而有效的降低了人工成本。

蘑菇街适用的第三个安全系统是Cobra，它作用体现在威胁分析。当安全运维发现有很多代码风险出现时，会回溯发生问题的团队的开发流程，通过分析发现其中的一些问题。开发团队从Cobra直接获得一些预警，从而自动完成一次安全加固。

张作裕还提到了 Aone. Aone目前被广泛的应用于企业安全领域，蘑菇街对Aone的应用方式，和目前业内普遍的用法有些不同。

当有情报时候，企业需要一个自动化的系统。Aone通过分发能够把大量的任务进行衔接。有了这个情报系统，大量现有、已有的情报源进行一次人工分检，Aone会把信息给各个平台或工具去处理。

无论是合作和采购，互联网公司采购一些第三方的网站产品。如果外部产品出现漏洞的时候，蘑菇街就会利用Aone情报平台去进行跟进，以人工提需求扩展到以人工自动化发现去提需求。

在一年的时间里，张作裕所在的安全团队发现四万多个漏洞，推进修复两万七千多个。蘑菇街的安全实践表明，互联网企业不仅需要了解技术，更重要是拥有全流程信息安全防御能力，建立自身的安全系统，这样才能在严峻安全形势下保证运维的顺利进行。