安全評(píng)估服務(wù)采用信息安全管理標(biāo)準(zhǔn)BS7799的風(fēng)險(xiǎn)管理思想作為貫穿整個(gè)安全評(píng)估過(guò)程的主要指導(dǎo)規(guī)范,并參考了SSE-CMM、ISO15408、ISO13335標(biāo)準(zhǔn)和及行業(yè)相關(guān)政策要求以及國(guó)內(nèi)信息安全管理體系標(biāo)準(zhǔn)。山東風(fēng)險(xiǎn)評(píng)估包括信息資產(chǎn)評(píng)估、網(wǎng)絡(luò)架構(gòu)評(píng)估、滲透性測(cè)試、應(yīng)用風(fēng)險(xiǎn)評(píng)估和管理風(fēng)險(xiǎn)評(píng)估服務(wù)。根據(jù)客戶需求和信息系統(tǒng)的實(shí)際情況,山東風(fēng)險(xiǎn)評(píng)估可以制訂相應(yīng)的個(gè)性化安全風(fēng)險(xiǎn)評(píng)估方案。
接下來(lái)就要解決效率問(wèn)題,從上面幾步迭代出來(lái)的模型其實(shí)并不是有效的,因?yàn)槿说慕?jīng)驗(yàn)和思維是線性思維,團(tuán)隊(duì)內(nèi)部針對(duì)現(xiàn)有模型做了兩方面的工作:邊緣診斷和智能剪枝。將定位的過(guò)程部分下沉到各個(gè)代理節(jié)點(diǎn),對(duì)于一些可能對(duì)系統(tǒng)造成影響的現(xiàn)象自動(dòng)保存事發(fā)現(xiàn)場(chǎng)關(guān)鍵信息同時(shí)上報(bào)關(guān)鍵事件,診斷系統(tǒng)自動(dòng)根據(jù)各個(gè)事件權(quán)重進(jìn)行定位路徑智能調(diào)整。
根據(jù)安全風(fēng)險(xiǎn)評(píng)估模型,山東風(fēng)險(xiǎn)評(píng)估將評(píng)估過(guò)程分為了以下六個(gè)階段:
一、確定評(píng)估范圍階段;
二、資產(chǎn)的識(shí)別和估價(jià)階段;
三、安全威脅評(píng)估階段;
四、脆弱性評(píng)估階段;
五、風(fēng)險(xiǎn)的分析階段;
六、風(fēng)險(xiǎn)的管理階段。
核心接口埋點(diǎn):通過(guò)在接口執(zhí)行前后插樁埋點(diǎn),記錄的基礎(chǔ)鏈路信息,包括TraceId、RpcId(SpnId)、時(shí)間、狀態(tài)、IP、接口名稱等。上述信息可以還原基礎(chǔ)的鏈路形態(tài);自動(dòng)關(guān)聯(lián)數(shù)據(jù):在調(diào)用生命周期內(nèi),可以自動(dòng)記錄的關(guān)聯(lián)信息,包括SQL、請(qǐng)求出入?yún)?shù)、異常堆棧等。此類信息不影響鏈路形態(tài),但卻是某些場(chǎng)景下,精準(zhǔn)定位問(wèn)題的必要條件。
高階實(shí)踐:云監(jiān)控基于tag自動(dòng)化監(jiān)控。問(wèn)題:基于標(biāo)簽分組來(lái)管理資源,如何基于標(biāo)簽快速的進(jìn)行運(yùn)維監(jiān)控了?場(chǎng)景描述:使用指定標(biāo)簽(TAG)為資源創(chuàng)建云監(jiān)控分組,并可以基于云監(jiān)控分組來(lái)運(yùn)維資源。查詢?cè)票O(jiān)控應(yīng)用分組,通過(guò)類型tag搜索,可見(jiàn)如下圖,分組名稱為TagAuto-cloudmonitor-group-anything-ABCD-UVXY的云監(jiān)控分組已經(jīng)沒(méi)有實(shí)例。
山東風(fēng)險(xiǎn)評(píng)估能根據(jù)客戶的具體需求,為客戶提供安全巡檢服務(wù),即指派具有豐富經(jīng)驗(yàn)并且經(jīng)過(guò)專業(yè)系統(tǒng)化培訓(xùn)的安全服務(wù)人員定期對(duì)應(yīng)用、操作系統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)及其他設(shè)備的運(yùn)行狀況、資源利用情況、網(wǎng)絡(luò)連接情況等進(jìn)行檢查,使客戶相關(guān)人員能夠?qū)崟r(shí)掌控信息系統(tǒng)的安全狀況。對(duì)設(shè)備進(jìn)行有效的定期安全巡檢,能及時(shí)發(fā)現(xiàn)并去除網(wǎng)絡(luò)故障和安全隱患,保障客戶網(wǎng)絡(luò)和系統(tǒng)處于健康、安全的狀態(tài),確保相關(guān)業(yè)務(wù)持續(xù)運(yùn)行。
山東管理風(fēng)險(xiǎn)評(píng)估有限公司所倡導(dǎo)的新范式,給傳統(tǒng)的研發(fā)和運(yùn)維模式帶來(lái)巨大沖擊:微服務(wù)、DevOps等理念讓研發(fā)變得更有效,但帶來(lái)的卻是海量微服務(wù)的問(wèn)題排查、故障定位的難度變得更大;容器化、等容器編排技術(shù)的逐漸成熟讓規(guī)?;浖桓蹲兊萌菀祝珟?lái)的挑戰(zhàn)是如何更精準(zhǔn)地評(píng)估容量、調(diào)度資源,確保成本與穩(wěn)定性的平衡。這點(diǎn)值得我們重視起來(lái)。
但其實(shí)這樣的視角并不具備業(yè)務(wù)的可觀測(cè)性,因?yàn)樵谶@樣的一個(gè)依賴結(jié)構(gòu)中包含著兩種業(yè)務(wù)場(chǎng)景,這兩種場(chǎng)景所對(duì)應(yīng)的鏈路也是完全不同的:甲類商品所對(duì)應(yīng)的鏈路是A->B->C-D,而乙類商品對(duì)應(yīng)的鏈路是A->B->C。假設(shè)日常態(tài)這兩類商品的占比是1:1,而大促態(tài)的占比是1:9,那么僅從系統(tǒng)的角度或者業(yè)務(wù)的角度去梳理鏈路,是無(wú)法得到一個(gè)合理的流量預(yù)估模型的。