安全評(píng)估服務(wù)采用信息安全管理標(biāo)準(zhǔn)BS7799的風(fēng)險(xiǎn)管理思想作為貫穿整個(gè)安全評(píng)估過(guò)程的主要指導(dǎo)規(guī)范，并參考了SSE-CMM、ISO15408、ISO13335標(biāo)準(zhǔn)和及行業(yè)相關(guān)政策要求以及國(guó)內(nèi)信息安全管理體系標(biāo)準(zhǔn)。山東風(fēng)險(xiǎn)評(píng)估包括信息資產(chǎn)評(píng)估、網(wǎng)絡(luò)架構(gòu)評(píng)估、滲透性測(cè)試、應(yīng)用風(fēng)險(xiǎn)評(píng)估和管理風(fēng)險(xiǎn)評(píng)估服務(wù)。根據(jù)客戶需求和信息系統(tǒng)的實(shí)際情況，山東風(fēng)險(xiǎn)評(píng)估可以制訂相應(yīng)的個(gè)性化安全風(fēng)險(xiǎn)評(píng)估方案。

接下來(lái)就要解決效率問(wèn)題，從上面幾步迭代出來(lái)的模型其實(shí)并不是有效的，因?yàn)槿说慕?jīng)驗(yàn)和思維是線性思維，團(tuán)隊(duì)內(nèi)部針對(duì)現(xiàn)有模型做了兩方面的工作：邊緣診斷和智能剪枝。將定位的過(guò)程部分下沉到各個(gè)代理節(jié)點(diǎn)，對(duì)于一些可能對(duì)系統(tǒng)造成影響的現(xiàn)象自動(dòng)保存事發(fā)現(xiàn)場(chǎng)關(guān)鍵信息同時(shí)上報(bào)關(guān)鍵事件，診斷系統(tǒng)自動(dòng)根據(jù)各個(gè)事件權(quán)重進(jìn)行定位路徑智能調(diào)整。

根據(jù)安全風(fēng)險(xiǎn)評(píng)估模型，山東風(fēng)險(xiǎn)評(píng)估將評(píng)估過(guò)程分為了以下六個(gè)階段：

一、確定評(píng)估范圍階段；

二、資產(chǎn)的識(shí)別和估價(jià)階段；

三、安全威脅評(píng)估階段；

四、脆弱性評(píng)估階段；

五、風(fēng)險(xiǎn)的分析階段；

六、風(fēng)險(xiǎn)的管理階段。

核心接口埋點(diǎn)：通過(guò)在接口執(zhí)行前后插樁埋點(diǎn)，記錄的基礎(chǔ)鏈路信息，包括TraceId、RpcId（SpnId）、時(shí)間、狀態(tài)、IP、接口名稱等。上述信息可以還原基礎(chǔ)的鏈路形態(tài)；自動(dòng)關(guān)聯(lián)數(shù)據(jù)：在調(diào)用生命周期內(nèi)，可以自動(dòng)記錄的關(guān)聯(lián)信息，包括SQL、請(qǐng)求出入?yún)?shù)、異常堆棧等。此類信息不影響鏈路形態(tài)，但卻是某些場(chǎng)景下，精準(zhǔn)定位問(wèn)題的必要條件。

高階實(shí)踐：云監(jiān)控基于tag自動(dòng)化監(jiān)控。問(wèn)題：基于標(biāo)簽分組來(lái)管理資源，如何基于標(biāo)簽快速的進(jìn)行運(yùn)維監(jiān)控了？場(chǎng)景描述：使用指定標(biāo)簽（TAG）為資源創(chuàng)建云監(jiān)控分組，并可以基于云監(jiān)控分組來(lái)運(yùn)維資源。查詢?cè)票O(jiān)控應(yīng)用分組，通過(guò)類型tag搜索，可見(jiàn)如下圖，分組名稱為TagAuto-cloudmonitor-group-anything-ABCD-UVXY的云監(jiān)控分組已經(jīng)沒(méi)有實(shí)例。

山東風(fēng)險(xiǎn)評(píng)估能根據(jù)客戶的具體需求，為客戶提供安全巡檢服務(wù)，即指派具有豐富經(jīng)驗(yàn)并且經(jīng)過(guò)專業(yè)系統(tǒng)化培訓(xùn)的安全服務(wù)人員定期對(duì)應(yīng)用、操作系統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)及其他設(shè)備的運(yùn)行狀況、資源利用情況、網(wǎng)絡(luò)連接情況等進(jìn)行檢查，使客戶相關(guān)人員能夠?qū)崟r(shí)掌控信息系統(tǒng)的安全狀況。對(duì)設(shè)備進(jìn)行有效的定期安全巡檢，能及時(shí)發(fā)現(xiàn)并去除網(wǎng)絡(luò)故障和安全隱患，保障客戶網(wǎng)絡(luò)和系統(tǒng)處于健康、安全的狀態(tài)，確保相關(guān)業(yè)務(wù)持續(xù)運(yùn)行。

山東管理風(fēng)險(xiǎn)評(píng)估有限公司所倡導(dǎo)的新范式，給傳統(tǒng)的研發(fā)和運(yùn)維模式帶來(lái)巨大沖擊：微服務(wù)、DevOps等理念讓研發(fā)變得更有效，但帶來(lái)的卻是海量微服務(wù)的問(wèn)題排查、故障定位的難度變得更大；容器化、等容器編排技術(shù)的逐漸成熟讓規(guī)?；浖桓蹲兊萌菀祝珟?lái)的挑戰(zhàn)是如何更精準(zhǔn)地評(píng)估容量、調(diào)度資源，確保成本與穩(wěn)定性的平衡。這點(diǎn)值得我們重視起來(lái)。

但其實(shí)這樣的視角并不具備業(yè)務(wù)的可觀測(cè)性，因?yàn)樵谶@樣的一個(gè)依賴結(jié)構(gòu)中包含著兩種業(yè)務(wù)場(chǎng)景，這兩種場(chǎng)景所對(duì)應(yīng)的鏈路也是完全不同的：甲類商品所對(duì)應(yīng)的鏈路是A->B->C-D，而乙類商品對(duì)應(yīng)的鏈路是A->B->C。假設(shè)日常態(tài)這兩類商品的占比是1：1，而大促態(tài)的占比是1：9，那么僅從系統(tǒng)的角度或者業(yè)務(wù)的角度去梳理鏈路，是無(wú)法得到一個(gè)合理的流量預(yù)估模型的。