数字化时代，企业须做好用户信息安全

数字化时代，企业须做好用户信息安全-51CTO.COM

《网络安全法》实施五年来，中国的互联网行业正在由web2.0时代走向web3.0时代。在移动互联网、云计算等相关领域的助推下，我们已经处于全新的大数据时代，用户信息安全的重要性已经远超以往任何一个时代。

面对移动化、数字化安全形势，多点DMALL将信息安全上升到企业的战略发展层面，在技术层面加强重视和投入，组建了符合多点特色业务的网络安全强军，严格要求业务满足网络安全行业标准，例如ISO27001信息安全管理体系认证、GDPR等规范，不断提高企业自身以及广大用户、消费者的数据安全。

在企业生产过程中，网络安全挑战存在各个方面。如果用户信息数据保护不当，极有可能被不法分子、不良商家使用非法手段获取，在用户未经允许、不知情的情况下进行非法售卖、使用，对⽤户的隐私权、知情权等都造成危害，甚⾄会威胁⼈⾝安全。多点DMALL高度重视用户信息安全，依据《数据安全法》《个人信息保护法》，在用户授权的前提下获取必要信息，并通过动态加密存储敏用户感信息、严格控制数据权限、定期审核数据访问日志等方式，对用户信息进行高度保护。

在推进网络安全建设方面，多点DMALL从多个层面开展工作。对于网络基础设施安全，对每一个生产服务器完成安全基线建设、部署主机安全产品，进行安全能力覆盖漏洞扫描、系统补丁检查、木马病毒监控、监控与拦截常见入侵行为等；在每个网络环境、网络进出口部署各种安全分析、告警、拦截设备，例如IPS、防火墙、WEB应用防火墙、蜜罐系统；在网络隔离方面，不同的网络环境无法相互联通，端口仅开放与业务相关端口，例如生产环境网络环境仅开放80、443、8080端口。

对于业务代码安全，多点DMALL依据自身代码与业务特性建立研发流程管理，并以此为基础设计多点DMALL的DevSecOps能力，在产品设计中注入安全需求，在代码编写阶段提供代码扫描工具，在产品测试阶段加入IAST安全扫描能力覆盖常见安全漏洞，在产品上线前进行人工渗透测试、第三方安全公司外部安全测试，最终进行上线运营。

对于安全运营，对所有的安全设备进行日常运营，分析设备日志，在第一时间确认安全风险；推出多点安全应急响应中心（DMSRC），负责接收安全社区、第三方安全漏洞通告，弥补安全建设问题；每季度对多点所有资产进行安全渗透测试，覆盖多点所有业务系统、生产环境、各移动互联应用，发现的安全问题将及时告知对应负责人进行修复、复测，将安全问题消灭在内部。

同时，多点DMALL推行《网络安全应急响应流程》，将第一时间对发生网络安全的风险进行规避。例如，对log4j的0day安全漏洞通告，在通告发出后2小时内所有线上业务均可拦截log4j安全漏洞攻击，在48小时内完成所有涉及log4j漏洞的应用整改。

保护用户信息安全，我们还需要做些什么？多点DMALL作为SaaS服务提供者，离不开“云”技术，大量采用了微服务或Serverless技术。多点DMALL安全团队将继续深耕符合业务发展的安全技术，搭建不同的安全防御、监测设备与平台工具，建设云原生安全能力，容器安全技术，立志于做到线上安全零事故发生。保护信息的完整、保密、可用、可控，离不开整个行业乃至整个社会的共同努力。信息安全对抗是信息和技术的对抗，我们要了解网络攻击者使用的攻击技术，从而以攻促防；我们要比攻击者有更灵通的漏洞消息，在攻击者前掌握各种安全漏洞与风险，在实施攻击前将漏洞修复。

在此，我们呼吁安全厂商、软件厂商、企业、白帽子等各方力量更加紧密地合作，为用户营造更为健康、安全的网络环境。