去哪儿网谈团购安全实践方面的体会

　信息安全逐渐成为影响业务进一步发展的关键问题，对于团购网站来说更是如此，以下是去哪儿网在安全实践方面的一些经验。

 

    一、定期风险评估/安全审计

 

    定期风险评估可以帮助公司了解当前信息资产的实际安全状况，明确信息资产的价值、面临的威胁和风险，以便进一步明晰安全目标和现实状况之间的距离，并进行正确的决策；同时可以发现系统中比较迫切的安全需求，为下阶段的需求分析及安全建设提供客观准确的数据。风险评估内容包括资产（Asset）的识别与赋值、威胁（Threat）的识别与赋值、安全现状分析、弱点（Vulnerability）的发现与赋值、整体风险（Risk）的评估。风险评估的主要技术手段有：远程漏洞扫描、控制台安全审计、应用软件黑盒测试、源代码安全审计、制度流程评估等。

 

    二、构建防御体系

 

    良好的安全体系必须具备坚固的安全防线，以抵御来自各个层次的安全威胁，具体实施方法包括部署网络防火墙、应用防火墙（WAF）、杀毒软件等。

 

    三、构建监测体系

 

    一个良好的安全体系，应该能对异常情况有足够的敏感度，可迅速发现异常情况，并按照相关流程进行响应处理。具体实施方法包括在网络层面部署入侵检测系统（IDS/IPS）、在操作系统层面收集系统日志并进行异常分析、在应用层面收集相关日志并进行异常分析、在业务层面采集相关业务指标并与历史基线进行匹配分析等。

 

    四、制定安全策略和安全培训

 

    去哪儿网建立了完备的信息安全制度和流程，相关的信息安全技术标准等，由公司高管担任信息安全总负责人，并组建专业的安全团队负责执行具体工作。此外，去哪儿网建立了完备的安全培训机制，定期给员工提供安全意识和安全技能方面的培训。

 

　    五、应急响应/灾难恢复

 

     去哪儿网建立了完善的应急响应流程，在发现安全事故/安全隐患后，可迅速从各个小组调集专家，组成安全响应小组，以最快速度恢复业务，调查原因并彻底解决。同时去哪儿网建立了完善的系统重建制度和流程，在一个数据中心出现毁灭性事故或故障后，可迅速把所有业务切换到备份数据中心，也可选择在新的数据中心迅速重建整套业务系统。