安全產品經理的思維模式 ——網站群治理平臺誕生記
責編:mhshi |2016-09-27 10:21:27從紅頭文件到落地產品,一個備受青睞的安全產品是如何誕生的呢?
“網站群治理平臺叫好叫座,因為我們經歷了一個從需求提煉到問題解決、從用戶需求到用戶體驗的全過程。”作為網站群治理平臺的產品經理,來自WebRAY 的李春鵬談起這個產品來非常自豪,因為“確實解決了問題,受到了用戶的廣泛好評。”
一個文件引發的深度思考
“網絡里到底有多少網站和業務系統?這些網站是否安全、合規?對于大量網站的管理如何才能便捷有效?”這些問題一直困擾著信息中心的運維人員。但是在頒布之前,這樣的疑問僅限于內部討論。
在2015年9月30日,由中央網信辦起草、公安部執法,聯合中編辦、工信部發布了《黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》(又稱2562號文件),這些疑問變成了必須要回答的問題。方案中,除了要求落實網站的安全保護工作之外,還明確要求“開展網站群建設工作,將分散的小網站歸并為網站群,對網站進行統一管理、統一防護、統一監測。”
“這把之前隱形的問題都提上了日程,”李春鵬說,“用戶需要算一算‘家底’,這也給我們明確提出了一個產品的方向。因為在實際操作中,我們發現現有的安全產品都無法滿足用戶需求,我們只能另辟蹊徑。”
從文件落地到產品,找到一條可行之路
一個全新的產品應該怎么做?
WebRAY從源頭上開始思考。就像習近平的“419講話”中提到“維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發生風險,正所謂‘聰者聽于無聲,明者見于未形’”,“要全面加強網絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改”,“要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢”。
“我們認為摸清現網Web數量是網站治理的第一步,也是最重要的一步。”李春鵬說。“選擇在網絡出口或者核心交換的旁路上搭建產品,并將流量鏡像到Web安全治理平臺,從而自動發現內網所有網站及業務系統。
“在此基礎上,再與現有的網站列表進行對比,就能發現內網中不合規的網站。并且我們將網站的備案流程也增加到平臺之中,幫助信息中心擺脫傳統的基于手動的管理方式,同時在平臺中集成了旁路阻斷模塊,可根據策略自動阻斷不合規網站。這是第二步,幫助用戶對網絡中的所有網站進行統一的管理。”李春鵬說,“第三步是對網站進行持續地安全巡檢,檢測內容為定期地Web漏洞與系統漏洞檢測;篡改、暗鏈等安全事件;被動式的后門發現。在這個過程我們將注意力放在了工作效果的體現上,哪些問題是新增的,哪些問題是已經修復的都有清晰的體現。;第四步,用戶可以自定義選擇我們的防護探針,探針與治理平臺聯動,實現DDos、Web攻擊的防護與統一展現。。這部分工作是WebRAY的傳統優勢技術,我們有成熟的產品和方案。”
在這個過程中,通過技術手段來協助用戶進行決策,引入所有權認證機制,對網站進行自動化審查、授權,建立監控、預警、響應、溯源的安全防范體系,保證遵從國家2562號文件的規定。
“實際上,在網站群治理平臺的誕生過程中,我們只是做了一部分工作。”李春鵬說,“大量的工作始于用戶,是用戶幫助我們提出了具體需求,并且在產品的改進上提出建議。可以這樣說,這個產品的誕生,有一半是用戶的功勞。”
在研發近一年以后,網站群治理平臺已經出現在眾多用戶的網絡中,“僅在北京的教育圈子里,就包括北大、清華、交大以及市教委等40多個客戶在使用我們的產品,一方面我們的產品在幫助客戶管理網站,另一方面,客戶也不斷將新的想法、好的建議提供給我們”。“用戶和產品在相互促進,我們有過一個案例,當時用戶認為網絡中的網站包括尚未登記的有1500多個,但是,經過我們的產品自動監測之后發現,旗下的子網站多達2700個,這個數據讓客戶非常吃驚。”李春鵬說。無論哪個不在目錄下的網站出現問題,都是監管部門的失察,而有1400個網站在監控之外,確實讓人非常后怕。
現在網站群治理平臺仍在根據用戶需求不斷調整,以每個月一個大版本的速度在快速迭代,除了上述的四大步驟的能力外,目前治理平臺還增加了許多實用的小功能,比如網站流量分析,用戶可自定義查看網站的訪問量,幫助用戶發現異常訪問與僵尸網站;治理平臺的報表功能也非常強大,不僅支持批量導出,還支持用于匯報的統計報表及用于下發整改通知的詳細報表等不同類型的報表;指紋分析功能幫助用戶查看所有網站的指紋信息。 “這些功能都是根據客戶運維過程中實際遇到的問題轉化而來的”。
李春鵬說,“未來的產品,將會更好地契合用戶的需求和使用習慣。我們相信企業級網絡產品不僅只停留在能用也可以做成好用、讓客戶愛用。”