安全產品經理的思維模式

從紅標頭檔案到落地產品，一個備受青睞的安全產品是如何誕生的呢？

“網站群治理平臺叫好叫座，因為我們經歷了一個從需求提煉到問題解決、從使用者需求到使用者體驗的全過程。”作為網站群治理平臺的產品經理，來自WebRAY的李春鵬談起這個產品來非常自豪，因為“確實解決了問題，受到了使用者的廣泛好評。”

一個檔案引發的深度思考

“網路裡到底有多少網站和業務系統？這些網站是否安全、合規？對於大量網站的管理如何才能便捷有效？”這些問題一直困擾著資訊中心的運維人員。但是在頒佈之前，這樣的疑問僅限於內部討論。

在2015年9月30日，由中央網信辦起草、公安部執法，聯合中編辦、工信部發布了《黨政機關、事業單位和國有企業網際網路網站安全專項整治行動方案》（又稱2562號檔案），這些疑問變成了必須要回答的問題。方案中，除了要求落實網站的安全保護工作之外，還明確要求“開展網站群建設工作，將分散的小網站歸併為網站群，對網站進行統一管理、統一防護、統一監測。”

“這把之前隱形的問題都提上了日程，”李春鵬說，“使用者需要算一算‘家底’，這也給我們明確提出了一個產品的方向。因為在實際操作中，我們發現現有的安全產品都無法滿足使用者需求，我們只能另闢蹊徑。”

從檔案落地到產品，找到一條可行之路

一個全新的產品應該怎麼做？

WebRAY從源頭上開始思考。就像習近平的“419講話”中提到“維護網路安全，首先要知道風險在哪裡，是什麼樣的風險，什麼時候發生風險，正所謂‘聰者聽於無聲，明者見於未形’”，“要全面加強網路安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”，“要建立統一高效的網路安全風險報告機制、情報共享機制、研判處置機制，準確把握網路安全風險發生的規律、動向、趨勢”。

“我們認為摸清現網Web數量是網站治理的第一步，也是最重要的一步。”李春鵬說。“選擇在網路出口或者核心交換的旁路上搭建產品，並將流量映象到Web安全治理平臺，從而自動發現內網所有網站及業務系統。

“在此基礎上，再與現有的網站列表進行對比，就能發現內網中不合規的網站。並且我們將網站的備案流程也增加到平臺之中，幫助資訊中心擺脫傳統的基於手動的管理方式，同時在平臺中整合了旁路阻斷模組，可根據策略自動阻斷不合規網站。這是第二步，幫助使用者對網路中的所有網站進行統一的管理。”李春鵬說，“第三步是對網站進行持續地安全巡檢，檢測內容為定期地Web漏洞與系統漏洞檢測；篡改、暗鏈等安全事件；被動式的後門發現。在這個過程我們將注意力放在了工作效果的體現上，哪些問題是新增的，哪些問題是已經修復的都有清晰的體現。；第四步，使用者可以自定義選擇我們的防護探針，探針與治理平臺聯動，實現DDos、Web攻擊的防護與統一展現。。這部分工作是WebRAY的傳統優勢技術，我們有成熟的產品和方案。”

在這個過程中，通過技術手段來協助使用者進行決策，引入所有權認證機制，對網站進行自動化審查、授權，建立監控、預警、響應、溯源的安全防範體系，保證遵從國家2562號檔案的規定。

“實際上，在網站群治理平臺的誕生過程中，我們只是做了一部分工作。”李春鵬說，“大量的工作始於使用者，是使用者幫助我們提出了具體需求，並且在產品的改進上提出建議。可以這樣說，這個產品的誕生，有一半是使用者的功勞。”

在研發近一年以後，網站群治理平臺已經出現在眾多使用者的網路中，“僅在北京的教育圈子裡，就包括北大、清華、交大以及市教委等40多個客戶在使用我們的產品，一方面我們的產品在幫助客戶管理網站，另一方面，客戶也不斷將新的想法、好的建議提供給我們”。“使用者和產品在相互促進，我們有過一個案例，當時使用者認為網路中的網站包括尚未登記的有1500多個，但是，經過我們的產品自動監測之後發現，旗下的子網站多達2700個，這個資料讓客戶非常吃驚。”李春鵬說。無論哪個不在目錄下的網站出現問題，都是監管部門的失察，而有1400個網站在監控之外，確實讓人非常後怕。

現在網站群治理平臺仍在根據使用者需求不斷調整，以每個月一個大版本的速度在快速迭代，除了上述的四大步驟的能力外，目前治理平臺還增加了許多實用的小功能，比如網站流量分析，使用者可自定義檢視網站的訪問量，幫助使用者發現異常訪問與殭屍網站；治理平臺的報表功能也非常強大，不僅支援批量匯出，還支援用於彙報的統計報表及用於下發整改通知的詳細報表等不同型別的報表；指紋分析功能幫助使用者檢視所有網站的指紋資訊。“這些功能都是根據客戶運維過程中實際遇到的問題轉化而來的”。

李春鵬說，“未來的產品，將會更好地契合使用者的需求和使用習慣。我們相信企業級網路產品不僅只停留在能用也可以做成好用、讓客戶愛用。”

本文出處：暢享網
本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。