终于到来本书的最后一章。
在互联网创业中,资安与风控往往是被轻忽的一环。而在初创企业的阶段,资安与风控甚至更是直接可以被省略的一环。
除了区块链行业以及少部分互联网金融行业外,很少行业要在创业的一开始就同时兼顾开发速度+环境变化的挑战与这么多恶意的攻防战争。
资安不重要吗?非常重要。
资安成本高吗?非常非常非常的高
但是你能舍弃资安吗?不可以。一台汽车如果没有安全气囊以及保险杆,开车上路可是会死人的。
但是企业的安全气囊与保险杆,并不是市场上可以批发购买,而是必须量身订做的。
在这本书我们探讨了以下主题:
- 如何预先保护使用者的安全。假设他的密码早已被盗,你还是得保障他的安全。
- 如何防止代码的外泄。甚至即使外泄了,也不置于造成灾难性的损失。
- 如何设计出相对安全的架构。如何只用 20% 的精力就降低 80% 的风险。
- 如何避免不可靠的第三方。当第三方失灵后,还能将企业冲击降到最小。
- 如何将「恶意的人」与「恶意行为」,降到冲击力相对小。
- 如何避免自己的办公室被恶意渗透。即便被渗透,损失能降到最小。
- 天下没有不散的宴席。如何将雇员的离去造成的资安威胁与泄密风险,设立防护稳妥的防护架构。
- 管理对立面。如何与白帽黑客和平共处,反而化为助力。
投入互联网金融的企业越来越多。互联网金融行业并不只是互联网行业,本质上,互联网金融行业是周边威胁系数更高的「金融行业」。
我在投入这个行业前,甚至不知道自己要面对的是如此险恶的环境。甚至,即便过去我在互联网从业超过十年,设计过许多产品与技术架构。但区块链交易所架构的水之深与行业险恶,还是让我瞠目结舌。只能边做边学。
这些安全行业知识在行业里多半靠熟人相传或者是师徒相承,有些甚至只能靠自己付上「学费」(恶意行为造成的损失以及相关的安全与法律谘询费)才能够习得。
我希望这一本实战手册的诞生。能够保护未来更多的企业,能够有效的降低其他企业关于互联网风控的学习曲线,并且降低恶意冲击的损失。