在做產(chǎn)品工作的時(shí)候，因?yàn)?a href="/tag/軟件開(kāi)發(fā)" target="_blank">軟件開(kāi)發(fā)的要求，研發(fā)和運(yùn)維同學(xué)會(huì)面臨搭建搭建服務(wù)器去完成分割產(chǎn)品的正式環(huán)境（生產(chǎn)環(huán)境）、欲發(fā)布（防線上環(huán)境）、測(cè)試環(huán)境，尤其是在用戶量較高后，我們總是會(huì)有數(shù)據(jù)安全的要求，尤其是會(huì)涉及到第三方和政府機(jī)構(gòu)檢查。

在功能上的安全是產(chǎn)品經(jīng)理接觸較多的，比如我們做的審核功能、內(nèi)容過(guò)濾功能，相信很少有產(chǎn)品經(jīng)理了解這部分內(nèi)容，歡迎收藏。

今天這篇文章適合那些產(chǎn)品的活躍用戶量突破破百萬(wàn)以上、國(guó)企等特殊行業(yè)的產(chǎn)品經(jīng)理/或互聯(lián)網(wǎng)創(chuàng)業(yè)者創(chuàng)造閱讀，我們?cè)趺醋龅礁哂脩袅康臄?shù)據(jù)安全、政策合規(guī)。

安全問(wèn)題有多重要？

隨著用戶量越來(lái)越高，互聯(lián)網(wǎng)公司的產(chǎn)品已經(jīng)不只是一款商業(yè)化產(chǎn)品了，還要承擔(dān)相關(guān)社會(huì)責(zé)任。比如曾經(jīng)網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致的探探下架，引起了競(jìng)品的快速增長(zhǎng)，流失了不少用戶。

產(chǎn)品經(jīng)理應(yīng)該知道的版本環(huán)境

我們?cè)诠纠镏辽贂?huì)有開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境和生產(chǎn)環(huán)境，其他環(huán)境根據(jù)用戶量區(qū)別、公司要求來(lái)做區(qū)分。比如對(duì)于探探這類產(chǎn)品至少有上面5個(gè)環(huán)境。下面對(duì)每個(gè)環(huán)節(jié)做了講解

1.開(kāi)發(fā)環(huán)境

顧名思義，開(kāi)發(fā)同學(xué)開(kāi)發(fā)時(shí)使用的環(huán)境，每位開(kāi)發(fā)同學(xué)在自己的dev分支上干活，提測(cè)前或者開(kāi)發(fā)到一定程度，各位同學(xué)會(huì)合并代碼，進(jìn)行聯(lián)調(diào)。

2.測(cè)試環(huán)境

也就是我們測(cè)試同學(xué)干活的環(huán)境啦，一般會(huì)由測(cè)試同學(xué)自己來(lái)部署，然后在此環(huán)境進(jìn)行測(cè)試。bug修復(fù)后，需要發(fā)版更新測(cè)試環(huán)境來(lái)回歸bug。

3.回歸環(huán)境

回歸bug的環(huán)境，其實(shí)就是我們的測(cè)試環(huán)境，在測(cè)試環(huán)境上測(cè)試、回歸驗(yàn)證bug。

4.預(yù)發(fā)布環(huán)境

測(cè)試環(huán)境到生產(chǎn)環(huán)境的過(guò)渡。測(cè)試環(huán)境可能會(huì)受到一些限制，一些流程或者數(shù)據(jù)沒(méi)有測(cè)試到，就可以在預(yù)發(fā)布環(huán)境進(jìn)行驗(yàn)證，從而保證產(chǎn)品上線質(zhì)量。

5.生產(chǎn)環(huán)境

即線上環(huán)境，用戶使用的環(huán)境。由特定人員來(lái)維護(hù)，一般人沒(méi)有權(quán)限去修改。

產(chǎn)品經(jīng)理應(yīng)該知道的安全分類

系統(tǒng)漏斗的安全掃描

無(wú)論產(chǎn)品的測(cè)試環(huán)境、還是線上環(huán)境，只要涉及到系統(tǒng)和公網(wǎng)有接觸，就代表產(chǎn)品可能遭到外網(wǎng)攻擊、和相關(guān)網(wǎng)絡(luò)部門(mén)掃描發(fā)現(xiàn)系統(tǒng)安全隱患或漏斗，被進(jìn)行通報(bào)甚至是介入下架。

掃描一般是提供對(duì)應(yīng)準(zhǔn)備部署的代碼包進(jìn)行掃描，還要提供對(duì)應(yīng)的服務(wù)器IP地址掃描，就會(huì)出具安全報(bào)告。

系統(tǒng)安全和漏洞安全的報(bào)告等級(jí)

安全等級(jí)會(huì)根據(jù)安全評(píng)估公司不同，等級(jí)劃分有區(qū)別。但評(píng)估的方法是通過(guò)主機(jī)風(fēng)險(xiǎn)評(píng)估模型計(jì)算主機(jī)風(fēng)險(xiǎn)值，對(duì)于閱讀本篇文章的產(chǎn)品經(jīng)理，建議至少在比較安全以上。

如果不考慮，則幾乎是處于比較危險(xiǎn)或者非常危險(xiǎn)。

漏洞是指的是系統(tǒng)漏洞

漏洞的等級(jí)是根據(jù)CVSS規(guī)則，CVSS是用于評(píng)估漏洞的嚴(yán)重性，而不是對(duì)風(fēng)險(xiǎn)的評(píng)估。風(fēng)險(xiǎn)評(píng)分是需要每個(gè)企業(yè)根據(jù)企業(yè)特性的風(fēng)險(xiǎn)要素，進(jìn)行識(shí)別后再進(jìn)行風(fēng)險(xiǎn)判別。

CVSS通用漏洞評(píng)分系統(tǒng)，英文對(duì)應(yīng)Common Vulnerability Scoring System。CVSS旨在評(píng)估安全漏洞的嚴(yán)重性，是全球各組織使用的公開(kāi)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)由FIRST制定，并由其組織團(tuán)隊(duì)SIG（The CVSS Special Interest Group）改進(jìn)和推廣。

為了方便各位產(chǎn)品經(jīng)理了解漏洞評(píng)級(jí)的概念可以我用下面舉例

比如PMTalk產(chǎn)品經(jīng)理社區(qū)的網(wǎng)站有自己的管理員賬戶、和子管理員賬戶，這些賬戶對(duì)應(yīng)了一套權(quán)限范圍，運(yùn)營(yíng)、數(shù)據(jù)分析、產(chǎn)品經(jīng)理等。

在網(wǎng)站社區(qū)里也有自己的前端web服務(wù)和數(shù)據(jù)庫(kù)管理系統(tǒng)，其系統(tǒng)也有獨(dú)立的賬戶授權(quán)，比如數(shù)據(jù)庫(kù)權(quán)限、服務(wù)管理權(quán)限。

現(xiàn)在有3個(gè)場(chǎng)景，可以用來(lái)解釋

場(chǎng)景1:當(dāng)攻擊者利用漏洞攻擊社區(qū)網(wǎng)站，并沒(méi)有破壞數(shù)據(jù)庫(kù)和網(wǎng)站功能，至少有服務(wù)器受到影響，比如管理員賬戶、子管理員賬戶泄漏，漏洞組件和受有影響組件一致均為：web服務(wù)

場(chǎng)景2:當(dāng)攻擊者利用漏洞攻擊社區(qū)網(wǎng)站，破壞了數(shù)據(jù)庫(kù)和產(chǎn)品，比如刪除了文章、刪除了用戶數(shù)據(jù)，漏洞的組件是：web服務(wù)器，受影響組件：整個(gè)網(wǎng)站。

場(chǎng)景3:當(dāng)攻擊者利用漏洞攻擊社區(qū)網(wǎng)站，用戶輸入的賬戶密碼無(wú)法驗(yàn)證，同時(shí)還能給用戶上傳惡意代碼，甚至是病毒，對(duì)訪問(wèn)用戶的瀏覽行為進(jìn)行執(zhí)行，增加了影響防偽。

上面三種，都是影響漏洞分值的評(píng)估標(biāo)準(zhǔn)。

VPN權(quán)限來(lái)管理訪問(wèn)安全

這一點(diǎn)在內(nèi)網(wǎng)服務(wù)器非常常用！尤其是在測(cè)試服務(wù)器、生產(chǎn)環(huán)境還沒(méi)有對(duì)外網(wǎng)打開(kāi)的時(shí)候，為了保證訪問(wèn)的絕對(duì)安全，通過(guò)開(kāi)通V PN賬戶，對(duì)VPN增加可以訪問(wèn)的IP地址權(quán)限，是在沒(méi)有做到安全掃描的最簡(jiǎn)單、安全辦法。

VPN開(kāi)通需要?jiǎng)?chuàng)建賬戶，獲得權(quán)限后再下載證書(shū)，對(duì)證書(shū)進(jìn)行配置

公網(wǎng)限IP源訪問(wèn)

互聯(lián)網(wǎng)產(chǎn)品測(cè)試環(huán)境往往也是和公網(wǎng)鏈接的，還有很多項(xiàng)目管理軟件我們會(huì)采取免費(fèi)的來(lái)在部署到自己服務(wù)器使用，可是我們通過(guò)開(kāi)通VPN又過(guò)于麻煩，因?yàn)橐_(kāi)通賬戶、和權(quán)限等，如果開(kāi)發(fā)人員較多，就需要花非常多時(shí)間來(lái)管理這類賬戶、賬戶申請(qǐng)、權(quán)限開(kāi)通等，所以可以對(duì)公司的辦公網(wǎng)絡(luò)進(jìn)行限固定IP來(lái)訪問(wèn)，因?yàn)殚_(kāi)發(fā)人員一般都是坐在一起或在同一個(gè)網(wǎng)絡(luò)辦公，增加了開(kāi)發(fā)效率。

但這類管理方式，如果在服務(wù)器的開(kāi)源軟件是存在后門(mén)、或漏洞，那么仍然會(huì)造成系統(tǒng)安全。

最后要說(shuō)明，很多公司因?yàn)樯虡I(yè)化主導(dǎo)，所以安全都幾乎沒(méi)有投入資源，除了最基本的賬戶和密碼有相關(guān)人員知曉。

比如我們偶爾會(huì)方便記憶，用非?；娜蹩诹?，比如最近烏克蘭國(guó)防部系統(tǒng)賬號(hào)密碼曝光，竟然是admin和123456

據(jù)市場(chǎng)研究公司 Gartner 研究報(bào)告稱"實(shí)施漏洞管理的企業(yè)會(huì)避免近 90% 的攻擊"?？梢钥闯觯皶r(shí)的漏洞修補(bǔ)可以在一定程度上防止病毒、攻擊者的威脅。