何为业务安全，业务安全部门的具体职责是什么？

互联网安全的发展史

一提到互联网领域的安全问题，我想大多数人的第一反应是利用网络、软件的漏洞进行的各种攻击，或者用手指在键盘上跳舞的黑客们，这似乎是一个老生常谈的问题。

我们每个人都能随口说出几种攻击，比如SQL注入、中间人攻击、DDOS攻击等，然而每个概念在历史发展的不同阶段，却都有着迥异的内涵，互联网安全就是如此。

在互联网行业发展的初期，我们会更关注传统安全领域，如黑客，漏洞等上文所提到的内容，实际上这些大致可归类于操作系统、网络、应用软件层面的安全。再之前呢，我们的安全甚至会囊括硬件基础、设备层面的安全，如设备故障、网络故障、断电等。

而互联网行业发展到了今天，我们的核心变成了业务，企业的发展靠业务来驱动，企业靠业务来赚钱，企业能最直接给到客户的感受就是业务的好与坏，而我们的安全，也发展到了业务安全的阶段。

何为业务安全

业务安全，按我个人的理解，实际上是解决不规范、不合理的业务逻辑带来的安全隐患。

举个例子来讲，我们现在应该都意识到了新用户是多么珍贵的一笔资源，很多App都会给新用户一些极具诱惑力的福利，来进行第一笔订单，比如某外卖平台，会给新用户大额优惠券来鼓励用户下单，优惠额度甚至会达到一单一毛钱甚至免费。

这种优惠力度是非常大的，其中也隐藏了一定的利润空间，如果能够将新用户的优惠券卖给有需要的人，从中赚取插件，这就形成了一条黑色的产业链。

然后我们会发现，这些优惠券有着很多的限制条件，比如，仅能在本App的本账号下使用，仅能为新手机号使用，这类使用条件上的限制。同时也会有使用时间上的限制，这些限制的目的是为了保证我们的优惠券的最终使用者确实是我们的新用户，而不是流通到了某些黑色的产业链中。

这就是保证业务安全。

我们会发现业务安全不同于传统的安全，传统安全可能需要依赖于防火墙之类的与业务逻辑解耦的应用来完成。而我们的业务安全是与业务紧耦合的，解决业务安全无法使用某些通用的技术，而仅仅有方法论上的指导，结合对具体业务的深刻理解，数里业务逻辑流程，尽量的避免业务逻辑中留下能被利用的漏洞，或者显著增加利用某些漏洞的成本，来避免黑色产业链影响我们正常客户的使用。

如何保证业务安全

业务安全，业务在前，安全在后，因此业务安全是从属于业务的，每个业务都应该有自己的安全部门。

我们要保证业务安全，就要对业务有着深刻的理解，保证业务的主要功能不会被影响的前提下，设计能够提升用户体验的无业务安全隐患的业务流程，也即是相应的业务逻辑。

另外从安全的领域来讲，如果我们能够准确的识别请求端的身份，究竟是“好人”还是“坏人”，也能为我们解决安全问题提供思路，实际上，很多用于解决传统安全问题的方法论也是适用于业务安全的。

业务安全的痛点

总是在产生损失后再关注安全问题

一些新进入互联网行业的厂商，在没有遇到安全方面的问题时，没有吃过苦头，产生过真正的损失，是比较难花预算在安全问题上的，当然对成熟的大公司来说，安全防范意识会比较高，但是其新拓展的业务，如果对业务安全领域没有深入的了解的话，也极有可能在业务流程中出现易被黑产利用的漏洞。

业务安全无法准确量化

不做业务安全相关的工作，真正出了问题亡羊补牢，损失已经造成了，而做了业务安全的工作，却又很难量化其作用如何，投入产出是否是值得的。我们无法计算通过业务安全为公司挽回了多少损失，同样也很难统计避免了多少黑产的恶意访问、注册以及消费。因此业务安全部门的工作难以得到认可。

安全部门和开发部门的天然的矛盾

在企业发展的上升期，往往是最需要注重业务安全的时期，在起步时用户量较小，利润空间也比较小，难以引起黑产的兴趣来进行“薅羊毛”，也就不会太关注安全问题。而当业务快速发展壮大，安全的问题就值得警惕了。

而此时也会产生矛盾：
业务部门希望尽快上线，加快开发流程，完成KPI目标，而安全部门则希望保证业务流程的安全性，势必要提更多的要求，进行更多的讨论和迭代。

而实际也往往是业务部门的话语权更大，安全问题得不到重视。

还未入职学生的榆枋之见，结合资料整理和个人见解写成此文，如有不足还望海涵。欢迎评论讨论。