什么，又被黑了？

从一个企业角度看，黑客切入点如下：

第一类是企业的应用

第二类是子公司的应用

第三类是合作方

一般来说企业安全技术风险分析可以按照数据流的方式进行。数据从企业外部流入企业内部，经过各种运算处理后返回给外部，这个过程中涉及到的数据交换与处理即风险点。

企业自身由于对应用规划、研发、测试、部署、运维所涉及到安全关注不够，管理不到位，投入不足，导致在这几个环节引入安全问题。安全规划必须贯彻整个项目所有环节，换句话说任意环节都能拿出安全方案。

子公司与合作方他们从一开始就属于企业信任域。原因可以归纳为两方面，第一是历史原因，第二是效率原因。无论是网络规划还是应用上线，都属于内部系统。但管理上他们却游离在外不受本公司管理制度约束，或经过上传下达各种流程后造成管理策略延迟太多，即使合作协议有相关约束，执行下来的确不多。特别是非技术类型的企业，技术也只是刚好够用，甚至安全人员也是运维兼任，这种情况下子公司的安全管理可能更糟糕。

很久以前做过一次应急，某企业应用一上线就被发现存在webshell(一种后门)，经过日志审计、应急处理，展现该后门在应用部署时就已经存在，拿到应用部署包后发现后门直接在部署文件中。这说明几个问题，第一企业应用上线流程不规范，根据我了解该企业有严格的应用上线审批，但流程确没有进行后门检测一项。第二，默认合作方可信，合作中确实是可信合作，但企业安全不存在默认选项。合作方可能提供安全报告、甚至是代码审计报告，看上去这些报告只解决了有无报告的问题，没实际意义，为了应用按时上线，上线审计默认了报告是有意义能解决问题的，安全问题就这样产生了。

部分企业很重视安全，但由于各种原因缺少安全人员，企业有一堆安全服务器，一堆安全设备，一堆安全报告。由于缺少安全人员导致无法与安全服务商平等对接，安全设备也在空转。安全设备特别是具有拦截功能的安全设备，要不断的调优以适应企业业务，这就需要大量的工时，现在安全行业处于火爆状态，缺少安全人员与培训不到位导致厂商采取比较保险的做法。企业确实有大量安全预算，百万千万，确没有安全人员编制。