信息安全逐渐成为影响业务进一步发展的关键问题，对于团购网站来说更是如此，以下是去哪儿网在安全实践方面的一些经验。

    一、定期风险评估/安全审计

    定期风险评估可以帮助公司了解当前信息资产的实际安全状况，明确信息资产的价值、面临的威胁和风险，以便进一步明晰安全目标和现实状况之间的距离，并进行正确的决策；同时可以发现系统中比较迫切的安全需求，为下阶段的需求分析及安全建设提供客观准确的数据。风险评估内容包括资产（Asset）的识别与赋值、威胁（Threat）的识别与赋值、安全现状分析、弱点（Vulnerability）的发现与赋值、整体风险（Risk）的评估。风险评估的主要技术手段有：远程漏洞扫描、控制台安全审计、应用软件黑盒测试、源代码安全审计、制度流程评估等。

    二、构建防御体系

    良好的安全体系必须具备坚固的安全防线，以抵御来自各个层次的安全威胁，具体实施方法包括部署网络防火墙、应用防火墙（WAF）、杀毒软件等。

    三、构建监测体系

    一个良好的安全体系，应该能对异常情况有足够的敏感度，可迅速发现异常情况，并按照相关流程进行响应处理。具体实施方法包括在网络层面部署入侵检测系统（IDS/IPS）、在操作系统层面收集系统日志并进行异常分析、在应用层面收集相关日志并进行异常分析、在业务层面采集相关业务指标并与历史基线进行匹配分析等。

    四、制定安全策略和安全培训

    去哪儿网建立了完备的信息安全制度和流程，相关的信息安全技术标准等，由公司高管担任信息安全总负责人，并组建专业的安全团队负责执行具体工作。此外，去哪儿网建立了完备的安全培训机制，定期给员工提供安全意识和安全技能方面的培训。

　    五、应急响应/灾难恢复

     去哪儿网建立了完善的应急响应流程，在发现安全事故/安全隐患后，可迅速从各个小组调集专家，组成安全响应小组，以最快速度恢复业务，调查原因并彻底解决。同时去哪儿网建立了完善的系统重建制度和流程，在一个数据中心出现毁灭性事故或故障后，可迅速把所有业务切换到备份数据中心，也可选择在新的数据中心迅速重建整套业务系统。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。