本文是wot2016網際網路運維與開發者大會的現場乾貨, 新一屆主題為wot2016企業安全技術峰會將在2023年6月24日-25日於北京珠三角jw萬豪酒店隆重召開!
【嘉賓簡介】
wot2016網際網路運維與開發者大會的運維安全專場的演講中,吳建強做了主題為《企業資訊保安實踐》的精彩演講,他從不斷演繹的安全威脅進行分析,分享了在工作中對於企業安全體系建設思路及實踐,以及新技術驅動下的挑戰和機會。
隨著數字通訊和移動網際網路技術的發展,越來越多的裝置可以聯網,在給人們提供便利優質智慧型生活的同時,安全威脅也隨之越來越多,複雜多樣,黑客攻擊手段也變得多樣化。在網路安全攻防對抗中,安全產業也在不斷的晉級。從最初的被動防禦演進至主動防禦,關注重點從通訊安全和網路安全,轉至應用安全、作業系統安全,然後慢慢的隨著移動網際網路的發展,移動安全也備受關注。
企業安全體系的建設思路與整體架構
吳老師表示,每個公司的業務特點不同,以上是僅是他根據自己的工作以及所在公司的業務所總結的建設思路,並一定適合於所有的公司。企業安全建設主要有以下兩個重點:一是,要很清楚的明白公司的業務是在做什麼的,安全關注的業務是在哪幾個方面。二是,技術體系建設。技術體系主要是有幾個方面:pdr、did、sas以及流程保證,還有包括組織體系、管理體系,意思就是人、技術、流程。就是通過這幾個方面,如果你能做的比較好,能夠把這幾個方面貫徹的比較好,你的企業安全應該會做的不錯。
安全對於小公司來說有些奢侈,不像大公司已盈利。所以小公司們該如何考慮做安全呢?其實,無論是大公司還是小公司,做安全都要考慮哪些業務對公司來說是至關重要的,那這些業務就是安全防護的重點,需要優先給予安全保障。因此,這時公司就需要做乙個業務分析。對此,吳老師建議對公司業務做如上圖所示的整體業務分析,或者稱為業務定級,定級的過程就是依據我們業務的安全的幾個屬性,加業務的依賴性。
介紹完整體架構之後,吳老師又對技術體系裡幾個重要環節進行了分析。
◆pdr和did
關於pdr和did的概念,pdr做安全的,對這個模型都有一定的理解,其實它是基於時間軸的模型,就是強調你的防禦的時間和監測的時間,能夠通過防禦和監測的時間,去降低攻擊的結果。就是在那個時間段,及時發現攻擊,並且把它攔住。換個角度來講,可能我會把這個架構,把這個模型重新劃分一下,就是我把技術架構劃成幾點:第乙個就是防禦類的技術產品,監測類的技術產品,還有響應的技術產品。除了pdr,還有乙個did,就是縱深防禦的模型。縱深防禦的模型強調的是我從網路層到主機層、到應用層,到資料層,各個階段都有一定的監控、保護,或者響應的技術方案或者技術體系,所以我用了乙個類似於餅圖的方式去實現這種架構。我們會把做一些無論是安全技術的專案、安全產品類似的技術手段,能夠分分類,都可以劃到這個裡面去。包括比如說像掃瞄的,或者是監控的,實際上我們在各個層次上,比如說我們在外網,網路層有監控,這種監控也會涉及到應用的監控、流量的監控。掃瞄會涉及到主機的掃瞄、資料庫的掃瞄、應用的掃瞄,都可以把這些技術手段劃做我們的pdr裡面的一類,但是在各個層面上都要覆蓋到。
◆ddos解決方案
吳老師表示首先他們會對ddos進行分級,就是十級以下公司自己處理,十級以上協調運營商,或者請求其他外部資源的支援,因為公司的資源始終是有限的。在ddos解決方案中,主要包括主動牽引和被動牽引兩種方案。主動牽引就是在模擬現在市面上比較成熟的產品解決方案,通過bgp,netfilter模組和nginx實現,無論做流量的反向**,或者做流量的清洗,都可以通過這些方式去做。而被動牽引首先在被攻擊伺服器實施網路層牽引,然後在防護裝置實施清洗,最後再**到被攻擊伺服器。
◆監控
這個監控實際上是在我們所有大的節點的dic入口的乙個監控。這個監控主要是監控幾個方面,第乙個就是關於應用層的攻擊,關於web的攻擊,第二個關於流量的攻擊,就是ddos或者是流量異常的攻擊。監控通過分光器的方式來實現,把流量通過分光器,通過交換機下面接一些伺服器,這樣實現了流量的負載。
◆掃瞄
掃瞄的進化是乙個很有意思的過程。首先是系統層面的,主要針對系統的安全漏洞。然後,進入web2.0時代後,針對應用層面的掃瞄較多。還有乙個,就是關於這種被動式的掃瞄,被動的掃瞄主要是給產品測試人員,通過提供乙個**的方式,它把瀏覽器的**,或者一些開發軟體的**,設定到我們的掃瞄介面來,掃瞄ai上或者介面上,我們能夠抓到所有的鏈結之後,並且能夠獲得他的,如果你登陸了就有一些授權資訊,那這些授權資訊去做這種被動掃瞄。
◆sas 安全即服務
什麼叫安全即服務呢?將安全能力安全產品輸出出去,服務給公司。比如把掃瞄的api介面開放給業務線。那業務線實際上在開發產品過程中,就直接可以使用這個api了。如果你在做監控,你監控已經累積了大量的原始資料,包括攻擊的資料,惡意使用者、惡意ip,這些都可以輸出出去。既然你在做安全,你有這個優勢,你為什麼不能把這個東西當做乙個服務提供出去呢?
◆sas 服務即安全
為什麼說服務即安全呢?吳老師表示,就是希望把產品做的更安全一些,就是把一些安全能力加入到我們現有的技術架構當中。比如說現在其實像安全cdn這個東西,也不是乙個非常新鮮的概念了,前兩年已經非常成熟了,我要把第一層的防禦放在我的入口處,要放在cdn處。為什麼要做在這兒呢?因為在web前端的,cdn或者應用層的監控或者保護,可能沒有及時的發現這個攻擊。但是你會在越接近資料的地方,越容易發現攻擊,因為它沒有什麼特別多的語法或者詞法的解析了,也不存在規則的問題。更多的就在於資料層,是不是注入,在這個地方,它會起碼很全面,當然你的規則就取決於你的規則實現了。如果你的規則,誤報太多了,就需要做優化了,但是不會有漏報,所以你只會有誤報,不會有漏報。
至此,前面介紹的基本上就是大整體的乙個技術架構,主要是pdr和did,實現的就是在多層次去做這種保護、監控和響應。
安全開發流程ssdl
這個安全開發流程,估計絕大多數公司會有。但是怎麼去貫徹,怎麼去實行,吳老師認為這其實是乙個很難的事。安全開發流程主要有以下幾個部分:
組織體系
組織體系中的主體就是人。公司中每個與安全有關的聯絡人,包括部門領導都應參與到企業安全防護的過程中。普通的公司職員也應增強安全意識。安全領導組要做決策,控制安全防護的成本等。在策略的執行過程中,需要有流程保障,需要技術保證。另外,可通過安全月報的形式,讓部門領導和安全聯絡人清楚,過去乙個月中,公司的整體安全現狀,哪個部門的安全事件較多,發生了哪些安全事件,攻擊趨勢發生了怎樣的變化。
新技術驅動下的挑戰和機會
雲計算和大資料時代的到來,給安全防護工作帶來了新的挑戰和機會。吳老師總結如下:
小議本企業的「企業資訊保安」
本篇文章版權由ecf 和hp所有 我目前工作的企業是一家香港上市的 年銷售收入20億左右的大型企業 並且該企業在資訊化方面做得也不錯,有專門的資訊化團隊 電腦網路小組 erp小組。但是在裡面工作的兩年當中發現企業資訊保安方面做得 歪曲 了,它一味只追求 控制 沒有半點效率和適宜性。首先,我們共同來看...
中小企業資訊保安解決篇
在該 的上篇中,我們 了中小企業資訊保安的現狀,並集中闡述了中小企業在安全意識 投入能力 技術儲備等方面所面臨的問題。讀罷該文,可能給大家一種在中小企業中實施資訊保安步履維艱之感,但事實是否如此呢?可以說答案是否定的,因為在現實中,每個企業的客觀情況都不同,我們所談到的問題只是中小企業相對於較大規模...
病毒來了,如何拯救企業資訊保安
全球病毒爆發,這不是乙個誇張說法,人類已經進入了dt時代,資料是乙個企業的最珍貴的資產,然而很多企業沒有意識到企業資訊保安,基本上區域網都在裸奔,很多別有用心的人或者組織就通過各種手段來進行破壞企業重要資料,導致企業損失很大甚至破產。重點來了,我們如何拯救自己企業的資訊保安呢?我現在這邊提幾點和大家...