本文是WOT2016互聯(lián)網(wǎng)運維與開發(fā)者大會的現(xiàn)場干貨，  新一屆主題為WOT2016企業(yè)安全技術峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

【嘉賓簡介】

吳建強，搜狐高級經(jīng)理，超過10年的信息安全從業(yè)經(jīng)驗，曾就職于國內(nèi)多家知名安全公司，目前主要負責搜狐安全團隊的管理。

WOT2016互聯(lián)網(wǎng)運維與開發(fā)者大會的運維安全專場的演講中，吳建強做了主題為《企業(yè)信息安全實踐》的精彩演講，他從不斷演繹的安全威脅進行分析，分享了在工作中對于企業(yè)安全體系建設思路及實踐，以及新技術驅動下的挑戰(zhàn)和機會。

隨著數(shù)字通信和移動互聯(lián)網(wǎng)技術的發(fā)展，越來越多的設備可以聯(lián)網(wǎng)，在給人們提供便利優(yōu)質智能生活的同時，安全威脅也隨之越來越多，復雜多樣，黑客攻擊手段也變得多樣化。在網(wǎng)絡安全攻防對抗中，安全產(chǎn)業(yè)也在不斷的晉級。從最初的被動防御演進至主動防御，關注重點從通信安全和網(wǎng)絡安全，轉至應用安全、操作系統(tǒng)安全，然后慢慢的隨著移動互聯(lián)網(wǎng)的發(fā)展，移動安全也備受關注。

企業(yè)安全體系的建設思路與整體架構

吳老師表示，每個公司的業(yè)務特點不同，以上是僅是他根據(jù)自己的工作以及所在公司的業(yè)務所總結的建設思路，并一定適合于所有的公司。企業(yè)安全建設主要有以下兩個重點：一是，要很清楚的明白公司的業(yè)務是在做什么的，安全關注的業(yè)務是在哪幾個方面。二是，技術體系建設。技術體系主要是有幾個方面：PDR、DID、SAS以及流程保證，還有包括組織體系、管理體系，意思就是人、技術、流程。就是通過這幾個方面，如果你能做的比較好，能夠把這幾個方面貫徹的比較好，你的企業(yè)安全應該會做的不錯。

上圖這個整體技術架構，相信大部分互聯(lián)網(wǎng)公司，稍微上一定規(guī)模的公司，可能都會有類似的架構。吳老師介紹到：“首先看底層，就是公司的基礎服務平臺，現(xiàn)在對于基礎服務平臺大家也都在做源，包括像SDN之類。第二層，是包括Paas服務平臺。Paas服務平臺主要是給應用提供一個運行時的環(huán)境，大家可以業(yè)務線或者應用產(chǎn)品更多的聚焦于產(chǎn)品的開發(fā)、業(yè)務的實現(xiàn)，不再關心這種運維的實現(xiàn)了。所以我們一直還在做這種Paas服務。雖然現(xiàn)在做公有云的Paas服務不多了，可能有幾家現(xiàn)在自己也不做了，就是因為覺得面向客戶或者面向乙方提供產(chǎn)品或者服務的時候，很難有收益或者很難達到很好的效果。但是在內(nèi)部系統(tǒng)，我們一直還在做就是因為通過這幾年的實踐，覺得這個平臺是有價值的。對于我們來講，無論是從節(jié)約資源和降低運維成本以及規(guī)范我們的應用發(fā)布及管理方面，是有很大的好處的。當然我們在做Paas的時候，已經(jīng)把各個其他的，像數(shù)據(jù)的服務、緩存的服務，還有存儲的服務，還有類似的一些其他的服務，能夠兼容進來，這樣實際上我們能夠做到很好的兼容性和降低我們的開發(fā)成本。因為我們不是所有的產(chǎn)品都能做，所以實際上我們會兼容一些其他的產(chǎn)品進來。最上層就是支撐了一些我們公司現(xiàn)在主要的一些應用，包括像新聞、媒體的業(yè)務，包括像視頻的業(yè)務，包括像支付，還有我們的APP的服務。最前端，在所有應用的如后，也就是訪問的入口，就是我們?nèi)W(wǎng)加速的服務?，F(xiàn)在搜狐的全網(wǎng)大概有幾十個節(jié)點，覆蓋了全國所有的省市。”

此外，他表示在這個整體架構之中，實際上搜狐無一例外的，都貫穿了信息安全的概念。他們一直在強調(diào)的就是希望能夠把信息安全能力，或者說這種功能打入到現(xiàn)有的產(chǎn)品當中，不會產(chǎn)生其他系統(tǒng)與安全脫節(jié)的情況，將安全實現(xiàn)的功能做在產(chǎn)品當中。

安全對于小公司來說有些奢侈，不像大公司已盈利。所以小公司們該如何考慮做安全呢?其實，無論是大公司還是小公司，做安全都要考慮哪些業(yè)務對公司來說是至關重要的，那這些業(yè)務就是安全防護的重點，需要優(yōu)先給予安全保障。因此，這時公司就需要做一個業(yè)務分析。對此，吳老師建議對公司業(yè)務做如上圖所示的整體業(yè)務分析，或者稱為業(yè)務定級，定級的過程就是依據(jù)我們業(yè)務的安全的幾個屬性，加業(yè)務的依賴性。

介紹完整體架構之后，吳老師又對技術體系里幾個重要環(huán)節(jié)進行了分析。

◆PDR和DID

關于PDR和DID的概念，PDR做安全的，對這個模型都有一定的理解，其實它是基于時間軸的模型，就是強調(diào)你的防御的時間和監(jiān)測的時間，能夠通過防御和監(jiān)測的時間，去降低攻擊的結果。就是在那個時間段，及時發(fā)現(xiàn)攻擊，并且把它攔住。換個角度來講，可能我會把這個架構，把這個模型重新劃分一下，就是我把技術架構劃成幾點：第一個就是防御類的技術產(chǎn)品，監(jiān)測類的技術產(chǎn)品，還有響應的技術產(chǎn)品。除了PDR，還有一個DID，就是縱深防御的模型?？v深防御的模型強調(diào)的是我從網(wǎng)絡層到主機層、到應用層，到數(shù)據(jù)層，各個階段都有一定的監(jiān)控、保護，或者響應的技術方案或者技術體系，所以我用了一個類似于餅圖的方式去實現(xiàn)這種架構。我們會把做一些無論是安全技術的項目、安全產(chǎn)品類似的技術手段，能夠分分類，都可以劃到這個里面去。包括比如說像掃描的，或者是監(jiān)控的，實際上我們在各個層次上，比如說我們在外網(wǎng)，網(wǎng)絡層有監(jiān)控，這種監(jiān)控也會涉及到應用的監(jiān)控、流量的監(jiān)控。掃描會涉及到主機的掃描、數(shù)據(jù)庫的掃描、應用的掃描，都可以把這些技術手段劃做我們的PDR里面的一類，但是在各個層面上都要覆蓋到。

◆DDOS解決方案

吳老師表示首先他們會對DDoS進行分級，就是十級以下公司自己處理，十級以上協(xié)調(diào)運營商，或者請求其他外部資源的支持，因為公司的資源始終是有限的。在DDOS解決方案中，主要包括主動牽引和被動牽引兩種方案。主動牽引就是在模擬現(xiàn)在市面上比較成熟的產(chǎn)品解決方案，通過bgp，netfilter模塊和nginx實現(xiàn)，無論做流量的反向代理，或者做流量的清洗，都可以通過這些方式去做。而被動牽引首先在被攻擊服務器實施網(wǎng)絡層牽引，然后在防護設備實施清洗，最后再代理到被攻擊服務器。

◆監(jiān)控

這個監(jiān)控實際上是在我們所有大的節(jié)點的DIC入口的一個監(jiān)控。這個監(jiān)控主要是監(jiān)控幾個方面，第一個就是關于應用層的攻擊，關于web的攻擊，第二個關于流量的攻擊，就是DDOS或者是流量異常的攻擊。監(jiān)控通過分光器的方式來實現(xiàn)，把流量通過分光器，通過交換機下面接一些服務器，這樣實現(xiàn)了流量的負載。

◆掃描

掃描的進化是一個很有意思的過程。首先是系統(tǒng)層面的，主要針對系統(tǒng)的安全漏洞。然后，進入web2.0時代后，針對應用層面的掃描較多。還有一個，就是關于這種被動式的掃描，被動的掃描主要是給產(chǎn)品測試人員，通過提供一個代理的方式，它把瀏覽器的代理，或者一些開發(fā)軟件的代理，設置到我們的掃描接口來，掃描AI上或者接口上，我們能夠抓到所有的鏈接之后，并且能夠獲得他的，如果你登陸了就有一些授權信息，那這些授權信息去做這種被動掃描。

◆SAS 安全即服務

什么叫安全即服務呢?將安全能力安全產(chǎn)品輸出出去，服務給公司。比如把掃描的API接口開放給業(yè)務線。那業(yè)務線實際上在開發(fā)產(chǎn)品過程中，就直接可以使用這個API了。如果你在做監(jiān)控，你監(jiān)控已經(jīng)累積了大量的原始數(shù)據(jù)，包括攻擊的數(shù)據(jù)，惡意用戶、惡意IP，這些都可以輸出出去。既然你在做安全，你有這個優(yōu)勢，你為什么不能把這個東西當做一個服務提供出去呢?

◆SAS 服務即安全

為什么說服務即安全呢?吳老師表示，就是希望把產(chǎn)品做的更安全一些，就是把一些安全能力加入到我們現(xiàn)有的技術架構當中。比如說現(xiàn)在其實像安全CDN這個東西，也不是一個非常新鮮的概念了，前兩年已經(jīng)非常成熟了，我要把第一層的防御放在我的入口處，要放在CDN處。為什么要做在這兒呢?因為在web前端的，CDN或者應用層的監(jiān)控或者保護，可能沒有及時的發(fā)現(xiàn)這個攻擊。但是你會在越接近數(shù)據(jù)的地方，越容易發(fā)現(xiàn)攻擊，因為它沒有什么特別多的語法或者詞法的解析了，也不存在規(guī)則的問題。更多的就在于數(shù)據(jù)層，是不是注入，在這個地方，它會起碼很全面，當然你的規(guī)則就取決于你的規(guī)則實現(xiàn)了。如果你的規(guī)則，誤報太多了，就需要做優(yōu)化了，但是不會有漏報，所以你只會有誤報，不會有漏報。

至此，前面介紹的基本上就是大整體的一個技術架構，主要是PDR和DID，實現(xiàn)的就是在多層次去做這種保護、監(jiān)控和響應。

安全開發(fā)流程SSDL

這個安全開發(fā)流程，估計絕大多數(shù)公司會有。但是怎么去貫徹，怎么去實行，吳老師認為這其實是一個很難的事。安全開發(fā)流程主要有以下幾個部分：

組織體系

組織體系中的主體就是人。公司中每個與安全有關的聯(lián)系人，包括部門領導都應參與到企業(yè)安全防護的過程中。普通的公司職員也應增強安全意識。安全領導組要做決策，控制安全防護的成本等。在策略的執(zhí)行過程中，需要有流程保障，需要技術保證。另外，可通過安全月報的形式，讓部門領導和安全聯(lián)系人清楚，過去一個月中，公司的整體安全現(xiàn)狀，哪個部門的安全事件較多，發(fā)生了哪些安全事件，攻擊趨勢發(fā)生了怎樣的變化。

新技術驅動下的挑戰(zhàn)和機會

云計算和大數(shù)據(jù)時代的到來，給安全防護工作帶來了新的挑戰(zhàn)和機會。吳老師總結如下：

演講視頻：http://edu.51cto.com/lesson/id-100718.html