最近都在談?wù)摪踩w系架構(gòu)，我也有一些觀點(diǎn)想與諸位分享，主題圍繞著如何搭建企業(yè)級(jí)安全體系架構(gòu)來進(jìn)行，本期重點(diǎn)是搭建安全體系架構(gòu)的先決條件，全主題不以投入資金來定安全體系，安全體系架構(gòu)不是安全設(shè)備的堆積，這一點(diǎn)是重點(diǎn)想要分享的。

一套好的安全架構(gòu)離不開以下幾點(diǎn)支撐：

• 企業(yè)的重視
• 業(yè)務(wù)的特性分析
• 成本
• 架構(gòu)的高可用性+保密性+完整性分析
• 專業(yè)的團(tuán)隊(duì)

邏輯圖

其中談到的企業(yè)重視是最重要的一點(diǎn)，它決定著架構(gòu)的策略側(cè)重點(diǎn)、投入的成本、團(tuán)隊(duì)的組建等等，如果企業(yè)高層不重視安全架構(gòu)的設(shè)計(jì)，那么從戰(zhàn)略角度來講安全的投入也不會(huì)很大，同樣安全團(tuán)隊(duì)的專業(yè)程度也不會(huì)很高，這是戰(zhàn)略意義決定的。

一般設(shè)計(jì)架構(gòu)都是按照業(yè)務(wù)需求和特性來設(shè)計(jì)的，這里舉個(gè)例子，我需要一套HTTP對(duì)接的業(yè)務(wù)，那么相應(yīng)安全需求就是購(gòu)買HTTPS證書、WAF、抗DDOS等等，以及開發(fā)方向會(huì)選用什么開發(fā)架構(gòu)，使用什么語言進(jìn)行應(yīng)用開發(fā)，要關(guān)注相關(guān)框架以及語言漏洞。如果我的業(yè)務(wù)僅需要FTP對(duì)接，那么上述WAF、HTTPS證書等就不需要涉及了，根據(jù)業(yè)務(wù)特性和需求來設(shè)計(jì)企業(yè)的安全架構(gòu)也是一大重點(diǎn)。

[[269270]]

之后是投入的成本，上圖中我說投入成本與安全程度從某種意義上來講是成正比的，但不是說沒有投入成本的架構(gòu)就一定是不安全的，這句話不太好理解，在這里重點(diǎn)解釋一下，安全產(chǎn)品所帶來的安全力度的確很大，這里就以WAF來舉例，它可以代替我們阻斷很多攻擊，比如SQL注入，比如struts2、比如java反序列等等，它可以最大程度的保證HTTP層面的安全性，但是最強(qiáng)大的往往是自身，須知如果企業(yè)的開發(fā)架構(gòu)完善，WAF便只是錦上添花的產(chǎn)品，很多開發(fā)架構(gòu)都帶有過濾、轉(zhuǎn)義，這也是為什么基礎(chǔ)攻擊手段越來越不好使的原因之一。一套好的安全體系架構(gòu)一定不是用錢堆出來的，這個(gè)概念大家要了解。

關(guān)于高可用性，這里一般分為網(wǎng)絡(luò)的高可用和數(shù)據(jù)的高可用以及應(yīng)用的高可用，網(wǎng)絡(luò)高可用顧名思義，當(dāng)一個(gè)網(wǎng)絡(luò)接口down了，切換到另一個(gè)接口不影響正常訪問，數(shù)據(jù)高可用應(yīng)用高可用也是同理，高可用的設(shè)計(jì)是在一個(gè)架構(gòu)設(shè)計(jì)的最初就必須要考慮的，這里包括系統(tǒng)架構(gòu)、安全架構(gòu)和開發(fā)架構(gòu)，都需要考慮這個(gè)問題。

隨著國(guó)家對(duì)于數(shù)據(jù)保密性要求越來越高，以及業(yè)務(wù)數(shù)據(jù)的私密性特點(diǎn)，保證數(shù)據(jù)的保密性需求也是越來越大，此處保密性架構(gòu)設(shè)計(jì)也需要更全面的加密，包括軟件加密、硬件加密、邏輯加密等等，國(guó)密算法的推行隨著時(shí)間的發(fā)展也會(huì)越來越完善，在這里建議架構(gòu)設(shè)計(jì)的時(shí)候推行國(guó)密算法兼容 RSA雙重算法，保證國(guó)產(chǎn)化的同時(shí)保證業(yè)務(wù)的兼容性。

數(shù)據(jù)完整性一般體現(xiàn)在包校驗(yàn)上，防篡改的設(shè)計(jì)也是需要架構(gòu)師著重費(fèi)心的地方之一。

以上要有一支專業(yè)團(tuán)隊(duì)，包括密碼學(xué)、應(yīng)用安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等多個(gè)方面的人才組建的安全團(tuán)隊(duì)，需要彼此之間配合搭建一套完整的安全體系架構(gòu)，管理制度也不能少，如此一套完善的安全體系架構(gòu)就算是有了基礎(chǔ)的建設(shè)能力，后篇會(huì)講述具體架構(gòu)設(shè)計(jì)以及落地。

[[269272]]

首先從管理層面的角度來講，要有健全的管理體制，一般由安全工程師負(fù)責(zé)日常安全巡檢以及加固，包括日志巡檢、物理巡檢等等，由應(yīng)急響應(yīng)工程師來負(fù)責(zé)突發(fā)事件的安全補(bǔ)救，由安全研究員來負(fù)責(zé)安全資訊傳遞以及安全漏洞復(fù)現(xiàn)，由安全滲透工程師來負(fù)責(zé)對(duì)全網(wǎng)范圍的公司財(cái)產(chǎn)進(jìn)行滲透測(cè)試保證財(cái)產(chǎn)安全。由安全開發(fā)工程師來開發(fā)安全產(chǎn)品供同僚們使用。當(dāng)然以上也可以由一人身兼眾職。并且需要高層建立監(jiān)督小組以及出臺(tái)監(jiān)管機(jī)制，監(jiān)督各個(gè)崗位的安全負(fù)責(zé)人來完成日常工作，這保證了安全職責(zé)確實(shí)向下執(zhí)行，建立工作獎(jiǎng)懲機(jī)制，來保證各個(gè)崗位負(fù)責(zé)人的工作積極性。

其中每個(gè)崗位又會(huì)細(xì)分為以下工作：

安全開發(fā)工程師開發(fā)安全產(chǎn)品，大致有：IPS/IDS、HIDS/HIPS、WAF、漏掃、代碼審計(jì)、堡壘機(jī)、VPN、加解密系統(tǒng)、日志審計(jì)、數(shù)據(jù)庫審計(jì)、防病毒、報(bào)警體系、監(jiān)控體系等產(chǎn)品。

安全研究員主要熟知公司開發(fā)所用的架構(gòu)，每個(gè)業(yè)務(wù)所用的框架和語言、包括接口、對(duì)接協(xié)議等都需要了解、關(guān)注相關(guān)漏洞，尤其是開源架構(gòu)的使用，首先要確保架構(gòu)本身的穩(wěn)定性、安全性、保密性，綜合評(píng)估可用性后再進(jìn)行部署與使用。

安全工程師需要隨時(shí)進(jìn)行日志分析，最好能與開發(fā)進(jìn)行溝通，實(shí)現(xiàn)自動(dòng)日志分析的功能，這樣會(huì)過濾大量日志，人工日志分析量會(huì)降低很多，提高效率。

安全滲透工程師需要熟知網(wǎng)絡(luò)架構(gòu)、應(yīng)用架構(gòu)、業(yè)務(wù)架構(gòu)，做出相應(yīng)重點(diǎn)的滲透測(cè)試，側(cè)重點(diǎn)在于不影響業(yè)務(wù)，最好不產(chǎn)生垃圾數(shù)據(jù)。

應(yīng)急響應(yīng)工程師要隨時(shí)隨地觀察系統(tǒng)是否出現(xiàn)異常情況，最好能與開發(fā)進(jìn)行溝通，實(shí)現(xiàn)自動(dòng)化監(jiān)控報(bào)警，以降低工作量提升工作效率，并且提升準(zhǔn)確率。

其實(shí)安全團(tuán)隊(duì)每一個(gè)人都應(yīng)該是安全開發(fā)，不論是大到成熟的體系化產(chǎn)品開發(fā)還是小到一個(gè)安全腳本的開發(fā)，安全團(tuán)隊(duì)的每個(gè)人都能勝任，有這樣的團(tuán)隊(duì)基本上安全無憂。