踏實(shí)實(shí)驗(yàn)室推出萬字長篇文章，踏實(shí)君結(jié)合十年團(tuán)隊(duì)經(jīng)驗(yàn)和二十年從業(yè)經(jīng)驗(yàn)深度整理和剖析了網(wǎng)絡(luò)安全防御體系如何有效建立，推薦閱讀預(yù)計(jì)20分鐘。

[[270461]]

這個(gè)夏天就想睡個(gè)好覺

己亥年庚午月，睡個(gè)好覺是安全這個(gè)行業(yè)大部分人的奢望，除了國際形勢、明星分手、網(wǎng)絡(luò)安全也是熱門的話題之一了。

世界走向數(shù)字化，現(xiàn)在的世界空間已經(jīng)完全可以按照物理(Physical)和非物理的(cyber)來劃分了，6月20日美國對伊朗部分目標(biāo)明確發(fā)動網(wǎng)絡(luò)戰(zhàn)，這是第一次公開作為攻擊主力投入戰(zhàn)場，網(wǎng)絡(luò)攻擊成為重要軍事工具直接服務(wù)于美國的對外政策。也讓波斯灣成為首次數(shù)字世界沖突的舞臺，網(wǎng)絡(luò)超限實(shí)戰(zhàn)正在成為整體政治戰(zhàn)略的重要組成部分，值得紀(jì)念MARK 一下。

圖1：數(shù)字時(shí)代是由物理的和非物理組成的

1999年-2019年干了20年網(wǎng)絡(luò)安全防御體系，形形色色的見多了，直到今年6月才感覺有點(diǎn)兒網(wǎng)絡(luò)安全大眾化的意思了。具體表現(xiàn)在人們覺得這是個(gè)事兒了，原來不問的開始問了，不干的開始干了，虛干的實(shí)干了，嗯，理解萬歲，意識的轉(zhuǎn)變確實(shí)需要很長一段時(shí)間，就像每個(gè)國家政策出臺落地都需要3-5年。

中興華為事件、委內(nèi)瑞拉大面積停電、美國對伊朗的網(wǎng)絡(luò)戰(zhàn)已經(jīng)不斷觸動了人們神經(jīng)，又經(jīng)歷了有實(shí)戰(zhàn)有價(jià)值的攻防演練。例如HW，確實(shí)促進(jìn)了很多行業(yè)組織各層面安全意識的提升,促進(jìn)了實(shí)實(shí)在在安全防御策略的落地,多個(gè)視角(攻擊者紅方和防御者藍(lán)方)看問題總是好的。只有經(jīng)歷了疼才知道痛是啥滋味，尤其是HW排名靠后的……以攻促防推動做好安全防御是個(gè)極好的方法，數(shù)字時(shí)代真安全價(jià)值才大，這次同樣也是打假的過程，安全圈不大，這幾年快成了娛樂圈了，300億的市場再這么折騰下去變200億了。

進(jìn)入5月開始，安服事務(wù)應(yīng)急的事兒多了，主要是因?yàn)镠W，6月白天晚上的電話多了，好像急救中心電話一樣，中招的多了就不會消停，每個(gè)電話都是急茬，我和團(tuán)隊(duì)就像大夫，總是先建議電話那頭冷靜冷靜請他敘述癥狀。然后就是聽到各種各樣的“病情”，VPN被滲透，郵箱被暴力破解，內(nèi)網(wǎng)被拿下，更有嚴(yán)重者業(yè)務(wù)數(shù)據(jù)被勒索軟件鎖定(這一定是混水摸魚的)，聽完后大體診斷，開藥方安排人抓藥……總體感覺，好多問題其實(shí)完全可以提前做好工作，不用這麼著急的手足無措的睡不好覺。這些年一直想寫些東西(安全情懷安全落地)，也沒時(shí)間，現(xiàn)在突然感覺大家意識可能真的到了。這個(gè)文章根據(jù)多年網(wǎng)絡(luò)安全防御服務(wù)經(jīng)驗(yàn)和經(jīng)歷，寫個(gè)如何建立能睡個(gè)安穩(wěn)覺的網(wǎng)絡(luò)安全防御體系思路吧，供大家參考。

意識意識意識，意識第一位，意識第一位，其他第二位，有問題的，有大問題，有嚴(yán)重問題的基本都是意識出問題了，不是技術(shù)出了問題。某國家單位首次被攻破被通報(bào)要求盡快整改，由于意識問題領(lǐng)導(dǎo)沒重視資源沒到位。第二天馬上又被攻破領(lǐng)導(dǎo)急了開始重視了，每天開始抓工作清點(diǎn)防護(hù)體系，工具，組織，策略，發(fā)現(xiàn)了大量的沒有的安全防護(hù)工具沒有啟用，策略沒落地，問中層領(lǐng)導(dǎo)，中層才意識到好多文件下達(dá)的都是空的，眼前的寶貝沒使用也沒落實(shí)。第三天再次被攻破，問題又在基層技術(shù)管理人員重視邊界，忽視內(nèi)網(wǎng)域策略和管理員密碼。甲方邀請我們一起做了復(fù)盤，總結(jié)的第一點(diǎn)就是這個(gè)，意識，意識，意識，不痛不長心啊。

不僅僅是這個(gè)案例，他只是一個(gè)代表，我和團(tuán)隊(duì)經(jīng)歷的這樣案例太多了，今年轉(zhuǎn)變的特別的多，很欣慰大家都正常的接受了。這兩年我們的匯報(bào)對象已經(jīng)從原來的處長主任們逐步匯報(bào)到部長層面了也確實(shí)體現(xiàn)了這一點(diǎn)。

三人是個(gè)概念的代表，第一人是領(lǐng)導(dǎo)(組織中網(wǎng)絡(luò)安全第一責(zé)任人)，第二人是CSO首席安全管理者(總體安全策略計(jì)劃制定者)，第三人是一線的網(wǎng)絡(luò)安全防御團(tuán)隊(duì)(PDCA執(zhí)行安全策略落地和運(yùn)行)。

三者缺一就會有坑，缺的多坑多，被攻擊后就一定會死，只是死的快慢的問題。不重視肯定不行，重視且有文件沒執(zhí)行不行，有執(zhí)行方向不對也不行。安全就是不斷的填坑，完善這個(gè)其實(shí)就是很難的過程。

國內(nèi)具備網(wǎng)絡(luò)安全防御體系經(jīng)驗(yàn)和實(shí)戰(zhàn)的人才本來就很稀缺，所以坑多也是自然的，網(wǎng)絡(luò)安全防御體系龐大而復(fù)雜，能洞悉全貌者也很少，格局，眼界，層次。單槍匹馬獨(dú)擋一面的大俠也不少，但更多需要的是三人綜合體系，這些年見到的有些決策者的格局真不行，水平一般還限制下面人員的發(fā)展，例如(某某組織的某某領(lǐng)導(dǎo)，呵呵)，有些領(lǐng)導(dǎo)者看問題水平真高，就是中層執(zhí)行力就一直太差。例如(某行業(yè)單位的網(wǎng)絡(luò)安全負(fù)責(zé)人，估計(jì)HW結(jié)束就被拿下了)…一線干活的安服人員其實(shí)很多還是挺好的樸實(shí)踏實(shí)，但也怕好經(jīng)壞和尚，政府機(jī)關(guān)有時(shí)候就這體制沒辦法人也換不了，形形色色確實(shí)很難見到很好有效三人體系。

1999年剛考完MCSE被推薦到一家提供互聯(lián)網(wǎng)服務(wù)的公司，服務(wù)的客戶就是現(xiàn)在阿里巴巴的客戶。在中美兩地進(jìn)行網(wǎng)上商業(yè)貿(mào)易和宣傳的(幾百K的帶寬哪個(gè)慢啊)，我們小組的工作就是幾百臺服務(wù)器群的大網(wǎng)管，確保服務(wù)器(NT和FreeBSD)運(yùn)行穩(wěn)定防止被黑。剛?cè)胨綜TO吳先生就給我們小組一本厚厚的手冊，從服務(wù)器OS，WEB, FTP，遠(yuǎn)程管理軟件等的標(biāo)準(zhǔn)安裝，每一步每一層的安全策略設(shè)置，每一個(gè)系統(tǒng)軟件服務(wù)的關(guān)停判斷，每一個(gè)多余端口的關(guān)閉，每一個(gè)賬戶的謹(jǐn)慎開啟，每一個(gè)系統(tǒng)和應(yīng)用的補(bǔ)丁，每一個(gè)Admin/ ROOT的更名，權(quán)限，強(qiáng)密碼，一臺服務(wù)器基本安全設(shè)置完成，基本是一天……回憶當(dāng)年做純粹技術(shù)的美好日子，一轉(zhuǎn)眼原來小組成員只有我還在干安全，直到現(xiàn)在仍然感謝吳先生和安全小組帶給我最原始最體系化的防御手段和原理，就是安全策略落地。在當(dāng)年的安全攻防戰(zhàn)中我們防御的確實(shí)不錯，估計(jì)現(xiàn)在已經(jīng)沒有人記得2000年還有一波互聯(lián)網(wǎng)的高潮，懷念和E國一小時(shí)、人人、當(dāng)當(dāng)、易趣等戰(zhàn)斗的故事，當(dāng)年我的QQ號應(yīng)該還是5位數(shù)。

20年來，持續(xù)走在網(wǎng)絡(luò)安全防御的路上，體會到不同的領(lǐng)域和境界，技術(shù)無敵到技術(shù)都不在是問題的時(shí)候，看到的往往是其他問題。數(shù)字時(shí)代需要考慮的內(nèi)容是綜合的，頂層設(shè)計(jì)和系統(tǒng)的梳理和體系化落地等包羅萬象。網(wǎng)絡(luò)安全防御體系方法論隨著時(shí)代的發(fā)展我們已經(jīng)更新了第四版(2019版)，網(wǎng)絡(luò)安全防御體系建立的核心目標(biāo)就是風(fēng)險(xiǎn)可控，大家參考用吧。

圖2：網(wǎng)絡(luò)安全防御體系方法論V2019版

官話不說了，核心就是當(dāng)領(lǐng)導(dǎo)的要知道本組織的信息系統(tǒng)(資產(chǎn))的重要性，服務(wù)的場景對象是啥，組織要明確需要保護(hù)的對象(安全方針就是掂量掂量重要不重要)。投入持續(xù)人、財(cái)、物、服務(wù)和必要的合規(guī)工具和安全管理及運(yùn)營工具(安全策略就是組織建立不建立、啥線路、掂量掂量投多少銀子)，這層做好了方向不會出大問題，基本可以打30分了。原理能這樣想網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)不多，經(jīng)過HW的檢驗(yàn)，估計(jì)未來慢慢會多起來了。

按照管理層明確的保護(hù)對象方向等級，給予人、財(cái)物、資源制定具體的工作計(jì)劃，沒有規(guī)矩不成方圓，制度要有，要建立可靠的安全組織(自己人十安全服務(wù)資源池)。制定安全執(zhí)行策略，具體制度落地策略，建設(shè)，運(yùn)行，持續(xù)稽核，這層做好了，至少40分了(提醒：好多地方都是空制度，現(xiàn)在的經(jīng)驗(yàn)制度十平臺結(jié)合是可落地的)。一個(gè)明白道理的高情商的安全處處長基本上可以走上正確的方向了，知道如何承上啟下，和領(lǐng)導(dǎo)說明白和一線的團(tuán)隊(duì)做好策略的去落地，隨著發(fā)展信息安全首席安全官未來應(yīng)該是個(gè)炙手可熱的職位。

有了上兩層的基礎(chǔ)，接下來開展工作就好辦多了，如果沒有上面兩層的支持這個(gè)階段基本是不可行的，網(wǎng)絡(luò)安全保障體系建設(shè)一定是圍繞業(yè)務(wù)和數(shù)據(jù)的，俗稱“業(yè)務(wù)+數(shù)據(jù)定義安全戰(zhàn)略”確定好保護(hù)對象和級別，需要協(xié)同，需要按照三同步原則(同步規(guī)劃設(shè)計(jì)、同步建設(shè)、同步運(yùn)行)，選擇好規(guī)劃服務(wù)商、建設(shè)服務(wù)商，踏實(shí)規(guī)劃，體系逐步實(shí)現(xiàn)。說的簡單，其實(shí)這些個(gè)環(huán)節(jié)一個(gè)出問題，就是坑坑相連，能按照這些環(huán)節(jié)都下來順利的不多。

這些年看到最大的坑有兩個(gè)，一個(gè)是不了解業(yè)務(wù)和數(shù)據(jù)掄起來就瞎設(shè)計(jì)(可恨，比如國家級的某一體化平臺)，一個(gè)是生搬硬套的安全合規(guī)標(biāo)準(zhǔn)(可憐，比如某啥啥潮的)，多維的業(yè)務(wù)需要多維的防護(hù)，設(shè)計(jì)不好就會導(dǎo)致降維防護(hù)，做不好就是個(gè)豆腐渣工程。 HW打癱的目標(biāo)對象基本上一種是不合規(guī)的，另一種是假合規(guī)或者階段合規(guī)持續(xù)不合規(guī)。

圖3：意識不統(tǒng)一導(dǎo)致的防御體系的降維防護(hù)

除了上面的坑，要考慮安全已經(jīng)是體系化大安全的概念了，尤其是現(xiàn)在以及未來的系統(tǒng)建設(shè)已經(jīng)是按照“大系統(tǒng)、大平臺、大數(shù)據(jù)”建設(shè)的了，涉及到方方面面。所以不管是自建安全體系還是采用安全服務(wù)商承建，網(wǎng)絡(luò)安全防御體系需要思考的邊界已經(jīng)擴(kuò)大到供應(yīng)鏈安全了(包含這些內(nèi)容也不僅僅這些內(nèi)容，軟件開發(fā)的源代碼檢測、 提供鏈路服務(wù)、托管服務(wù)、DNS服務(wù)、CDN服務(wù)、安全運(yùn)維服務(wù)、IT運(yùn)維服務(wù)、以及合規(guī)要求的管理、技術(shù)、運(yùn)維、測評的各項(xiàng)要求)。盡量可控可信，扎實(shí)先把合規(guī)扎實(shí)了(少看PPT，多看實(shí)際效果和系統(tǒng)，從剛需出發(fā)到合規(guī)，不要僅僅從合規(guī)出發(fā)，花架子沒用，基礎(chǔ)安全還是挺重要的，不要被新技術(shù)忽悠了)。這些做好了可以是50分了，還沒有開始建設(shè)就要考慮這么多，磨刀不誤砍柴工，謀定而后動才是正道。

啰嗦了這么多才開始準(zhǔn)備如何建設(shè)了，網(wǎng)絡(luò)安全防御體系的建設(shè)是個(gè)大工程，不同的人理解不同。匯總起來就是一個(gè)風(fēng)險(xiǎn)控制目標(biāo)、兩個(gè)視角(國內(nèi)合規(guī)、國外自適應(yīng))、三個(gè)領(lǐng)域策略融合(管理、技術(shù)、運(yùn)維)、 四個(gè)體系獨(dú)立而融合(防御體系、檢測體系、響應(yīng)體系、預(yù)測體系)的建立可視、可管、可控、可調(diào)度、可持續(xù)的彈性擴(kuò)展的一個(gè)很NB的安全管理及運(yùn)營中心 (簡稱“12341)。

一個(gè)風(fēng)險(xiǎn)控制目標(biāo)：評估保護(hù)對象當(dāng)下的防御成熟度，制定防御成熟度目標(biāo)，持續(xù)動態(tài)評估完善程度和風(fēng)險(xiǎn)程度。

圖4：網(wǎng)絡(luò)安全防御成熟度階段與目標(biāo)

兩個(gè)視角之一：國外的自適應(yīng)安全體系包含四個(gè)子體系建設(shè)。防御體系、檢測體系、響應(yīng)體系、預(yù)測體系，四個(gè)子體系分下來又是很多。例如網(wǎng)絡(luò)層檢測，傳統(tǒng)都在用IDS IPS ，其實(shí)對于新型攻擊都已經(jīng)失效，2014年以后我們的檢測方案已經(jīng)采用全流量層檢測分析了，網(wǎng)絡(luò)層的IDSIPS其實(shí)已經(jīng)過了價(jià)值周期.又如主機(jī)層檢測，高級馬都已經(jīng)免殺了，傳統(tǒng)的安全檢測只能防住小賊了，呵呵不說了說多了得罪人?？偨Y(jié)一下檢測體系的建設(shè)一定要由淺到深，由點(diǎn)到面，由特征到全面。國外的安全行業(yè)特別側(cè)重檢測體系和響應(yīng)體系的建設(shè)，近三屆的國際信息安全RSA大會主流也是這個(gè)為重點(diǎn)，縱深防御體系的理念也影響了國內(nèi)安全若干年，其實(shí)態(tài)勢感知預(yù)測體系國外也沒有落地，還在概念階段。Norse用假數(shù)據(jù)欺騙了大家，到2017年倒閉了，國內(nèi)的安全忽悠們還在用“地圖炮”忽悠行業(yè)外，態(tài)勢感知是個(gè)大命題，PPT和大屏版的假數(shù)據(jù)基本把這個(gè)領(lǐng)域帶入一個(gè)坑，一個(gè)安全大會滿天飛(假數(shù)據(jù))已經(jīng)引起這個(gè)行業(yè)大多數(shù)人的反感。

兩個(gè)視角之二：國內(nèi)的等級保護(hù)1.0– 2.0的合規(guī)體系，一個(gè)中心， 三重防護(hù)的落地。等級保護(hù)1.0從04年–14年10年歷程不容易，確實(shí)要感謝為中國信息安全和等級保護(hù)做出貢獻(xiàn)的這代人，從安全一個(gè)點(diǎn)做到完整的基本防御體系，為中國信息化和信息安全的發(fā)展奠定了一個(gè)基礎(chǔ)。讓大家有了一定的安全防御體系的概念，我們很有幸?guī)ш?duì)做了無數(shù)的等級保護(hù)和FJ保護(hù)的項(xiàng)目。這個(gè)領(lǐng)域我們要說第二，估計(jì)第一確實(shí)要空缺，經(jīng)驗(yàn)給了我們方法論又應(yīng)用在實(shí)踐，實(shí)話說等級保護(hù)1.0做好了就已經(jīng)很好了，關(guān)鍵是應(yīng)付的多落地的少。2014年，云開始規(guī)模落地了，數(shù)據(jù)匯聚了，應(yīng)用一體化了，物聯(lián)網(wǎng)、移動互聯(lián)……，1.0確實(shí)不再適用了，14-19年5年的歷程，2.0的出臺也不容易，仔細(xì)看看和研讀，按照標(biāo)準(zhǔn)做好了，落地了就踏實(shí)了。合規(guī)還是基礎(chǔ)，三重防護(hù)(計(jì)算、區(qū)域邊界、通信網(wǎng)絡(luò))是重點(diǎn)的基礎(chǔ)性防護(hù)建設(shè);然后重點(diǎn)分層保護(hù)，資源再多也是有限的，大門和每個(gè)門是最關(guān)鍵的，核心保護(hù)對象和邊緣保護(hù)對象的防御，檢測，響應(yīng)，預(yù)測體系逐步完成，安全策略一點(diǎn)點(diǎn)上。最小原則開始逐步放寬，到平衡后劃個(gè)基線，就不要隨便動了，關(guān)于安全管理中心的坑，這是也個(gè)大命題，后面講吧一些老前輩的思路已經(jīng)不適合未來了。

其實(shí)這兩個(gè)視角都還不錯，哪個(gè)做扎實(shí)了，都可以打70分了。面對甲方層次不同的要求和理解，根據(jù)實(shí)戰(zhàn)經(jīng)驗(yàn)我們把國內(nèi)外理念疊加匯總形成網(wǎng)絡(luò)安全防御體系建設(shè)落地的框架供大家參考。

圖5：網(wǎng)絡(luò)安全防御體系建設(shè)落地的框架

這個(gè)階段原來的理念是七分建設(shè)，三分管理和運(yùn)行，現(xiàn)在的實(shí)踐表明更合理的是三分建設(shè)七分管理和運(yùn)行， 網(wǎng)絡(luò)安全防御體系最后一關(guān)就是體系合成和運(yùn)轉(zhuǎn)。合規(guī)是基礎(chǔ)，策略很關(guān)鍵，落地良運(yùn)行，保障成體系。我們服務(wù)過國內(nèi)和國外兩種客戶，最大的不同就是國外企業(yè)ITIL+安全管理貫穿可以落地，國內(nèi)很難，分析了很久可能是文化或者體制的問題，很多的部門設(shè)置，運(yùn)維處和安全處是分開的無法協(xié)同，其實(shí)ITIL原理和國內(nèi)的ITSS都還不錯，那個(gè)落地了都可以確保運(yùn)維運(yùn)行階段的安全策略落地。安全策略這個(gè)詞從安全戰(zhàn)略制定一直貫穿到運(yùn)維，這個(gè)是一條線的，叫法不同但核心意思就是將戰(zhàn)略、制度、流程、人員、工具、安全管理和運(yùn)營平臺一體化運(yùn)轉(zhuǎn)起來。這樣的方式做好了運(yùn)維運(yùn)行階段就成功一大半了。其次，安全管理和運(yùn)行的大平臺的建立是關(guān)鍵，其實(shí)安全和運(yùn)維是分不開了，現(xiàn)在運(yùn)維工具是運(yùn)維、安全管理是安全，孤立的系統(tǒng)永遠(yuǎn)不成體系，人員或者崗位一變動就出問題。HW當(dāng)中防御體系暴露出來的主要問題其實(shí)就在這個(gè)關(guān)鍵環(huán)節(jié)，完成這個(gè)環(huán)節(jié)，可以打90分了。

要想做好網(wǎng)絡(luò)安全防御，就要站在攻擊方的視角看問題，網(wǎng)絡(luò)空間HK惦記的就是你所守護(hù)的，沈院士描述的霸權(quán)國家、敵對勢力、黑客組織和你所守護(hù)的對象防御程度成正比。

其實(shí)攻擊者也很累，如果攻下來的目標(biāo)價(jià)值不大甚至被反制，攻擊者也會很郁悶，浪費(fèi)時(shí)間和心血也是很耗功力的，初學(xué)者會因?yàn)榕d奮而攻擊，老炮們要是沒有激勵和內(nèi)在動力。其實(shí)也不愿意熬夜了，拿下目標(biāo)的瞬間荷爾蒙飆升、圈子里的揚(yáng)名、財(cái)富以及為組織增光是主要激勵，所以尋找合適的有價(jià)值的目標(biāo)是攻擊者的前提。

對于防御者來講，就是了解自己保護(hù)的對象對黑客的吸引力，盡量減少暴露面，IP,端口，服務(wù)，主機(jī)名，操作系統(tǒng)、支撐軟件，web服務(wù)，不是自己必要直接外露的，能減少就減少，能在深宅大院，就不要在街口開門。

對于攻擊方來講，目標(biāo)確定后會通過各種方式進(jìn)行信息的收集，可以采用社工的方法收集關(guān)鍵人的互聯(lián)網(wǎng)喜好和慣用的工具等等，也可以僅僅是IT信息，信息越多攻擊者就可以結(jié)合使用，對于高級目標(biāo)，幾個(gè)月到半年甚至更長的時(shí)間，一點(diǎn)點(diǎn)收集。

對于防御者來講，自身個(gè)人的信息，守護(hù)對象的信息、外包商服務(wù)商的信息、采用的IT系統(tǒng)的信息、暴露面的信息，入侵監(jiān)控的信息，都是需要保護(hù)的和提高警惕的。

對于攻擊方來講找弱點(diǎn)的方式，最簡單最暴力最直接的就是采用大型掃描器，分布式掃描器，一個(gè)目標(biāo)的地址段暴露面都是弱點(diǎn)集中的地方，往往一次大規(guī)模的漏洞爆出，就是找到弱點(diǎn)最簡單的辦法。不管是網(wǎng)絡(luò)層的、系統(tǒng)層的、應(yīng)用層的還是弱口令的。這些簡單弱點(diǎn)就是入門第一選擇，當(dāng)然，Oday另外再說。

對于防御方來講如果平時(shí)的弱點(diǎn)管理的好，及時(shí)更新，動態(tài)監(jiān)控做的好還可以，往往弱點(diǎn)的爆出沒有及時(shí)的采取措施，很可能在這個(gè)時(shí)間差就已經(jīng)被侵入了，實(shí)踐經(jīng)驗(yàn)中弱點(diǎn)的管理需要交叉異構(gòu)。我們做了一個(gè)站在甲方視角的弱點(diǎn)管理平臺，效果確實(shí)還是不錯，曾經(jīng)出現(xiàn)的一起事件，某盟的弱點(diǎn)管理發(fā)現(xiàn)了問題，但由于操作系統(tǒng)廠商已經(jīng)沒有了，雖然也發(fā)現(xiàn)了但沒有預(yù)警，其實(shí)甲方還在大量的使用此操作系統(tǒng)，交叉使用的弱點(diǎn)管理平臺起到了很好的效果，預(yù)防了一次較高級別的APT攻擊事件(兩會期間)。

DDOS用的越來越少了， 主要是太野蠻也暴露的太快，現(xiàn)在的云服務(wù)商、運(yùn)營商都已經(jīng)有很好的防護(hù)了，加上監(jiān)管單位打擊，這種方式確實(shí)實(shí)用效果一般?，F(xiàn)在強(qiáng)盜式攻擊反而采用字典爆破成為主流的，驗(yàn)證碼繞過的也不少，12306經(jīng)受了多少次的洗禮，特色的驗(yàn)證碼就是證明，這個(gè)領(lǐng)域的防護(hù)說起來一點(diǎn)都不難，但這個(gè)領(lǐng)域出問題的也是最多的，可以說無知者無畏?？偨Y(jié)幾點(diǎn)線守則，對外服務(wù)的系統(tǒng)甚至內(nèi)網(wǎng)的系統(tǒng)，多重驗(yàn)證是非常必要的，安全策略加大強(qiáng)制弱口令不得生存，關(guān)閉不必要的服務(wù)、端口和清理root賬號。軟件開發(fā)商稍微懂點(diǎn)按照安全軟件編程開發(fā)和防范，其實(shí)就這些，一個(gè)系統(tǒng)這里的投入不會超過幾十萬就基本可以安心了。

靜默型攻擊從08年以后就是主流了，大規(guī)模的炫耀式的病毒攻擊基本消聲覓跡了，都已經(jīng)悄悄地進(jìn)入打槍的不要，APT、APT、APT是我們天天防護(hù)的重點(diǎn)。就如我上文所說，攻擊者也很累，現(xiàn)在沒有人愿意敲鑼打鼓的去說我要攻擊你，更多的就是低調(diào)低調(diào)低調(diào)，第一道防線被撕開口子的概率是比較大的，一但進(jìn)來如果防御者做的好，攻擊者就是進(jìn)入深淵的開始，每個(gè)不合適的內(nèi)網(wǎng)嗅探，試圖提權(quán)，異常行為，其實(shí)很好抓。我們現(xiàn)在總結(jié)出來經(jīng)驗(yàn)，基本上進(jìn)來的APT跑不了，要不不敢動，一動就會發(fā)現(xiàn)。總結(jié)幾個(gè)關(guān)鍵點(diǎn)，全網(wǎng)全流量監(jiān)控，全網(wǎng)主機(jī)系統(tǒng)監(jiān)控，控制好有限的特權(quán)用戶/普通用戶賬戶并進(jìn)行行為監(jiān)控，安全域策略最小化原則并動態(tài)可視監(jiān)控，在核心主機(jī)和數(shù)據(jù)系統(tǒng)里做好黑白名單的可信驗(yàn)證。一點(diǎn)也不高深特簡單，不用PPT吹NB，做好落地了基本保證第二道防線沒問題。我們把這些統(tǒng)合起來做了個(gè)系統(tǒng)，稱為防御平臺核心檢測功能，現(xiàn)在用了的客戶都沒有被HW干掉，實(shí)施一個(gè)滿意一個(gè)，我們也特別有成就感。這個(gè)估計(jì)未來會成為主流的趨勢，實(shí)干簡單清晰化防御體系里的檢測系統(tǒng)，感謝PCSA聯(lián)盟的KL,QT,ZX,SBR,ABT，CT,ZR，kx (科來、青藤、中新、圣博潤、安博通、長亭、中睿、可信….)安全能力者們。你們做的探針真的很NB，也確實(shí)是未來的安全中間力量，和品牌沒關(guān)系，要看能力，真安全未來大浪淘沙。

等級保護(hù)2.0已經(jīng)頒布，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)的細(xì)化標(biāo)準(zhǔn)政策估計(jì)也會很快出臺，數(shù)字時(shí)代這些內(nèi)容都會在網(wǎng)絡(luò)空間承載。

按照方院士的定義網(wǎng)絡(luò)空間是一種人造的電磁空間，其以終端、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等為平臺，人類通過在其上對數(shù)據(jù)進(jìn)行計(jì)算、通信，來實(shí)現(xiàn)特定的活動。

在這個(gè)空間中，人、機(jī)、物可以被有機(jī)地連接在一起進(jìn)行互動，可以產(chǎn)生相應(yīng)的內(nèi)容、商務(wù)、控制等影響人們生活的各類信息，數(shù)字中國萬云時(shí)代，萬種場景、萬物互聯(lián)，所以討論關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)需要聚焦落在幾個(gè)領(lǐng)域?yàn)楹谩?/p>

圖6：承載國家關(guān)鍵信息基礎(chǔ)設(shè)施之關(guān)鍵要素

宏觀的平臺概念太大，具體細(xì)化在我們微觀的理解中數(shù)字中國的特征未來會有無數(shù)的平臺，例如城市大腦的泛在感知物聯(lián)平臺，支撐工業(yè)制造的工業(yè)互聯(lián)網(wǎng)平臺、支撐政務(wù)云的政務(wù)云平臺、支撐數(shù)據(jù)的數(shù)據(jù)中臺，支撐應(yīng)用的支撐平臺，支撐12306的客票平臺、支撐電網(wǎng)的調(diào)度平臺、支撐中小企業(yè)的公有云平臺(租戶+云)，支撐大家吃穿住行的電商平臺、政務(wù)服務(wù)的一體化平臺、行政監(jiān)管的一體化平臺，每個(gè)平臺承載的都是一個(gè)區(qū)域、一個(gè)行業(yè)、一個(gè)場景，現(xiàn)在網(wǎng)絡(luò)安全行業(yè)在每個(gè)層面都有新的安全從業(yè)者在研究和探討，概念太龐大。我們已經(jīng)在研究的就是企業(yè)級、行業(yè)級、城市級、國家級關(guān)鍵信息基礎(chǔ)設(shè)施平臺防護(hù)的要點(diǎn)，2018-2019年，踏實(shí)實(shí)驗(yàn)室和PCSA聯(lián)盟和CETE也溝通落地了上海嘉定新一代基礎(chǔ)設(shè)施的城市及安全管理平臺，還是需要很多專門地方需要探討，隨著新一代信息基礎(chǔ)設(shè)施的前進(jìn)而前進(jìn)。

圖7：城市級平臺安全管理及運(yùn)營

說起數(shù)據(jù)安全，先說一個(gè)概念兩個(gè)維度兩個(gè)熱點(diǎn)，一個(gè)概念就是數(shù)據(jù)的基本分類( 國家級、行業(yè)級、城市級、企業(yè)級、群體級、個(gè)體級)，個(gè)人數(shù)據(jù)有可能也是國家級別的防護(hù)，國家級的數(shù)據(jù)也有可能之采取個(gè)人級別的防護(hù)。

兩個(gè)維度，一個(gè)是站在數(shù)據(jù)的價(jià)值維度看重要性(數(shù)據(jù)資源級別—保安級、數(shù)據(jù)資產(chǎn)級別—保鏢級、數(shù)據(jù)資本(流通)級別—武警級、數(shù)據(jù)托管(交易)級別—銀行級)的新思維(海關(guān)劉處的思想)，一個(gè)是站在數(shù)據(jù)全生命周期維度看重要性(采集、傳輸、加工、處理、存儲、銷毀)的傳統(tǒng)思維。

兩個(gè)熱點(diǎn)，一個(gè)是各地大數(shù)據(jù)局政府機(jī)構(gòu)的成立，數(shù)據(jù)共享、交換、流通，2014年我的碩士畢業(yè)論文提到的現(xiàn)在政務(wù)的“盲數(shù)據(jù)、死數(shù)據(jù)”未來都會隨著數(shù)據(jù)的流動起來產(chǎn)生價(jià)值。一個(gè)是公共平臺隱私數(shù)據(jù)的保護(hù)，數(shù)字時(shí)代APP和網(wǎng)站以及其他公共設(shè)施收集的每個(gè)人的身份信息、手機(jī)信息、地址信息、人臉信息、支付習(xí)慣信息、吃穿住行信息….想起來就恐怖，這個(gè)環(huán)節(jié)基本上還沒有啥政策要求，其實(shí)這個(gè)也是個(gè)大市場，當(dāng)然需要監(jiān)管的來臨，商人自發(fā)花錢保護(hù)客戶信息的可能幾乎沒有。

總之，數(shù)據(jù)安全這個(gè)范疇可研究和討論的很多，數(shù)據(jù)成為有價(jià)的資產(chǎn)肯定的確定的，數(shù)據(jù)有價(jià)值肯定是要流動的，不流動就不會產(chǎn)生價(jià)值了。所以未來大部分場景都會有數(shù)據(jù)的提供者、數(shù)據(jù)的運(yùn)用者、數(shù)據(jù)的管理者、數(shù)據(jù)的使用者、但更重要的是數(shù)據(jù)合理合法使用的監(jiān)管者，數(shù)據(jù)流動安全監(jiān)管就成為數(shù)字時(shí)代的重大命題，應(yīng)用安全能力者不同的安全能力在數(shù)據(jù)流動的不同場景進(jìn)行有序和安全的管理就是我們和PCSA聯(lián)盟和某地大數(shù)據(jù)局和某行業(yè)溝通現(xiàn)在正在做的事情。全程可視，狀態(tài)可查，權(quán)益可管、權(quán)限可控、流動可溯、易用擴(kuò)展。

圖8：數(shù)據(jù)流動安全監(jiān)管

前幾年出國游學(xué)和參觀時(shí)通過朋友參觀了幾家美國大的云和互聯(lián)網(wǎng)公司，其中重點(diǎn)是參觀安全管理和運(yùn)營管理，龐大的規(guī)模和監(jiān)控和運(yùn)營中心由于不能拍照無法描述。在整個(gè)參觀的過程中給我最大的感觸就是幾個(gè)關(guān)鍵詞、事多、人少、全程可視、自動化。這幾年在國內(nèi)信息化建設(shè)過程中看到的場景基本上也是這樣，沒有良好的大安全管理中心和運(yùn)營中心，任何系統(tǒng)想要長久的安全運(yùn)行保障基本不可能。2005年開始國內(nèi)開始有了安全管理中心和平臺1.0雛形現(xiàn)在已經(jīng)被淘汰，2009年安全管理進(jìn)入2.0，在CC某V和某關(guān)、某社我們看到的和審計(jì)多個(gè)項(xiàng)目，錢花了不少，事情也干了不少，但確實(shí)也沒起到相應(yīng)的效果體現(xiàn)價(jià)值，收集大量基礎(chǔ)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析這個(gè)思路，在基本上沒有標(biāo)準(zhǔn)、沒有生態(tài)、沒有深度檢測能力等等必要的保障。安全管理2.0只能活在PPT和情懷里，這10年我和團(tuán)隊(duì)接觸過國內(nèi)99%的安全管理平臺，也幫助客戶建設(shè)了數(shù)百個(gè)所謂的安全管理平臺，實(shí)話說我沒有看到一個(gè)高效的和有高價(jià)值的。16年開始，我們的網(wǎng)絡(luò)防御服務(wù)接受了挑戰(zhàn)，考慮到未來進(jìn)入數(shù)字時(shí)代，安全管理是重中之重，我們給很多生態(tài)伙伴提供了思路和想要的安全管理中心的樣子，比如圍繞保護(hù)對象與運(yùn)維合力成為保障能力中心，管理和建立四大體系，要有深度檢測。例如關(guān)鍵業(yè)務(wù)數(shù)據(jù)和安全與流量精密關(guān)聯(lián)，讓ID和IP清晰自如的展示、讓訪問路徑實(shí)時(shí)動態(tài)可視等等，形成企業(yè)級、行業(yè)級、城市級的安全管理和運(yùn)營等等，很慶幸，2017年以來我們理想的安全管理逐步實(shí)現(xiàn)了。態(tài)勢感知逐步實(shí)現(xiàn)，這個(gè)領(lǐng)域落地的案例已經(jīng)很多了，也獲得了工信部的試點(diǎn)示范，在HW中也有很好的表現(xiàn)，沒有白費(fèi)力氣，浪費(fèi)我的白頭發(fā)，未來我們會和生態(tài)伙伴一起迭代好這個(gè)平臺，力爭成為未來網(wǎng)絡(luò)防御體系的主力軍。

從Struts2的漏洞爆出和coremail的0day,主流應(yīng)用框架的選擇，尤其是對外提供服務(wù)的Web和mail，一旦底層出大的安全問題了，會導(dǎo)致整個(gè)系統(tǒng)都需要重新構(gòu)建了。由于很多開發(fā)者不回去考慮安全性的問題，往往從易用和易構(gòu)建的角度去考慮，系統(tǒng)和底層架構(gòu)是緊耦合的不可輕易分離，嚴(yán)重漏洞的出現(xiàn)，不能修補(bǔ)，勉強(qiáng)弄弄安全運(yùn)行也有問題，不修補(bǔ)也不能再上線了。這個(gè)問題出現(xiàn)后只能重新架構(gòu)和開發(fā)了，經(jīng)濟(jì)損失極大，這也是我們12年經(jīng)歷的血淋淋的教訓(xùn)。

這個(gè)點(diǎn)也是幾個(gè)案例的體現(xiàn)，主要提醒大家IT主流品牌一定是APT攻擊者的重點(diǎn)，因?yàn)榘l(fā)現(xiàn)一個(gè)0DAY，基本上和挖到金礦一樣，我們經(jīng)常在網(wǎng)絡(luò)安全防御體系建設(shè)中看到品牌一致性的要求。從統(tǒng)一管理的角度上來說也是對的，但一旦出現(xiàn)0day或者被攻破，基本上就是全軍覆沒，充其量就是個(gè)馬奇諾防線，而且大廠的OEM產(chǎn)品太多，其實(shí)每個(gè)安全廠商真正的安全能力不會超過3-5個(gè)，其他都是非重點(diǎn)能力。一個(gè)安全能力沒有3-5年的研究研發(fā)，不可能成功的。這些年我們總結(jié)經(jīng)驗(yàn)就是大眾品牌選擇部署可以在外圍，解決復(fù)雜管理和高性能、高可靠性，在核心數(shù)據(jù)區(qū)或者關(guān)鍵管理區(qū)選擇小眾的品牌，或者多層異構(gòu)。例如：在新**全國大網(wǎng)的設(shè)計(jì)上，縱深防御選擇了6個(gè)品牌(非OEM)的紅、黃、藍(lán)區(qū)、數(shù)據(jù)、管理、業(yè)務(wù)在不同層，有解決性能為主的，也有解決高安全性為主的、也有解決高策略最小原則穩(wěn)住的，可能都是防火墻，設(shè)計(jì)時(shí)也會有不同的側(cè)重點(diǎn)。管理和安全性一定是平衡使用的。

同類型功能不同能力者的異構(gòu)其實(shí)在管理者眼里是麻煩的，但在攻擊者眼里同樣也是麻煩的，如果做好落地，呵呵，累死Y的。例如防火墻多層異構(gòu)解決避免一網(wǎng)通殺、防護(hù)策略失效的問題，防病毒網(wǎng)關(guān)、桌面防病毒和沙箱郵件追溯異構(gòu)解決病毒木馬、釣魚郵件的交叉檢測和查殺，威脅情報(bào)和弱點(diǎn)管理不同供應(yīng)商的異構(gòu)解決風(fēng)險(xiǎn)管理的全面化，多重身份認(rèn)證和特權(quán)賬號不同認(rèn)證異構(gòu)解決被輕易獲取權(quán)限一路暢通，陷阱和蜜罐的異構(gòu)設(shè)置可以讓攻擊到內(nèi)網(wǎng)的黑客一頭霧水?？傊?，不同的安全能力之間的多角度異構(gòu)的靈活應(yīng)用會給APT攻擊者一路障礙，這些花不了多少經(jīng)費(fèi)，但確實(shí)有效，唯一的就是給管理者有一定難度，需要將統(tǒng)一管理的平臺做好。

無論你用的是多高級的病毒軟件和木馬查殺軟件，記住一點(diǎn)，任何高級貨制作出來的第一步就是跑一遍所有的主流病毒和木馬查殺軟件。一個(gè)好的馬，制作不容易，傳輸不容易，運(yùn)行不容易，弄不好還被反控了，所以高級馬是不容易對付的，加上中國在EDR領(lǐng)域一家廣告公司獨(dú)大，其他基本被消滅，這幾年才出現(xiàn)一些新能力，所以，一家主流的免殺后，高級馬基本上解決了大部分的問題。

也許你沒聽說過的方法未來都會出現(xiàn)，一個(gè)外賣小哥、一個(gè)保潔阿姨，一個(gè)好久不聯(lián)系的朋友到了辦公區(qū)，他們離開的時(shí)候，會留下繼續(xù)進(jìn)來的U盤狀的無線發(fā)射器當(dāng)作跳板，一個(gè)供應(yīng)商送入的一批服務(wù)器和交換機(jī)在芯片上有可能的后門。有個(gè)電視劇叫做“密戰(zhàn)”，建議大家看看，一個(gè)外包的軟件開發(fā)商交付的代碼中間有隱藏的不應(yīng)該的代碼，一個(gè)離職的安全管理員仍然可以撥入VPN，用root權(quán)限獲取數(shù)據(jù)……這些都是現(xiàn)在以及未來可以發(fā)生的。

網(wǎng)絡(luò)社會，EID的認(rèn)證和識別是關(guān)鍵中的關(guān)鍵，互聯(lián)網(wǎng)個(gè)人隱私泄密太多，通過社工的方式可以輕易獲取一個(gè)既定目標(biāo)的網(wǎng)絡(luò)行為方式(網(wǎng)絡(luò)習(xí)慣、網(wǎng)絡(luò)id、網(wǎng)絡(luò)密碼)。人的習(xí)慣是很難改變的，所有認(rèn)證的用戶名，密碼總是那么幾個(gè)，一但破解全網(wǎng)通吃，HW期間碰到的單認(rèn)證方式和特權(quán)用戶被拿下，其實(shí)還沒用到社工這種高級貨。說白了，我們現(xiàn)在的政府企業(yè)每個(gè)單位先檢查一遍全網(wǎng)的特權(quán)用戶管理就明白了，70%的特權(quán)用戶就是沒有被管理、被監(jiān)控，更別說其他的用戶了。

數(shù)字中國萬云時(shí)代，萬種場景、萬物互聯(lián)，大數(shù)據(jù)、大平臺、大系統(tǒng)的建設(shè)模式是中國現(xiàn)在以及未來的模式，政務(wù)服務(wù)一體化、行業(yè)監(jiān)管一體化、城市大腦運(yùn)行一體化、工業(yè)智能一體化。不可否認(rèn)，數(shù)字中國急切需要打通數(shù)據(jù)孤島，公共服務(wù)更便捷、效率更高、更智能、更便捷、行政監(jiān)管更準(zhǔn)確、更有效，數(shù)據(jù)越聚合越重要，黑市價(jià)值越高，攻擊者越多，保障體系就越需要更緊密，不得不形成“大安全大運(yùn)維”的合成能力保障體系，才能確保業(yè)務(wù)的安全穩(wěn)定運(yùn)行。產(chǎn)品堆砌的時(shí)代以及過去了，服務(wù)才是真價(jià)值，安全服務(wù)高級人才稀缺會更大。聽說HW駐場的人有一天一萬的，恭喜安全人才價(jià)值提高了不少。

世界的安全，未來會是中國式的和非中國式的，看好數(shù)字中國的開啟模式，百花齊放，開源開放萬種場景、萬云時(shí)代、萬物互聯(lián)、(云、數(shù)據(jù)、應(yīng)用、智能、智能制造、泛在感知、小到一個(gè)人的吃穿住行，到一個(gè)城市的實(shí)時(shí)運(yùn)行，到一個(gè)社會的公共安全、到一個(gè)行業(yè)的智能發(fā)展，離不開新模式、新技術(shù)、新應(yīng)用。同時(shí)一個(gè)十幾億人口的大國也必將走向自主可控，中國式網(wǎng)絡(luò)安全會走向和世界不同的方向，也會越來越務(wù)實(shí)。

中國網(wǎng)絡(luò)安全產(chǎn)業(yè)相比國際同行處于弱勢，在國家高度重視網(wǎng)絡(luò)安全的背景下依然難以依靠自身力量快速做大做強(qiáng)，持續(xù)下去將在國際網(wǎng)絡(luò)對抗中愈發(fā)落后，最終損害對關(guān)鍵信息基礎(chǔ)設(shè)施的有效保護(hù)能力。

當(dāng)前我們雖然也面臨資金不足、人才匱乏，但更需要有好的環(huán)境，好的平臺，好的政府扶持政策，通過網(wǎng)絡(luò)安全產(chǎn)業(yè)的供給側(cè)改革讓更多的創(chuàng)新者、創(chuàng)業(yè)者，通過統(tǒng)一窗口、統(tǒng)一平臺有機(jī)會展現(xiàn)創(chuàng)新能力，在網(wǎng)絡(luò)安全科技領(lǐng)域中不斷貢獻(xiàn)力量，通過基于實(shí)戰(zhàn)的靶場演練，不斷提升國家關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)水平。

2018、19年參加了幾次工信部和WXB關(guān)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的調(diào)研會，圈子里的專家其實(shí)共識度還是挺高的明白人不少，大部分觀點(diǎn)不說了就說創(chuàng)新這一件事情，把它做透了就需要很多方面的合力。比如國外的合作是A.B公司的能力疊加，在國內(nèi)就是大品牌的OEM，鼓勵小品牌，新能力的合作。比如國內(nèi)公共靶場的建立，讓大家創(chuàng)新能力有練兵之地，總不能違法亂紀(jì)，也不能閉門造車吧，比如建立國家級的生態(tài)化安全能力展示平臺和中心。讓大家都有露臉的秀肌肉的地方…..供給側(cè)的改革，確實(shí)需要百花齊放和有效的政策扶持。

現(xiàn)在的攻防大賽、武器庫、漏洞庫，不管是為了實(shí)戰(zhàn)還是演習(xí)，攻擊方現(xiàn)在已經(jīng)新型攻擊武器平臺化武器庫快速有效滲透，說白了已經(jīng)是集團(tuán)軍作戰(zhàn)了，下圖示意一下，呵呵，不代表其他意思。

圖10：數(shù)字時(shí)代是由物理的和非物理組成的

現(xiàn)在我們看到的大部分行業(yè)、企業(yè)的網(wǎng)絡(luò)安全防御現(xiàn)狀基本上是民兵式的，沒有正規(guī)的組織建制、沒有持續(xù)的和合適的后勤保障，沒有先進(jìn)的防御和反擊工具和武器，未來這種防御體系基本上都是炮灰，不信明年HW見。不多講了大家都懂見下圖：

[[270463]]

圖11：“民兵式”網(wǎng)絡(luò)安全防御體系

這個(gè)是我們最近對于未來5年的研究方向的框架確定，有些涉及到商業(yè)秘密不方便公開說了，有興趣的一起交流，也可以一起加入進(jìn)來，為自己、為企業(yè)、為國家做些事情。

圖12：踏實(shí)實(shí)驗(yàn)室研究成果網(wǎng)絡(luò)綜合防御平臺框架

列完提綱也陸陸續(xù)續(xù)的利用業(yè)余時(shí)間寫了20天，也算一氣呵成，不是寫書寫論文所以隨性了些，畢竟是網(wǎng)絡(luò)安全有些地方意會大于言傳。也確實(shí)還有好多的話也沒說完，比如云安全的誤區(qū)、比如數(shù)據(jù)流動安全監(jiān)管的未來、比如工業(yè)安全的坑，比如說信息安全、網(wǎng)絡(luò)安全、數(shù)字安全的區(qū)別……以后在和大家一起討論吧，文章中的案例和思考都是團(tuán)隊(duì)這些年的經(jīng)歷，肯定也有很多不見得大家都認(rèn)同的地方，歡迎指正。期望未來中國網(wǎng)絡(luò)安全產(chǎn)業(yè)更好，畢竟我的青春獻(xiàn)給了這個(gè)產(chǎn)業(yè)20年，也想用本文紀(jì)念和致敬一下過去的20年。