前言

在某一天的深夜，作為安全從業(yè)人員，穿著大褲衩子，坐在門前，點(diǎn)燃一根煙(畫面自己想象)開始思考企業(yè)如何打造自己的安全體系，雖然這不是作為月薪3k該考慮的問(wèn)題，但是畢竟當(dāng)初筆者的從業(yè)理想是想成為道哥一樣的人，為安全行業(yè)貢獻(xiàn)自己的一份力。于是寫下自己的想法，對(duì)于中小企業(yè)我希望能夠完善自己的安全體系，花最少的錢做好安全這件事;對(duì)于安全人員我希望大家多考慮企業(yè)面臨的危險(xiǎn)點(diǎn)，而不只是會(huì)開一個(gè)掃描器做一個(gè)定時(shí)任務(wù)、開一個(gè)dirsearch就睡覺的那種!

[[348622]]

隨著國(guó)家現(xiàn)在化、信息化的不斷推進(jìn)，同時(shí)5G時(shí)代的來(lái)臨，很多企業(yè)開始慢慢數(shù)字化轉(zhuǎn)型，我們感受到了信息化給我們帶來(lái)的方便與快捷，不管是衣食住行都比較以前都有了青銅到黃金的提升，這點(diǎn)上筆者深有體會(huì)!那么在這個(gè)高速發(fā)展的信息化道路上，不容忽視的一個(gè)大問(wèn)題就是安全問(wèn)題!!!我相信很多人和筆者一樣收到過(guò)一些某某貸、售房等推銷的電話，那么我們就不得不質(zhì)問(wèn)一個(gè)問(wèn)題了，在如今我們每天都在面對(duì)手機(jī)的時(shí)代，上個(gè)廁所都在刷抖音的時(shí)代，我們的個(gè)人信息怎么得到保障?誰(shuí)來(lái)保障?國(guó)家是不是應(yīng)該頒布安全行業(yè)規(guī)則?

對(duì)于企業(yè)面臨的安全問(wèn)題依然很嚴(yán)峻，盡管你的網(wǎng)站采用https，但是這也避免不了病毒帶來(lái)的對(duì)業(yè)務(wù)的影響，對(duì)于國(guó)家也是提出了沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，加大了企業(yè)安全問(wèn)題的整頓，我們知道我們的等保1.0到2.0有了改變，變得比以前嚴(yán)了，增加了對(duì)物聯(lián)網(wǎng)、云的等保工作，同時(shí)也加大了對(duì)一些不整改的企業(yè)的懲罰，同時(shí)不同行業(yè)也出臺(tái)了適合自己的安全管理體系，筆者曾經(jīng)閱讀過(guò)《銀行安全管理體系》確實(shí)不錯(cuò)，大家有時(shí)間可以看看。可以看出安全問(wèn)題已經(jīng)不是一個(gè)企業(yè)能避免的問(wèn)題了。面對(duì)龐大的安全體系，筆者將盡可能給大家從不同維度描述、講解。

面臨的問(wèn)題

• 架構(gòu)：運(yùn)維 業(yè)務(wù) 應(yīng)用 內(nèi)部
• 運(yùn)維:服務(wù)器配置問(wèn)題 未更新補(bǔ)丁 采用有漏洞的中間件及服務(wù) 弱口令等
• 業(yè)務(wù)：活動(dòng)促銷 賬號(hào)體系 交易體系 風(fēng)控體系等
• 應(yīng)用：web漏洞 app漏洞
• 內(nèi)部：安全意識(shí)不足 辦公網(wǎng)補(bǔ)丁 wifi密碼 釣魚郵件
• 老板信息 政府領(lǐng)導(dǎo)人名單 學(xué)生學(xué)號(hào) 公司工號(hào) 等敏感信息

安全體系建立(防守)

這是一個(gè)本人規(guī)劃的一個(gè)安全架構(gòu)設(shè)計(jì)圖(勿噴)獻(xiàn)上這個(gè)的原因是我希望大家在看這篇文章有個(gè)參考，在架構(gòu)設(shè)計(jì)的時(shí)候，安全部門就應(yīng)該參與并融入一些安全觀念，比如考慮后期的抗D方案架構(gòu)設(shè)計(jì)。網(wǎng)站是否負(fù)載均衡分流，是否上CDN，在架構(gòu)設(shè)計(jì)方面應(yīng)該考慮分層思想、邊界防御、縱深防御(主機(jī)安全比如ossec、應(yīng)用安全比如waf、邊界安全比如snort)等思想!網(wǎng)絡(luò)方面我們應(yīng)該考慮設(shè)備的冗余，交換機(jī)采用HA部署方式。網(wǎng)站結(jié)構(gòu)方面是否采用站庫(kù)分離、前后端分離。同時(shí)全層的架構(gòu)設(shè)計(jì)也應(yīng)該結(jié)合等保2.0來(lái)設(shè)計(jì)，這樣也方便后期的等保過(guò)級(jí)。

假如以上就是一個(gè)公司的網(wǎng)絡(luò)拓?fù)鋱D，我們應(yīng)該從哪些方面做好設(shè)計(jì)，下面將一一給大家分享下我個(gè)人的觀點(diǎn)。我覺得企業(yè)應(yīng)該從以下三個(gè)維度進(jìn)行不斷提升自己的安全防御能力。

1. 基礎(chǔ)安全方面：對(duì)于基礎(chǔ)安全我們可以從四個(gè)方面做。

(1) 數(shù)據(jù)安全體系：數(shù)據(jù)集中化、訪問(wèn)權(quán)限管理、數(shù)據(jù)防泄漏(DLP、USB控制)、敏感信息泄露(GIthub scan)、數(shù)據(jù)備份、數(shù)據(jù)安全審計(jì)、內(nèi)部文件加水印等，做到數(shù)據(jù)的安全監(jiān)控，從讓攻擊者進(jìn)不來(lái)、拿不走、看不懂、能溯源方面制定不同安全策略。

(2) 安全技術(shù)體系：辦公內(nèi)網(wǎng)(網(wǎng)絡(luò)隔離、補(bǔ)丁管理、文件共享管理、上網(wǎng)行為管理AC、多層防火墻部署方式以及ACL策略制定、終端防病毒軟件防護(hù)、防病毒網(wǎng)關(guān)、防釣魚郵件解決方案基于惡意鏈接和可執(zhí)行程序特征、WIFI接入點(diǎn)以及強(qiáng)度覆蓋安全)、服務(wù)器安全(堡壘機(jī)、主機(jī)漏掃、web漏掃、HIDS、ids基于全流量檢測(cè)產(chǎn)品、高交互蜜罐、虛擬專用網(wǎng)、基線不同應(yīng)用、系統(tǒng)標(biāo)準(zhǔn)制定、中間件安全加固、補(bǔ)丁升級(jí)測(cè)試主機(jī)、服務(wù)器定時(shí)備份、內(nèi)部DNS建立、埋點(diǎn)目錄監(jiān)控、webshell監(jiān)控體系建立)、身份認(rèn)證、日志管理可視化分析展示、安全審計(jì)。

Hifish蜜罐：

Splunk日志可視化：

代碼審計(jì)Fortify：

漏掃體系：

GitHub監(jiān)控：

內(nèi)部DNS：

Jumpserver：

主機(jī)Firewalld：

(3)安全管理體系：管理制度(針對(duì)不同部門制定不同安全制度)、施行責(zé)任制、合規(guī)、安全意識(shí)培訓(xùn)(很重要)、安全開發(fā)SDL( 在代碼開發(fā)前進(jìn)行全程跟蹤,從開發(fā)前的不同部門個(gè)人的安全培訓(xùn)到上線前的靜態(tài)審計(jì)、動(dòng)態(tài)測(cè)試、黑盒測(cè)試、最后進(jìn)行安全部署上線)、安全運(yùn)營(yíng)(資產(chǎn)巡檢、安全產(chǎn)品日產(chǎn)運(yùn)維、防泄漏監(jiān)控githubScan、安全事件分析研判、0day規(guī)則制定)、第三方產(chǎn)品安全監(jiān)控

(4)應(yīng)急響應(yīng)體系：不同安全事件響應(yīng)、BCP團(tuán)隊(duì)建立、災(zāi)難恢復(fù)計(jì)劃。

2. 安全體系：GDPR數(shù)據(jù)保護(hù)條例(數(shù)據(jù)客體義務(wù))、ISO27000、等保

3. 業(yè)務(wù)安全：反詐騙監(jiān)控方案(基于手機(jī)短信特征監(jiān)控)、擼羊毛、批量注冊(cè)

攻擊方向分析

對(duì)于攻擊方向，最常見的就是通過(guò)黑盒測(cè)試，因?yàn)樽罱鼛啄闔W越來(lái)越火，也成為了檢驗(yàn)系統(tǒng)是否安全的一種評(píng)判標(biāo)準(zhǔn)，我這里大概說(shuō)說(shuō)攻擊常用的滲透方式，同時(shí)作為一名公司的信息安全工程師也應(yīng)該定期對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行模擬hacker進(jìn)行滲透測(cè)試。

• Web安全滲透：框架漏洞、中間件漏洞、文件上傳、服務(wù)器端信息泄露、跨站xss、sql注入、web安全基礎(chǔ)、劫持攻擊、業(yè)務(wù)邏輯漏洞、代碼執(zhí)行、命令執(zhí)行、文件包含、解析漏洞、系統(tǒng)服務(wù)組件漏洞。
• 后滲透：權(quán)限提升、權(quán)限維持、內(nèi)網(wǎng)漫游、橫向滲透、域滲透
• 代碼審計(jì)：命令執(zhí)行、url跳轉(zhuǎn)、任意文件上傳、目錄穿越、Struts2框架漏洞、Spring框架漏洞、SQL注入、xss漏洞、java代碼審計(jì)環(huán)境、軟件安全開發(fā)、XXE漏洞、SSRF漏洞

總結(jié)

對(duì)于企業(yè)的防御離不開攻擊方式的了解，只有掌握這些攻擊方式和常見漏洞以及合規(guī)的管理方式，這樣才能讓我們企業(yè)的系統(tǒng)免受攻擊的風(fēng)險(xiǎn)。安全從來(lái)都是一個(gè)紅藍(lán)對(duì)抗的事。