本文是WOT2016互聯(lián)網(wǎng)運(yùn)維與開(kāi)發(fā)者大會(huì)的現(xiàn)場(chǎng)干貨，  新一屆主題為WOT2016企業(yè)安全技術(shù)峰會(huì)將在2016年6月24日-25日于北京珠三角JW萬(wàn)豪酒店隆重召開(kāi)！

【嘉賓簡(jiǎn)介】

吳建強(qiáng)，搜狐高級(jí)經(jīng)理，超過(guò)10年的信息安全從業(yè)經(jīng)驗(yàn)，曾就職于國(guó)內(nèi)多家知名安全公司，目前主要負(fù)責(zé)搜狐安全團(tuán)隊(duì)的管理。

WOT2016互聯(lián)網(wǎng)運(yùn)維與開(kāi)發(fā)者大會(huì)的運(yùn)維安全專場(chǎng)的演講中，吳建強(qiáng)做了主題為《企業(yè)信息安全實(shí)踐》的精彩演講，他從不斷演繹的安全威脅進(jìn)行分析，分享了在工作中對(duì)于企業(yè)安全體系建設(shè)思路及實(shí)踐，以及新技術(shù)驅(qū)動(dòng)下的挑戰(zhàn)和機(jī)會(huì)。

隨著數(shù)字通信和移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展，越來(lái)越多的設(shè)備可以聯(lián)網(wǎng)，在給人們提供便利優(yōu)質(zhì)智能生活的同時(shí)，安全威脅也隨之越來(lái)越多，復(fù)雜多樣，黑客攻擊手段也變得多樣化。在網(wǎng)絡(luò)安全攻防對(duì)抗中，安全產(chǎn)業(yè)也在不斷的晉級(jí)。從最初的被動(dòng)防御演進(jìn)至主動(dòng)防御，關(guān)注重點(diǎn)從通信安全和網(wǎng)絡(luò)安全，轉(zhuǎn)至應(yīng)用安全、操作系統(tǒng)安全，然后慢慢的隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)安全也備受關(guān)注。

企業(yè)安全體系的建設(shè)思路與整體架構(gòu)

吳老師表示，每個(gè)公司的業(yè)務(wù)特點(diǎn)不同，以上是僅是他根據(jù)自己的工作以及所在公司的業(yè)務(wù)所總結(jié)的建設(shè)思路，并一定適合于所有的公司。企業(yè)安全建設(shè)主要有以下兩個(gè)重點(diǎn)：一是，要很清楚的明白公司的業(yè)務(wù)是在做什么的，安全關(guān)注的業(yè)務(wù)是在哪幾個(gè)方面。二是，技術(shù)體系建設(shè)。技術(shù)體系主要是有幾個(gè)方面：PDR、DID、SAS以及流程保證，還有包括組織體系、管理體系，意思就是人、技術(shù)、流程。就是通過(guò)這幾個(gè)方面，如果你能做的比較好，能夠把這幾個(gè)方面貫徹的比較好，你的企業(yè)安全應(yīng)該會(huì)做的不錯(cuò)。

上圖這個(gè)整體技術(shù)架構(gòu)，相信大部分互聯(lián)網(wǎng)公司，稍微上一定規(guī)模的公司，可能都會(huì)有類似的架構(gòu)。吳老師介紹到：“首先看底層，就是公司的基礎(chǔ)服務(wù)平臺(tái)，現(xiàn)在對(duì)于基礎(chǔ)服務(wù)平臺(tái)大家也都在做源，包括像SDN之類。第二層，是包括Paas服務(wù)平臺(tái)。Paas服務(wù)平臺(tái)主要是給應(yīng)用提供一個(gè)運(yùn)行時(shí)的環(huán)境，大家可以業(yè)務(wù)線或者應(yīng)用產(chǎn)品更多的聚焦于產(chǎn)品的開(kāi)發(fā)、業(yè)務(wù)的實(shí)現(xiàn)，不再關(guān)心這種運(yùn)維的實(shí)現(xiàn)了。所以我們一直還在做這種Paas服務(wù)。雖然現(xiàn)在做公有云的Paas服務(wù)不多了，可能有幾家現(xiàn)在自己也不做了，就是因?yàn)橛X(jué)得面向客戶或者面向乙方提供產(chǎn)品或者服務(wù)的時(shí)候，很難有收益或者很難達(dá)到很好的效果。但是在內(nèi)部系統(tǒng)，我們一直還在做就是因?yàn)橥ㄟ^(guò)這幾年的實(shí)踐，覺(jué)得這個(gè)平臺(tái)是有價(jià)值的。對(duì)于我們來(lái)講，無(wú)論是從節(jié)約資源和降低運(yùn)維成本以及規(guī)范我們的應(yīng)用發(fā)布及管理方面，是有很大的好處的。當(dāng)然我們?cè)谧鯬aas的時(shí)候，已經(jīng)把各個(gè)其他的，像數(shù)據(jù)的服務(wù)、緩存的服務(wù)，還有存儲(chǔ)的服務(wù)，還有類似的一些其他的服務(wù)，能夠兼容進(jìn)來(lái)，這樣實(shí)際上我們能夠做到很好的兼容性和降低我們的開(kāi)發(fā)成本。因?yàn)槲覀儾皇撬械漠a(chǎn)品都能做，所以實(shí)際上我們會(huì)兼容一些其他的產(chǎn)品進(jìn)來(lái)。最上層就是支撐了一些我們公司現(xiàn)在主要的一些應(yīng)用，包括像新聞、媒體的業(yè)務(wù)，包括像視頻的業(yè)務(wù)，包括像支付，還有我們的APP的服務(wù)。最前端，在所有應(yīng)用的如后，也就是訪問(wèn)的入口，就是我們?nèi)W(wǎng)加速的服務(wù)。現(xiàn)在搜狐的全網(wǎng)大概有幾十個(gè)節(jié)點(diǎn)，覆蓋了全國(guó)所有的省市。”

此外，他表示在這個(gè)整體架構(gòu)之中，實(shí)際上搜狐無(wú)一例外的，都貫穿了信息安全的概念。他們一直在強(qiáng)調(diào)的就是希望能夠把信息安全能力，或者說(shuō)這種功能打入到現(xiàn)有的產(chǎn)品當(dāng)中，不會(huì)產(chǎn)生其他系統(tǒng)與安全脫節(jié)的情況，將安全實(shí)現(xiàn)的功能做在產(chǎn)品當(dāng)中。

安全對(duì)于小公司來(lái)說(shuō)有些奢侈，不像大公司已盈利。所以小公司們?cè)撊绾慰紤]做安全呢?其實(shí)，無(wú)論是大公司還是小公司，做安全都要考慮哪些業(yè)務(wù)對(duì)公司來(lái)說(shuō)是至關(guān)重要的，那這些業(yè)務(wù)就是安全防護(hù)的重點(diǎn)，需要優(yōu)先給予安全保障。因此，這時(shí)公司就需要做一個(gè)業(yè)務(wù)分析。對(duì)此，吳老師建議對(duì)公司業(yè)務(wù)做如上圖所示的整體業(yè)務(wù)分析，或者稱為業(yè)務(wù)定級(jí)，定級(jí)的過(guò)程就是依據(jù)我們業(yè)務(wù)的安全的幾個(gè)屬性，加業(yè)務(wù)的依賴性。

介紹完整體架構(gòu)之后，吳老師又對(duì)技術(shù)體系里幾個(gè)重要環(huán)節(jié)進(jìn)行了分析。

◆PDR和DID

關(guān)于PDR和DID的概念，PDR做安全的，對(duì)這個(gè)模型都有一定的理解，其實(shí)它是基于時(shí)間軸的模型，就是強(qiáng)調(diào)你的防御的時(shí)間和監(jiān)測(cè)的時(shí)間，能夠通過(guò)防御和監(jiān)測(cè)的時(shí)間，去降低攻擊的結(jié)果。就是在那個(gè)時(shí)間段，及時(shí)發(fā)現(xiàn)攻擊，并且把它攔住。換個(gè)角度來(lái)講，可能我會(huì)把這個(gè)架構(gòu)，把這個(gè)模型重新劃分一下，就是我把技術(shù)架構(gòu)劃成幾點(diǎn)：第一個(gè)就是防御類的技術(shù)產(chǎn)品，監(jiān)測(cè)類的技術(shù)產(chǎn)品，還有響應(yīng)的技術(shù)產(chǎn)品。除了PDR，還有一個(gè)DID，就是縱深防御的模型。縱深防御的模型強(qiáng)調(diào)的是我從網(wǎng)絡(luò)層到主機(jī)層、到應(yīng)用層，到數(shù)據(jù)層，各個(gè)階段都有一定的監(jiān)控、保護(hù)，或者響應(yīng)的技術(shù)方案或者技術(shù)體系，所以我用了一個(gè)類似于餅圖的方式去實(shí)現(xiàn)這種架構(gòu)。我們會(huì)把做一些無(wú)論是安全技術(shù)的項(xiàng)目、安全產(chǎn)品類似的技術(shù)手段，能夠分分類，都可以劃到這個(gè)里面去。包括比如說(shuō)像掃描的，或者是監(jiān)控的，實(shí)際上我們?cè)诟鱾€(gè)層次上，比如說(shuō)我們?cè)谕饩W(wǎng)，網(wǎng)絡(luò)層有監(jiān)控，這種監(jiān)控也會(huì)涉及到應(yīng)用的監(jiān)控、流量的監(jiān)控。掃描會(huì)涉及到主機(jī)的掃描、數(shù)據(jù)庫(kù)的掃描、應(yīng)用的掃描，都可以把這些技術(shù)手段劃做我們的PDR里面的一類，但是在各個(gè)層面上都要覆蓋到。

◆DDOS解決方案

吳老師表示首先他們會(huì)對(duì)DDoS進(jìn)行分級(jí)，就是十級(jí)以下公司自己處理，十級(jí)以上協(xié)調(diào)運(yùn)營(yíng)商，或者請(qǐng)求其他外部資源的支持，因?yàn)楣镜馁Y源始終是有限的。在DDOS解決方案中，主要包括主動(dòng)牽引和被動(dòng)牽引兩種方案。主動(dòng)牽引就是在模擬現(xiàn)在市面上比較成熟的產(chǎn)品解決方案，通過(guò)bgp，netfilter模塊和nginx實(shí)現(xiàn)，無(wú)論做流量的反向代理，或者做流量的清洗，都可以通過(guò)這些方式去做。而被動(dòng)牽引首先在被攻擊服務(wù)器實(shí)施網(wǎng)絡(luò)層牽引，然后在防護(hù)設(shè)備實(shí)施清洗，最后再代理到被攻擊服務(wù)器。

◆監(jiān)控

這個(gè)監(jiān)控實(shí)際上是在我們所有大的節(jié)點(diǎn)的DIC入口的一個(gè)監(jiān)控。這個(gè)監(jiān)控主要是監(jiān)控幾個(gè)方面，第一個(gè)就是關(guān)于應(yīng)用層的攻擊，關(guān)于web的攻擊，第二個(gè)關(guān)于流量的攻擊，就是DDOS或者是流量異常的攻擊。監(jiān)控通過(guò)分光器的方式來(lái)實(shí)現(xiàn)，把流量通過(guò)分光器，通過(guò)交換機(jī)下面接一些服務(wù)器，這樣實(shí)現(xiàn)了流量的負(fù)載。

◆掃描

掃描的進(jìn)化是一個(gè)很有意思的過(guò)程。首先是系統(tǒng)層面的，主要針對(duì)系統(tǒng)的安全漏洞。然后，進(jìn)入web2.0時(shí)代后，針對(duì)應(yīng)用層面的掃描較多。還有一個(gè)，就是關(guān)于這種被動(dòng)式的掃描，被動(dòng)的掃描主要是給產(chǎn)品測(cè)試人員，通過(guò)提供一個(gè)代理的方式，它把瀏覽器的代理，或者一些開(kāi)發(fā)軟件的代理，設(shè)置到我們的掃描接口來(lái)，掃描AI上或者接口上，我們能夠抓到所有的鏈接之后，并且能夠獲得他的，如果你登陸了就有一些授權(quán)信息，那這些授權(quán)信息去做這種被動(dòng)掃描。

◆SAS 安全即服務(wù)

什么叫安全即服務(wù)呢?將安全能力安全產(chǎn)品輸出出去，服務(wù)給公司。比如把掃描的API接口開(kāi)放給業(yè)務(wù)線。那業(yè)務(wù)線實(shí)際上在開(kāi)發(fā)產(chǎn)品過(guò)程中，就直接可以使用這個(gè)API了。如果你在做監(jiān)控，你監(jiān)控已經(jīng)累積了大量的原始數(shù)據(jù)，包括攻擊的數(shù)據(jù)，惡意用戶、惡意IP，這些都可以輸出出去。既然你在做安全，你有這個(gè)優(yōu)勢(shì)，你為什么不能把這個(gè)東西當(dāng)做一個(gè)服務(wù)提供出去呢?

◆SAS 服務(wù)即安全

為什么說(shuō)服務(wù)即安全呢?吳老師表示，就是希望把產(chǎn)品做的更安全一些，就是把一些安全能力加入到我們現(xiàn)有的技術(shù)架構(gòu)當(dāng)中。比如說(shuō)現(xiàn)在其實(shí)像安全CDN這個(gè)東西，也不是一個(gè)非常新鮮的概念了，前兩年已經(jīng)非常成熟了，我要把第一層的防御放在我的入口處，要放在CDN處。為什么要做在這兒呢?因?yàn)樵趙eb前端的，CDN或者應(yīng)用層的監(jiān)控或者保護(hù)，可能沒(méi)有及時(shí)的發(fā)現(xiàn)這個(gè)攻擊。但是你會(huì)在越接近數(shù)據(jù)的地方，越容易發(fā)現(xiàn)攻擊，因?yàn)樗鼪](méi)有什么特別多的語(yǔ)法或者詞法的解析了，也不存在規(guī)則的問(wèn)題。更多的就在于數(shù)據(jù)層，是不是注入，在這個(gè)地方，它會(huì)起碼很全面，當(dāng)然你的規(guī)則就取決于你的規(guī)則實(shí)現(xiàn)了。如果你的規(guī)則，誤報(bào)太多了，就需要做優(yōu)化了，但是不會(huì)有漏報(bào)，所以你只會(huì)有誤報(bào)，不會(huì)有漏報(bào)。

至此，前面介紹的基本上就是大整體的一個(gè)技術(shù)架構(gòu)，主要是PDR和DID，實(shí)現(xiàn)的就是在多層次去做這種保護(hù)、監(jiān)控和響應(yīng)。

安全開(kāi)發(fā)流程SSDL

這個(gè)安全開(kāi)發(fā)流程，估計(jì)絕大多數(shù)公司會(huì)有。但是怎么去貫徹，怎么去實(shí)行，吳老師認(rèn)為這其實(shí)是一個(gè)很難的事。安全開(kāi)發(fā)流程主要有以下幾個(gè)部分：

組織體系

組織體系中的主體就是人。公司中每個(gè)與安全有關(guān)的聯(lián)系人，包括部門領(lǐng)導(dǎo)都應(yīng)參與到企業(yè)安全防護(hù)的過(guò)程中。普通的公司職員也應(yīng)增強(qiáng)安全意識(shí)。安全領(lǐng)導(dǎo)組要做決策，控制安全防護(hù)的成本等。在策略的執(zhí)行過(guò)程中，需要有流程保障，需要技術(shù)保證。另外，可通過(guò)安全月報(bào)的形式，讓部門領(lǐng)導(dǎo)和安全聯(lián)系人清楚，過(guò)去一個(gè)月中，公司的整體安全現(xiàn)狀，哪個(gè)部門的安全事件較多，發(fā)生了哪些安全事件，攻擊趨勢(shì)發(fā)生了怎樣的變化。

新技術(shù)驅(qū)動(dòng)下的挑戰(zhàn)和機(jī)會(huì)

云計(jì)算和大數(shù)據(jù)時(shí)代的到來(lái)，給安全防護(hù)工作帶來(lái)了新的挑戰(zhàn)和機(jī)會(huì)。吳老師總結(jié)如下：

演講視頻：http://edu.51cto.com/lesson/id-100718.html 

【編輯推薦】