作者：随亦

安全开发生命周期的管理是保障互联网企业业务正常运营的重要举措，直接关系到企业线上业务运行的安全性。而企业办公安全涉及的安全隐患则更加复杂多样，各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。

一、安全开发生命周期

互联网公司的SDL必须和现有的CI/CD（持续集成/持续部署）系统（如IDE、Gitlab、Jenkins、JIRA等）集成才能产生较好的效果。SDL的建设必须置于敏捷开发、持续交付、技术运营之中，也就是要符合安全融于设计的思想。

SDL在实际落地中大体上可以分为4个阶段：计划阶段、编码阶段、测试阶段、部署阶段。

1.1 计划阶段

计划阶段需要做的工作有明确安全需求，进行安全设计、威胁建模、供应商安全评估、安全培训等。安全需求需要融入软件需求度量、UML建模、条目化项目管理等工作中。

安全设计原则包括：

原则	解释
最小化攻击面	尽量减少系统脆弱面的暴露
建立默认安全机制	在初始情况下，系统的相关设置应该默认是安全的
执行最小权限原则	建议账户具有执行其业务流程所需的最少权限
执行纵深防御原则	以更多不同的控制措施处理同一个风险
安全处理异常事物	正确处理程序异常
应对第三方的不可控情况	应对外部系统不可控情况的安全处理措施
职责分离	针对不同管理角色做权限分离
避免安全保密化	关键系统的安全性不应该只依赖于保密
保持安全简单化	业务逻辑应尽量简单有效
正确修复安全问题	找出产生问题的根本原因，修复彻底，并进行安全测试

威胁建模工具：

SeaSponge是Mozilla提供的开源web威胁模型建模工具，通过浏览器就能很方便的建立web威胁模型。
Threat Dragon是由OWASP提供的免费开源威胁建模工具。
Microsoft Threat Modeling是微软提供的免费威胁建模工具。

第三方安全评估：

可以使用Google开源的VSAQ（供应商安全评估调查问卷）评估工具。

安全培训：

安全培训是一项长期的工作，从员工入职开始就应该进行。

1.2 编码阶段

编码阶段的主要工作有：

1、建立安全编码规范
2、静态源代码安全分析
3、开源组件安全扫描（OSS）
4、安全过滤库&中间件
5、安全编译检查

公开的安全编码规范参考：

OWASP Secure Coding Practice

IDE代码检测插件：

Java编码规范方面的插件：P3C IDE
Java漏洞检测方面的插件：Findbugs及继任者Spotbugs
.NET漏洞检测方面的插件：Puma Scan
支持C/C++的插件：cppcheck

开源组件安全扫描（OSS）工具：

OSS方面的商业产品：BlackDuck
开源授权协议合规检查产品：FOSSology
组件漏洞检查方面的开源产品：Dependency-Check（可以结合maven或Jenkins使用）
组件漏洞检测产品：synk（可以扫描node.js nmp、ruby、java依赖中的漏洞）
依赖方面的安全检查最为丰富的是SourceClear公司的：EFDA

安全过滤库&中间件：

常见的java安全过滤库：ESAPI
Node.js的web安全过滤库可以参考：egg-security
浏览器端的过滤库有：DOMPurify

安全编译检查：

通过Visual studio编译选项中的/GS选项检查缓冲区溢出，/guard:cf选项检查控制流安全。
iOS APP安全编译选项有-fobjc-arc、-fstack-protector-all、-pie

1.3 测试阶段

1.3.1 自动化安全测试

自动化安全测试又包括静态应用安全测试（SAST）、动态应用安全测试（DAST）、交互应用安全测试（IAST）

静态应用安全测试

即对应用进行白盒测试。

商业产品有：Fortify、奇安信代码安全卫士
开源PHP源代码漏洞扫描产品：RIPS、progpilot
针对Python、Ruby、Go语言的安全扫描的综合工具：huskyCI
针对java的安全扫描工具主要有：spotbugs以及相关插件fb-contrib、find-sec-bugs
针对C/C++的安全扫描综合工具：flawfinder
支持多种语言的综合安全扫描工具：Infer
静态应用安全测试的综合平台：SonarQube

动态应用安全测试

即对应用进行黑盒测试。

商业产品有：AWVS、AppScan、绿盟漏洞扫描器
开源产品有：Arachni
针对REST API自动化测试的产品：Astra
针对Web Service进行安全测试的产品：WSSAT
针对Android的开源DAST测试产品：Qark

交互应用安全测试

作用于应用内部的安全漏洞测试。

商业产品有：Synopsys Seeker、Veracode、CxIAST
针对PHP的开源产品有：PHP taint、PHP Aspis
针对Java的开源产品有：security_taint_propagation

1.3.2 人工安全测试

代码审计和模糊测试

人工代码审计：OWASP代码审计指南
针对协议的常用模糊测试工具：Peach fuzzer（可以对各种文件和协议进行黑盒测试）
针对二进制漏洞的模糊测试工具有：Asan、Tsan、Msan、UBsan
开源的Fuzz测试平台有：OSS-Fuzz

web安全测试

web安全测试：OWASP安全测试指南
主要使用的工具：BurpSuite、Fiddler

移动安全测试

移动安全测试：OWASP移动安全测试指南
开源的产品有：MobSF
Android人工测试的工具有：Drozer、AppUse、Xposed、Frida
ios人工测试的工具有：needle、iOSSecAudit

1.4 部署阶段

部署阶段主要保证开发的产品可以安全发布，相关的工作有：证书密钥管理、安全配置加固、操作审计、渗透测试。互联网公司应建立安全可控的发布平台，保证配置的自动化，且保证发布是可信和可审计的。

证书密钥管理：

证书密钥管理系统（KMS）主要用来负责API私钥、云IAM/STS证书、数据库密码、X.509证书、SSH证书、应用签名证书、加密通信密钥等的安全保存、发放和撤销。这些证书密码的泄露直接关系到公司的数据安全。

开源的KMS产品：Vault

操作审计：

主要保证发布过程的可控和可安全审计。与操作审计配套的技术有DMS数据库管理系统、堡垒机等。

DMS数据库管理系统可用来负责互联网公司统一的数据管理、认证授权、安全审计、数据趋势、数据追踪、BI图表和性能优化，解决了以往运维和研发对数据库访问的不可控和不可审计的问题。支持MySQL的开源产品有：Yearning

堡垒机对运维操作进行记录和追踪，并对主机访问提供细粒度和集中的权限控制，同时减少了关键业务主机对外的暴露面。开源的堡垒机产品有：JumpServer、Guacamole

渗透测试：

通过对业务、系统、网络的综合渗透测试来保证业务上线后的安全，这是一个长期持续的过程。

二、企业办公安全

办公安全历来是信息安全的薄弱环节，常见的威胁还有数据泄露、内部恶意人员、APT攻击、病毒蠕虫等。相比线上业务安全，企业内部办公安全更为复杂，如存在移动办公、自带设备BYOD办公等场景。

2.1 人员管理

在员工入职前，企业就应该对员工进行背景审查、入职后应对其进行安全意识培训，研发等岗位还应该进行专门的安全开发培训，严格一点还应该进行考试。

宣扬企业安全文化，定期组织安全周、安全月等活动。应将安全违规的处理和安全审批流程等纳入流程制度，并制定必要的处罚和KPI考核制度。此外，还应当对各种办公活动进行安全审计，对企业内部环境和外部业务服务进行合规审查，以满足法律和行业规范的要求。

2.2 终端设备

企业应该部署集中管理式的AV杀毒软件和EDR终端检测与响应产品，以抵御病毒和APT攻击。开源的EDR产品有Facebook的Osquery和Mozilla的MIG。

重要业务部门应该部署DLP数据防泄露、DRM数据版权管理产品，防止企业关键资产（如数据、代码、文档）泄露。

现在使用移动终端工作的情况也很普遍，因此，移动办公产品也应当加强管控，常见的移动终端安全产品有MDM移动设备管理和MAM移动应用管理。商业产品有IBM MaaS360、SAP Mobile Secure等，开源产品有flyve-mdm等。

广义的终端设备还包括门禁系统、打印和传真系统、电话会议系统、视频监控系统、Wi-Fi路由系统等，应当对这些设备也考虑安全方案。

最后，可以通过SIEM产品（如Splunk）的UEBA用户实体和行为分析发现由用户主动行为或账号被盗、终端被控制引起的异常安全行为攻击。

2.3 办公服务

办公服务是指企业内部的办公支撑服务平台，如企业邮箱、企业网盘、CRM、ERP、OA、HR、BOSS等系统和研发支撑平台。

渗透测试是检验办公服务的安全的有效途径，通过渗透测试可以发现企业办公网络中的各种薄弱点，以便于不断改进和完善自身安全。

2.4 对于办公安全的一些提倡

1、如果要离开工作区域，那么对电脑进行锁屏；
2、工作日结束后，电脑必须全部关闭；
3、如果离开办公桌或工作日结束，所有实体性机密文件必须被锁进抽屉；
4、获取机密文件的钥匙不能留在无人值守的桌子上；
5、电脑必须设置开机密码；
6、密码不可以写在纸上并放在容易看到的地方；
7、打印出的材料如果包含机密和敏感信息，应该及时从打印机那里拿走；
8、销毁机密和敏感文件时，应该使用粉碎机加以粉碎；
9、处理高度机密或敏感信息的员工应该有独立的办公室，禁止其他员工无故入内；
10、要求所有访客在前台签到；
11、除非有员工陪同，访客活动范围应仅限于等待区域；
12、不要在访客可以直接接触到的开放架子上存放机密文件。

安全架构--5--SDL安全与企业办公安全落地实践相关推荐

活动实录丨SRE在传统企业中的落地实践
王璞/数人云创始人&CEO 美国George Mason 大学计算机博士.曾先后供职于 Google.Groupon 和 StumbleUpon等硅谷互联网公司.擅长分布式计算.大规模机器学习 ...
容器云平台在企业中的落地实践
本文源于时速云CEO黄启功的一次线上分享,主题为<容器云平台在企业中的落地实践>.文章主要从以下四个维度对Docker容器技术的发展及落地实践进行了分析和介绍,在此梳理,以飨各位. Top ...
Office365从销售说起——企业办公考虑重点
微软国外是早在2010年就面向13个国家和地区推出了office365的公开测试版的,进入中国是在2013年2月18日,并且那时候只能销售数据中心在香港和新加坡的office365.我是在2013年7 ...
火山引擎 veStack 在企业办公场景的落地实践
去年,受"黑天鹅事件"疫情影响,远程办公.线上会议.线上协作等新型工作形式相继涌现,对很多企业的组织力提出了严峻挑战. 对于追求发展速度和沟通效率的企业来说,建设一个统一的协同办公 ...
java计算机毕业设计机械生产企业办公设备管理系统MyBatis+系统+LW文档+源码+调试部署
java计算机毕业设计机械生产企业办公设备管理系统MyBatis+系统+LW文档+源码+调试部署 java计算机毕业设计机械生产企业办公设备管理系统MyBatis+系统+LW文档+源码+调试部署本源 ...
众至科技数据防泄露系统，保护企业办公核心数据
随着信息化技术的发展,办公电子化已经完全普及,在给企业带来便捷高效的同时,也伴随着越来越大的数据安全风险.此外,各国政府已相继出台数据安全相关法律.政策.标准来规范企业经营过程中的数据使用合规性.如何 ...
OA系统，赋能企业办公管理建设专业化
互联网不断发展创新,企业间的竞争逐渐由技术向管理转变.职业化的企业管理不仅有助于明确企业发展动向.办公管理制度的落地与实施,还可明确员工办公职责,降低管理内耗,提升企业办公执行力与办公效率,实现企业价 ...
龙芯中科官方宣布，龙芯中科企业办公信息化平台全面完成国产化替代
4月4日,龙芯中科官方宣布,龙芯中科企业办公信息化平台全面完成国产化替代.龙芯 ERP 系统全系统使用国产化平台,私有化部署于基于龙芯 3C5000 服务器集群的虚拟化云平台上,使用自研 Loongn ...
企业办公最强“扫雷”秘籍，低代码避坑有一套
随着市面上众多办公平台的出现,不断升级了企业的业务需求,但相伴而来的是大数据各环节中愈发繁杂的产品功能及安全问题,将对企业产业产生巨大的影响. 雷点一:文件难以溯源,传播不可控变数多普通协同办公软件 ...
OA系统定制化，企业办公管理需求的新趋势
OA系统,作为一款信息化办公管理软件,很大程度上改变了现代企业的诸多管理.办公模式,使得企业办公效率得以提升的同时,也进一步提高了企业的综合实力与市场竞争力.不过,随着人们认知水平的发展,对OA办公系 ...

安全架构--5--SDL安全与企业办公安全落地实践