11.企业安全建设指南(金融行业安全架构与技术实践) --- 互联网应用安全
第11章 互联网应用安全传统企业会用防火墙进行隔离,将应用部署在隔离区(DMZ)。11.1 端口管控首先要做的就是端口管控,即在防火墙上严格限制对外开放的端口。原则上DMZ服务器只允许对外开放80,443端口,而且DMZ服务器不允许主动访问外部,
访问外部的业务需要一对一开通访问。端口扫描工具:1.Nmap2.Zmap3.Masscan11.2 Web应用安全1.web应用防火墙有硬件防火墙,软件防火墙,基于云的防火墙。2.入侵检测/防御系统(IDS/IPS)WAF 更多是基于规则的,有规则就会有绕过的可能性。针对这些绕过waf的请求,我们还需要借助入侵检测系统/入侵防御系统类产品对waf后端的流量进行分析,发现恶意行为。IDS 开源的有 Snort。3.漏洞扫描和渗透测试 针对暴露在互联网上的应用,我们自己也要展开定期扫描,内外部渗透测试等工作。漏洞扫描的工具常见的有 AWS,IBM Appscan,HP WebInspect,Nikto 等商业或开源的扫描器。渗透测试往往包含内部测试和外部测试,内部安全人员对业务理解透彻,更容易发现问题。考虑到内部人手等问题,企业一般会采购外部渗透服务,有一些是国家的评测中心等国家单位,有一些是绿盟,安恒,长亭科技这样的企业。建议多找几家,最好实现按漏洞付费,每个公司的渗透人员都有不同的经验和思路,多找几家往往能更加全面的覆盖到。11.3 系统安全未拦截到的请求到了DMZ服务器,对应用或者系统有什么样的影响呢?常规的 系统加固,web server 加固,目录权限设置等就不说了。恶意请求的目的可能是:
想利用上传功能直接上传一个webshell,利用文件包含功能直接饮用一个远程的webshell,利用文件解析漏洞上传恶意图片或者视频,触发特定漏洞执行命令,或者已经是
拿到webshell直接请求执行命令。如何有效的发现webshell,一般有几个思路:1.文件内容扫描,看是否有一些高危函数,黑客版本信息等2.结合文件变化及属性来判断3.结合网络流量特征来判断4.结合脚本底层执行动作来判断a) OSSEC : 开源的基于主机的入侵检测系统b) Sysmon : windows 建议使用 Sysmon11.4 网络安全假设某台服务器因为有漏洞已经被攻陷,黑客一般会在机器上进行各种翻找,甚至进一步探测其他网络。webshell 通常是为了方便提供反弹shell的功能,即主动外连到特定端口。如果前面我们的防火墙在外连这块做的不好,就容易出问题。针对这个隐患,建议
针对主动出站的连接进行记录,与学习到的基线或者自行维护的黑白名单进行对比,以发现问题,我们称之为"异常流量监测系统"。在DMZ环境下只需要主动关注外连
的情况,相对简单。在DMZ内网活动的时候,流量不一定会被镜像到,这时候我们需要借助蜜罐来发现异常。在每个DMZ网段内部署一到两个蜜罐,可以有效的发现针对内网的扫码和探测
行为。提到蜜罐,熟知的 honeyd。11.5 数据安全一个合法的web请求最后可能会涉及后端多种业务逻辑,跟数据库打交道。这里需要关注2个问题:1.到数据库的请求是否真的合法2.页面返回的信息是否包含敏感信息数据库审计类产品有两类:1.一种是基于proxy或者插件模式的2.一种是基于网络流量的一个正常的页面输出,可能会涉及银行卡,身份证,手机号等客户资料,一般需要进行脱敏处理。常规的 DLP 方案在这里需要经过一定的调整,重点不是分析 http
request,而是分析 http Response 信息。11.6 业务安全还有一个场景需要提到,就是互联网应用中与业务逻辑相关的安全问题,统称"业务安全"。例如,一个简单的登录页面,可能涉及人机识别,验证码,找回密码等功能,
而攻击者可能利用暴力破解,撞库等方式进行尝试;再例如,一个简单的查看个人信息页面,涉及session或cookie验证,而攻击者可能会通过修改url中的ID来查看其它人
的信息。还有一些是接口安全。这里的对抗,更多是从风控角度出发,收集access日志,业务日志进行分析,再结合外部情报(黑白名单库),机器学习等。11.7 互联网DMZ区安全管控标准除了上面的,还有一些涉及 上线流程管控,防ddos攻击等。常规的上线流程管控包括 主机上线前的扫描,应用上线前扫描,日志采集,安全防护软件部署,堡垒机
纳管等环节,建议与 ITIL 流程结合在一起。最后在 DMZ 区域还会部署类似 VPN,邮件等系统。
11.企业安全建设指南(金融行业安全架构与技术实践) --- 互联网应用安全相关推荐
- 新书推荐 |《企业安全建设指南:金融行业安全架构与技术实践》
新书推荐 <企业安全建设指南:金融行业安全架构与技术实践> 点击上图了解及购买 金融行业资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐. 编辑推荐 适读人群 :安全从业人员.金 ...
- 《程序员》11月精彩内容:大数据平台架构与技术实践
本期<程序员>呈现大数据平台架构与技术实践精彩内容,汇聚来自去哪儿.游族网络.链家网.万达金融等公司的技术专家,将带领读者共同探讨热门技术应用和实践优化,深入解析蕴藏的数据价值,展现时下大 ...
- 【SDCC 2016】电商架构专题干货七连发:探秘知名电商架构最佳技术实践
[CSDN现场报道]2016年11月18日-20日,由CSDN重磅打造的年终技术盛会 -- "2016中国软件开发者大会"(Software Developer Conferenc ...
- 企业级系统架构设计技术与互联网应用技术结合主题一 大规模并发性能问题探讨...
何谓大规模并发,不同层面有不同的理解 企业应用(Intranet):千级强并发,万级弱并发(在线用户),十万级用户 大型企业ERP.供应链,大型企业HR.办公OA 互联网应用(Internet):百万 ...
- 周四直播预告云技术社区创始人·肖力坐镇主讲「办公场景下的企业安全建设指南」...
- 金融行业网络架构与技术探讨
1.整体架构 整体是数据中心--一级分行--二级分行--支行的架构 拓扑: 需要考虑的核心需求和解决方案: 高可用性: 双中心.双设备.链路捆绑.动态协议.VRRP.生成树.BFD.防火墙的HA 设备 ...
- 11纯代码 oc xcode_iOS代码染色原理及技术实践
背景 随着业务的迅速发展,业务代码逻辑的复杂度增加.QA测试的质量对于产品上线后的稳定性更加重要.一般QA测试的工作流程分为两大项:自动化测试和人工测试.这两种测试后都需要得到代码覆盖率.自动化测试的 ...
- 《企业私有云建设指南》-导读
内容简介 第1章总结性地介绍了云计算的参考架构.典型解决方案架构和涉及的关键技术. 第2章从需求分析入手,详细讲解了私有云的技术选型.资源管理.监控和运维. 第3章从计算.网络.存储资源池等方面讲解了 ...
- 《企业私有云建设指南》新书出版
由我(山金孝)和业内几位专家联合出版的<企业私有云建设指南>由机械工业出版社于2019年2月已经出版,书中有关OpenStack的部分主要由我执笔,因为在之前编写<OpenStack ...
- 【干货】2021中国“企服企业”规模化获客体系建设指南.pdf(附下载链接)
省时查报告-专业.及时.全面的行研报告库 省时查方案-专业.及时.全面的营销策划方案库 大家好,我是文文(微信号:sscbg2020),今天给大家分享神策研究院和红杉资本联合发布的报告<2021 ...
最新文章
- 如何编写一个可升级的智能合约
- python charm下载安装教程-Python及Pycharm安装方法图文教程
- 苹果公司的企业文化_百度、苹果、脉脉等互联网大厂的企业文化衫还能这么潮?...
- visual stdio打开之后与屏幕尺寸不匹配_柔和点亮桌面,让眼睛更舒服,雷神屏幕挂灯L1体验...
- 基于node的登入例子(node-koa-mongoose)
- SQLite学习手册(索引和数据分析/清理)-转
- Spring MVC EL表达式不能显示
- redhat rpm 卸载mysql_Linux下卸载MySQL rpm包出现error: specifies multiple packages 解决
- 科大讯飞语音转文字_科大讯飞推出TWS真无线耳机:主打商务沟通,实时语音转文字...
- [PM2][ERROR] Script not found 和 npm in fork_mode
- linux入门生信,优秀学员的学习方法展示
- ORACLE之常用FAQ V1.0二(构架系统) (1)
- stm32无源蜂鸣器定时器_【STM32H7教程】第20章 STM32H7的GPIO应用之无源蜂鸣器...
- 企业如何布局数字化营销,打造私域运营闭环实现增长?
- xp系统怎么关闭wmi服务器,教你win10系统wmi服务器怎么关闭
- 最详细的Android图片压缩攻略
- 免费瘫软入院,付费发飙成壮汉,YoMail 想干嘛?
- 算法[第四版]-图灵程序设计丛书-笔记
- 美国亚马逊卖家注册美国商标需要多少时间和费用?
- Linux报You might want to save “/run/initramfs/rdsosreport.txt“ to a USB stick or /boot after mounting