大话企业IT安全解决方案
作者: 陈盛荣
题记:
安全是个技术+管理(人、流程)的问题。
技术解决的层次1. 基础安全服务 (认证、授权、审计) 2. 基础设施层(IPS, WAF) 3. 软件层 3.1 OS 3.2 应用APP (协议、漏洞) 4.安全服务(服务开发、管理、运营)
管理解决的层次 1. 人 (安全意识、社会工程学) 2. 流程、制度方法论 3. 物理隔离
IT安全架构概貌
一、IT安全架构来由
IT安全架构在企业中存在,存在即是合理,但是为什么存在?那么IT安全存在的理由是啥?为了解决事件!为了解决企业在实现赚钱过程中出现的一个个安全事件。通过IT安全架构的规范指导,建设和完善企业的IT系统与数据资产、流程;通过技术手段和流程来控制、降低业务流程中的风险,提高企业利润顺利达成率。下图IT安全实践流程演示了IT安全架构的重要位置。
IT安全实践流程
二、IT安全架构设计方法
安全这东西,要是没有发生些什么事故,往往是不会得到重视的。况且安全与方便往往也是相悖的,所以在设计过程中,总要互相权衡。在保证业务可用的情形下,实施安全策略。
1. 风险分析 (节点)
目的是为了识别风险 (没有风险,安全防护就不存在了)
2. 安全架构设计通式
2.1 逻辑架构 (人+技术+流程)
安全边界、安全管理、安全情报CTR、安全响应、安全风险分析(big data analysis)、数据安全(隐私、泄密、灾难恢复)、应用安全(防病毒策略)、基础设施安全。
2.2 物理架构
网络拓扑 (IPS +TAP +WAF+FW +Router+ SW + host IP)。
网络场景(TAC、GRE、DMZ、Extranet、合资厂)。
3. 建立流程和规范
基于现在的业务场景考虑并且要着眼将来变化,trade off业务需求与安全考虑;流程可理解参考并且可实施。
4. 安全架构实施
资源(人力,财力),进行项目管理的方式,有timeline,有mile stone。
5. 安全可持续
5.1落实流程、安全变更走流程
变更有申请、审批、测试以及验证,在实施过程中,有日志可审计,复核以及后续分析。
5.2 整合安全流程、安全指导,供参考
5.3 技术提供监督、监控手段 (信息上报 + 漏洞扫描器)
三、风险控制
3.1 事前安全
在发生安全事件前,我们必须对有IT风险有清晰的分析。正所谓无孔不入,安全的防护城墙如果是密不透风的,那倒是挺安全的。但是偏偏我们的服务要对外提供,跟外部必须要有数据交换,于是没有办法,在城墙上只能打孔钻洞(譬如web http 80/443),甚至开一个城门(城际DC专线)等。进而,我们必须在洞、城门上安排哨兵(防火墙FW)放哨,来保证城墙的安全。
3.1.1 风险点架构性分析与整改
1. 现状+场景描述
网络拓扑架构收集,以及外网Hosting IP收集。
对于外网IP的收集,企业能否有自动收集整个网络拓扑中的IP?可以借助用户终端的工具,服务器工具收集,其他通过分析防火墙策略进行识别。
2. 风险
A 部署位置是否对?譬如proxy部署在DMZ区
B 安装的OS
C patch是否更新
D 端口开放是否合理,(多开、错开)
E 是否应该物理隔离,逻辑隔离(不同的VLAN)?
F 是否增加硬件隔离(譬如是否要FW)
G 是否安装杀毒工具软件
H 网络通道是否要加密 (譬如VPN通道)
I 配置是否正确
J 是否有审计日志
K 是否有权限控制
L 环境安全(风火水电)
M 员工权限管理(初始化、激活、冻结、回收)
N 密码管理 (复杂度,周期变更)
3. 整改建议
A 调整产品部署位置
B 根据安装的OS,识别出高危漏洞
C… 针对风险一一给出破解的招数
3.1.2 工具保证
1. 产品上线前扫描
对上线的产品,进行配置与代码的自动扫描,给出建议,最常见的譬如产品字段的,危险函数,缓冲区溢出,数组越界等。
对于Web类产品,通过CGI扫描器,对其进行常规漏洞测试,包括SQL Inject, XSS,Head, 跳转漏洞,弱密码,跨目录,CRLF攻击等等。
2. 加固的系统镜像,自动给系统漏洞patch
3.1.3 蜜罐诱饵的部署
为了方便快速识别入侵者,部署蜜罐,守株待兔。
3.2 事中安全
安全看起来,好像只有事前,事后。就是事前整治,事后擦屁股,不关事中什么事。
但是话说回来,如果事中能做到立体监控,动态发现,对事件的及时发现与风险的有效控制是有极大的作用的。
1 权限Review
定期自动化的权限Review,识别僵死权限,回收无用、或者过度授权的权限
2 认证持续改进
认证持续改进有两方面,一是要考虑用户体验,提升用户达到认证可达的情况,使用产品用起来,“爽”。
另一方面是在攻防背景下,认证的堵漏和补缺,也可考虑借力大数据分析。
3 审计操作
数据分析是这个环节的重点,建立识别风险的模型。
4告警监控
建立立体监控的网络,包括软件、硬件、服务,甚至风火水电要素。
5人员培训 (责权明晰)
培训安全意思,让每人了解自己的角色和工作要点,在发生安全事件的时候,能快速的响应,信息能平顺的流转到各个节点(人员)。
3.3 事后安全
我们不希望发生安全事件,因为一旦发生,都会有人站出来承担。但是如果一直没有类似的事件的话,安全也难以发展与进步,最重要的是领导可能无法感知安全的风险,也就无法给予足够的重视。
1 快速响应
发生安全事件后,考量第一是快速响应,知会相干人,并且止血。
2 加固
加固是个大话题,大可以到网络的安全加固,小可以到apk dex的加固,甚至是几行代码级别的加固。反正就是有事做,安全加固的级别不同,工作量也就不同。
3 总结
回顾整个安全事件,由于。。。。导致。。。。。加强。。。。。保证下次不再发生。
自动风险识别以及大数据结合的风险预警应该是不断前行的方向。
四、IT架构云方向
云计算是一种更方便的共享资源池(网络、服务、计算、存储、应用等)模型;一种支持按需扩容、缩容;保证高可用、可降低功耗的平台技术。
在云趋势的状况下,有专家建议是否企业网络边界的GRE区、DMZ区都迁移到公有云上,从而降低内网的安全风险。但同时对云安全的要求进一步提高了。
什么是云安全?参考《SymantecCloud Security Broker》的一个架构图:
云安全架构
构建云安全需要做下面四件事情:
1. 构建云的安全访问代理层 (Cloud AccessSecurity Broker)
从入口层级进行访问控制,可以更快的发现安全风险。
2. 构建云的数据保护层
云数据的安全是SaaS层的核心内容,通过DLP和Crypto等产品,识别核心数据资产,对数据进行分类,建立不同的数据安全等级。
3. 构建云风险发现平台
通过对IaaS层的workload&network,结合用户行为(UEBA UserEntity Behavior Analytics)进行大数据分析、预测,构建风险识别模型。
4. 构建云可视化平台
Seeing isbelieving.
更加方便的云安全的运维,帮助非专业人士理解云安全。
尾记:
作为读者而言是不是感觉 安全知识知道的越多,越感觉不安全呢?哈哈。其实安全知识了解的越多,越会认同一个道理,那就是世界上没有绝对的安全。电影《方世玉》中一位师伯,嘴巴经常挂着“安全第一”,但最终还是挂了。。。说到底,安全是为企业生存和利润服务的,如果企业的生存和利润都无法保证,安全自然也就没有意义了。
IT安全一直在进化和演进,从单机安全、集群安全到云安全,从主机物理化到虚拟化,技术在变化,安全也要跟上趟。
参考
1.http://www.opensecurityarchitecture.org/cms/foundations/osa-taxonomy
2.http://www.opensecurityarchitecture.org/cms/foundations/osa-landscape
3.http://aws.amazon.com/security
4. Get Your Headin the Cloud: A Practical Model for Enterprise CloudSecurity http://www.rsaconference.com/writable/presentations/file_upload/spo1-w04-get-your-head-in-the-cloud-a-practical-model-for-enterprise-cloud-security.pdf
5.10条云计算安全成功之路 http://www.cloud-council.org/deliverables/CSCC-Security-for-Cloud-Computing-10-Steps-to-Ensure-Success.pdf
6. http://www.hwclouds.com
7. http://e.huawei.com/cn/allproduct
大话企业IT安全解决方案相关推荐
- 《企业大数据系统构建实战:技术、架构、实施与应用》——第3章 企业大数据解决方案 3.1 企业大数据解决方案实现方式...
本节书摘来自华章计算机<企业大数据系统构建实战:技术.架构.实施与应用>一书中的第3章,第3.1节,作者 吕兆星 郑传峰 宋天龙 杨晓鹏,更多章节内容可以访问云栖社区"华章计算机 ...
- 企业桌面安全管理解决方案
企业桌面安全管理解决方案 解决方案是面向中型组织(最多 50 个服务器和 500 个客户端)中的 IT 系统管理员而设计的管理解决方案.部署本解决方案后系统采用单个控制台设计,IT 系统管理员可以轻松 ...
- 提供企业研发管理解决方案,ONES获600万美元A+轮融资,华创资本领投
9月12日消息,企业研发管理解决方案公司ONES宣布完成600万美元A+轮融资,本轮融资为华创资本领投,晨兴创投跟投.据了解,本轮融资将加速ONES产品研发和客户服务升级. ONES(深圳复临科技有限 ...
- 天翼云从业认证(4.9)工业企业上云解决方案
了解工业企业上云的背景.现状,以及天翼云工业企业上云解决方案: 工业云解决方案 天翼云平台结合丰富的行业平台服务和天翼云基础服务,提供端到端工业云解决方案,构建工业云自有生态:企业可快速搭建工业云平台 ...
- 企业数字化转型解决方案
2020年国务院常务会议明确指出,依托工业互联网促进传统产业加快上线上云.此前,工信部也在全国工业和信息化工作会议上表示,2020年要实施"5G+工业互联网"512工程. 和5G. ...
- 硬核 | 亚洲诚信@FreeBuf企业安全俱乐部,实力诠释“S/MIME可信企业安全邮件解决方案”...
2019独角兽企业重金招聘Python工程师标准>>> 想知道如何应对防不胜防的网络安全威胁? 想知道如何建立有效的企业安全建设方案? 想知道业内大咖 如何分析未来的数据治理态势吗? ...
- 连锁百货企业数据系统整理解决方案
连锁百货企业数据系统整理解决方案 1. 需求分析 1.1 数据系统背景 连锁企业发展越来越迅速,专业.系统及标准化的门店管理是连锁企业持续赢利.发展的根基,是门店竞争力的核心禀赋.一套系统化的管理工具 ...
- 集团性企业数据信息系统解决方案
集团性企业数据信息系统解决方案 总体需求分析 某商业集团是一家集精品百货.时尚百货.精品超市及大卖场.便利店为一体的大型现代化集团.此商业经过10年的发展,目前拥有2家大型百货商场,6家大型综合超市卖 ...
- 打造国内专业企业研发管理解决方案,ONES完成华创资本领投A+轮600万美元融资
近日,企业研发管理解决方案公司ONES宣布已经完成A+轮600万美元融资.本轮融资为华创资本领投,晨兴创投跟投.据悉,本轮融资将加速ONES产品研发和客户服务升级. ONES(深圳复临科技有限公司)成 ...
- DevOps落地实践:BAT系列:ALI:企业研发效能解决方案
BAT相关的DevOps解决方案或者产品到底有哪些功能,各自有哪些优势,着眼点和客户场景是什么,我们通过目前各自官方公布的相关信息来简单一探究竟.首先来看一下ALI的DevOps解决方案. 企业研发效 ...
最新文章
- 用手机就能实时给图像直线描边,速度不亚于目标检测,在线Demo可玩
- 【CSU - 1023】【HRBUST - 1039】修路(二分,枚举)
- mysql偏移注入_移位溢注:告别靠人品的偏移注入
- 1到100的偶数之和是多少_新射雕群侠传之铁血丹心手游新侠客独孤求败全渠道上线 新玩法桃花岛开启...
- OJ1059: 最高分(C语言)
- springboot学习过程中遇到的错误集
- 查看一个进程对应的端口号
- FP-growth算法,fpgrowth算法详解
- UTM 投影坐标系条带号Zone与EPSG代号计算(Python 实现)
- php ksc歌词,KSC字幕制作方法 KSC歌词编辑教程
- 在ourdev上看的一个帖子
- R/ggplot2保存图片中文字体至PDF——showtext包一文清除所有障碍
- Mac键盘突然失灵怎么办?别急,教你打开辅助键盘
- aid learning安装应用_aidlearning下载-Aid Learning 安卓版v0.80-PC6安卓网
- PHP替换指定字符 阿星小栈
- uniapp使用阿里云OSS直接上传文件
- Right-BICEP 测试四则运算程序
- 论坛php 图片上传,Discuz! X3 论坛文件图片上传尺寸:小于2M的修改方法
- 深度学习100问之深入理解Regularization(正则化)
- 如何搭建属于自己的腾讯云服务器