前言某天深夜,身为一名安全从业者,穿着大裤衩,坐在门前,点着烟(想象中的图片)并开始思考企业如何构建自己的防御体系安全体系,虽然这不是月薪3k应该考虑的问题,但毕竟笔者的职业理想是成为刀哥和刀哥那样的人为安防行业做贡献。所以我写下了我的想法。对于中小企业,希望完善自己的安全体系,花最少的钱做好安全工作;扫描仪执行定时任务,打开目录搜索并休眠!随着国家现代化和信息化的不断推进,5G时代的到来,很多企业开始慢慢数字化。我们感受到信息化带给我们的方便快捷,无论是衣、食、住、行,都从青铜升级为黄金。这一点我深有体会!那么在信息化高速发展的道路上,一个不容忽视的大问题就是安全问题!!!相信很多人都和笔者一样接到过一些销售电话,比如XX贷款、房屋买卖等,那我们就不得不问一个问题,在如今这个天天面对手机的时代,去上厕所很困难。在刷脸抖音的时代,我们的个人信息如何得到保护?谁来保护它?国家是否应该出台安防行业规则?企业面临的安全问题依然十分严峻。虽然你的网站使用的是https,但是这也避免了病毒对业务的影响,国家也提出没有网络安全就没有国家安全,企业安全问题的整治力度也在加大。我们知道我们的安全1.0到2.0变了,比以前严了。是的,对物联网和云加大了安全工作,同时加大了对一些不整改企业的处罚力度。同时,不同行业也推出了自己的安全管理体系。作者看过《银行安全管理体系》真的不错,有空可以看看。可见,安全问题已经不是企业可以回避的问题。面对庞大的安全体系,笔者将尝试从不同的维度向大家进行描述和解释。面临的问题架构:运维业务应用内部运维:服务器配置问题未更新补丁使用漏洞中间件和服务弱口令等业务:活动推广账户系统交易系统风控系统及其他应用:web漏洞app漏洞内部:安全意识不足办公网络补丁wifi密码钓鱼邮件老板信息政府领导名单学生学生证公司工号等敏感信息安全体系建立(防御)这是我自己规划的安全架构设计图(勿喷)原因特此呈现,希望大家在阅读本文时能够有所参考。在设计架构的时候,安全部门应该参与并融入一些安全概念,比如考虑后期的anti-D方案架构设计。网站是否负载均衡和分布式,是否上CDN,在架构设计上要考虑分层思考,边界防御,纵深防御(主机安全如ossec,应用安全如waf,边界安全,如snort)和其他想法!网络方面,要考虑设备冗余,交换机采用HA部署方式。网站结构方面,是否采用站库分离、前后端分离。同时,全层的架构设计也要结合MEP2.0进行设计,这也有利于MEP后期的升级。如果上面是一个公司的网络拓扑图,我们应该从哪些方面设计好,下面我会一一和大家分享我个人的看法。我认为企业应该从以下三个维度不断提升自身的安全防御能力。1、基础安全:对于基础安全,我们可以从四个方面来做。(1)数据安全体系:数据集中、访问权限管理、数据防泄露(DLP、USB控制)、敏感信息泄露(GIthub扫描)、数据备份、数据安全审计、文件内部水印等,保障数据安全安全监控,从防止攻击者进入、带走、了解、溯源等方面制定不同的安全策略。(2)安全技术体系:办公内网(网络隔离、补丁管理、文件共享管理、上网行为管理AC、多层防火墙部署方法及ACL策略制定、终端防病毒软件防护、防病毒网关、反钓鱼邮件解决方案解决方案基于恶意链接和可执行程序特征、WIFI接入点和强度覆盖安全)、服务器安全(堡垒机、主机漏扫、web漏扫、HIDS、ids基于全流量检测产品,高交互蜜罐、虚拟专用网、基线差异化应用、系统标准制定、中间件安全加固、补丁升级测试主机、服务器定时备份、内部DNS建立、嵌入式目录监控、webshel??l监控系统建立)、身份认证、日志管理可视化分析展示,安全审计。Hifish蜜罐:Splunk日志可视化:代码审计Fortify:缺少扫描系统:GitHub监控:内部DNS:Jumpserver:HostFirewalld:(3)安全管理系统:管理系统(针对不同部门开发不同的安全系统),问责制的实施,合规、安全意识培训(非常重要)、安全开发SDL(代码开发前全程跟踪,从开发前不同部门的专人安全培训到上线前静态审计、动态测试、黑盒测试,最后安全部署上线)、安全运营(资产巡查、安全产品Nissan运维、防泄密监控githubScan、安全事件分析判断、0day规则制定)、第三方产品安全监控(4)应急响应体系:不同安全事件响应、BCPTeam建设,灾难恢复规划。2、安全体系:GDPR数据保护条例(数据对象的义务)、ISO27000等。最重要的是要通过黑盒测试,因为HW这几年越来越流行,也成为了一个判断系统是否安全的标准。还需要定期对各种业务系统进行模拟黑客渗透测试。Web安全渗透:框架漏洞、中间件漏洞、文件上传、服务器端信息泄露、跨站xss、sql注入、Web安全基础、劫持攻击、业务逻辑漏洞、代码执行、命令执行、文件包含、解析漏洞、系统服务组件漏洞。渗透后:权限提升、权限维护、内网漫游、横向渗透、域渗透代码审计:命令执行、url跳转、任意文件上传、目录遍历、Struts2框架漏洞、Spring框架漏洞、SQL注入、xss漏洞、java代码审计环境、软件安全开发、XXE漏洞、SSRF漏洞总结企业的防御离不开对攻击方式的了解。只有掌握了这些攻击方式、常见漏洞和合规管理方法,才能保护我们的企业系统免受攻击风险。安全从来都是红蓝对峙的问题。
