本書(shū)分為三部分，第一篇是理論部分，第二篇為技術(shù)部分，第三篇為實(shí)踐部分

第二部分--技術(shù)篇?

一、辦公網(wǎng)絡(luò)安全

為什么要講辦公網(wǎng)安全，因?yàn)楝F(xiàn)在的滲透方式很多都是曲線迂回，對(duì)生產(chǎn)網(wǎng)絡(luò)沒(méi)有辦法的時(shí)候通過(guò)繞到辦公網(wǎng)，然后滲透到生產(chǎn)網(wǎng)的方式攻入內(nèi)部，所以說(shuō)辦公網(wǎng)的安全也是非常重要。傳統(tǒng)的中小企業(yè)對(duì)于辦公網(wǎng)安全最多就是劃分一個(gè)VLAN，安裝一個(gè)殺毒軟件就完事了。那么對(duì)于生態(tài)級(jí)或平臺(tái)級(jí)企業(yè)如何做辦以網(wǎng)絡(luò)安全呢？

一、劃分安全域

根據(jù)辦公PC的重要程度來(lái)劃分安全域：重度PC、中度PC、輕度PC。像研發(fā)、運(yùn)維人員對(duì)于電腦配置和網(wǎng)絡(luò)環(huán)境要求比較高，這類(lèi)PC就應(yīng)該劃入重度PC，對(duì)于客服、銷(xiāo)售人員平常只用上一下CRM等系統(tǒng)就可以劃到輕度PC。對(duì)于服務(wù)器和辦公網(wǎng)環(huán)境必須劃分安全域，隨著服務(wù)器數(shù)量的增多還需要?jiǎng)澐职踩佑?。?duì)于員工桌面環(huán)境，可以劃分安全子域。

二、終端管理：補(bǔ)丁管理、組策略、HIPS、NAC網(wǎng)絡(luò)準(zhǔn)入

基于BYOD的移動(dòng)辦公環(huán)境，需要嚴(yán)格對(duì)訪問(wèn)進(jìn)行限制。必要時(shí)可以上保壘機(jī)對(duì)于運(yùn)維操作進(jìn)行審計(jì)。補(bǔ)丁方面可以利用第三方的軟件類(lèi)似有LANDdesk等，或者微軟自帶的WSUS等。組策略可以根據(jù)主機(jī)中固策略做。

三、DLP

主要是研發(fā)和財(cái)務(wù)方面的數(shù)據(jù)非常重要，不能輕易就流出本公司，可以上此類(lèi)的數(shù)據(jù)防泄密產(chǎn)品。像賽門(mén)鐵克之類(lèi)的。

四、UTM、FW、IPS、AC、防垃圾郵件、網(wǎng)關(guān)防病毒等

通過(guò)在邊界部署相關(guān)設(shè)備對(duì)辦公網(wǎng)絡(luò)進(jìn)行監(jiān)控，像上網(wǎng)行為管理可以對(duì)辦公網(wǎng)的員工進(jìn)行監(jiān)視。辦公邊界部署安全設(shè)備可以有效阻攔垃圾郵件和病毒。

五、VPN

遠(yuǎn)程訪問(wèn)最好是要只允許訪關(guān)保壘機(jī)，通過(guò)保壘機(jī)進(jìn)行登錄后才能進(jìn)行操作。

六、介質(zhì)管理?

像分保要求一樣，對(duì)于U盤(pán)口進(jìn)行封堵，最好是機(jī)箱上鎖。對(duì)于移動(dòng)介質(zhì)做審計(jì)。

二、網(wǎng)絡(luò)安全

一、NIDS

像綠盟、啟明這樣的公司主要提供針對(duì)傳統(tǒng)企業(yè)的安全防護(hù)，像NIDS、NIPS等。這個(gè)主要是站在乙方的角度來(lái)看問(wèn)題。像平臺(tái)級(jí)的公司可能會(huì)老慮開(kāi)源的SNORT來(lái)做網(wǎng)絡(luò)層面的監(jiān)控。甚至是全站全流量的監(jiān)控。

二、T級(jí)DDOS防御

DDOS終深防御體系：第一層ISP近源清洗，第二層CDN硬抗/云清洗，第三層DC級(jí)近目的清洗，第四層OS/APP層搞CC。增加帶寬也是抗D的一種有效方式。

三、WAF

cname部署、module部署、網(wǎng)絡(luò)層部署\混合部署

三、漏洞掃描

周期性的漏洞掃描對(duì)于業(yè)務(wù)系統(tǒng)的安全還是非常重要的，對(duì)于互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)可以構(gòu)建分布式的漏掃平臺(tái)對(duì)全網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行掃描。通過(guò)調(diào) API實(shí)現(xiàn)大規(guī)模掃描。不過(guò)本書(shū)對(duì)于漏掃描述比較簡(jiǎn)潔 ，大概也是因?yàn)槁叩募夹g(shù)含量在大件看來(lái)不是很高的緣故吧。

四、代碼審計(jì)

代碼審計(jì)這一章也描述得比較簡(jiǎn)單，講了自動(dòng)化的審計(jì)產(chǎn)品---Coverity

五、移動(dòng)應(yīng)用安全

移動(dòng)互聯(lián)網(wǎng)時(shí)代，基于手機(jī)端APP的安全越來(lái)越重要，移動(dòng)端的安全有什么要注意的地方？移動(dòng)端的安全其實(shí)也或多或少用傳統(tǒng)的WEB安全那套來(lái)進(jìn)行安全管控，像沙箱機(jī)制，代碼審計(jì)，安全加固等，作者簡(jiǎn)單描述了兩種移動(dòng)端的主流系統(tǒng)安桌和IOS，針對(duì)這兩種系統(tǒng)的一些安全應(yīng)對(duì)方法。作者在業(yè)務(wù)架構(gòu)分析中提到要明確業(yè)務(wù)邏輯的判斷哪些是放在服務(wù)端哪些是放客戶端在架構(gòu)設(shè)計(jì)時(shí)就要進(jìn)行明確。

六、基礎(chǔ)安全措施

基礎(chǔ)部分的安全措施主要是：安全域的分劃，訪問(wèn)控制策略做好，做好主機(jī)端的漏掃加固操作，同時(shí)管理方面的制度也要建設(shè)好。做好服務(wù)器4A（賬戶、審計(jì)、授權(quán)、訪控）這里作者提到要注意辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的權(quán)限控制，避免通過(guò)辦公網(wǎng)作跳板攻入生產(chǎn)網(wǎng)。對(duì)于主機(jī)的安固可以從底層內(nèi)核層來(lái)進(jìn)行加固操作。同時(shí)還要做好補(bǔ)丁管理、日志審計(jì)、網(wǎng)絡(luò)層面的ACL。

七、入侵感知體系

1、主機(jī)入侵檢測(cè)，利用開(kāi)源產(chǎn)品OSSEC等，其實(shí)有點(diǎn)類(lèi)似于HIDS產(chǎn)品。上類(lèi)開(kāi)源產(chǎn)品如果真要能適合生產(chǎn)業(yè)務(wù)和需要，得進(jìn)行二次開(kāi)發(fā)，特別是一引起插件。

2、RASP

目前主流的WEB開(kāi)發(fā)框架是基于PHP和JAVA語(yǔ)言，作者詳細(xì)介紹了PHP RASP和JAVA RASP的檢測(cè)方法和技術(shù)架構(gòu)

3、業(yè)務(wù)層面的主要是檢測(cè)Webshell的能力：基于靜態(tài)文件的檢測(cè)、基于流量的檢測(cè)則是通過(guò)分析HTTP請(qǐng)示的數(shù)據(jù)進(jìn)行分析。

4、數(shù)據(jù)庫(kù)層面的話主要是對(duì)數(shù)據(jù)庫(kù)作審計(jì)：旁路型（傳統(tǒng)乙方廠商最常見(jiàn)的部署方式）、主機(jī)型、代理型?

5、建議入侵?jǐn)?shù)據(jù)分析平臺(tái)，類(lèi)似于360的天眼系統(tǒng)?；蛘呋贓LK自行開(kāi)發(fā)的。大數(shù)據(jù)首先是要選擇好架構(gòu)，對(duì)于收集的數(shù)據(jù)要進(jìn)行精簡(jiǎn)和結(jié)構(gòu)化。去重和去躁音后再進(jìn)行存儲(chǔ)。然后要進(jìn)行多維度關(guān)聯(lián)分析?？偨Y(jié)為：入侵事件數(shù)據(jù)化---入侵檢測(cè)模型化----事件分析平臺(tái)化。

6、對(duì)于僵尸網(wǎng)絡(luò)如何進(jìn)行防護(hù)

7、安全運(yùn)營(yíng)

八、防御架構(gòu)原則

攻防對(duì)抗主要體現(xiàn)在三個(gè)層面：信息對(duì)抗、技術(shù)對(duì)抗、運(yùn)營(yíng)能力對(duì)抗。信息對(duì)抗：知已知彼、情報(bào)優(yōu)勢(shì)；技術(shù)對(duì)抗：高維防守、建立優(yōu)勢(shì)、工程化；運(yùn)營(yíng)能力對(duì)抗：閉環(huán)運(yùn)營(yíng)、執(zhí)行力

互聯(lián)網(wǎng)企業(yè)核心需求：快速檢測(cè)、有限影響、快速溯源、快速恢復(fù)。

攻擊者視角三種方式：一種是直接正面進(jìn)攻，先獲得上層應(yīng)用的權(quán)限，然后上傳webshell，間間獲得系統(tǒng)shell，最后提權(quán)獲得rootshell。這是一般最常的攻擊方式。第二種是從正面進(jìn)攻無(wú)果后，從周?chē)湃斡蜷_(kāi)始下手，像災(zāi)備或鏡像站點(diǎn)、可會(huì)話中間人、相同內(nèi)網(wǎng)、密碼滿足同一規(guī)律、互聯(lián)互通信任關(guān)系等。獲取一占后再折返用第一種方式攻擊。第三種是直接針對(duì)生產(chǎn)網(wǎng)絡(luò)不行的時(shí)候通過(guò)社工的方式，針對(duì)管理員或辦公網(wǎng)的APT攻擊，水坑攻擊。

互聯(lián)網(wǎng)安全架構(gòu)設(shè)計(jì)原則

1、縱深防御

2、多給防御

3、降維防御

4、實(shí)時(shí)入侵檢測(cè)

5、伸縮性、可水平擴(kuò)展

6、分岸上式IDC

7、支持自動(dòng)化運(yùn)維

8、低性能損耗

9、能旁路則不串聯(lián)

10、業(yè)務(wù)無(wú)感知

11、去“信息孤島”

12、TCO可控

九、安全管理體系

1、相對(duì)管理體系全集

傳統(tǒng)廠商一般用的安全管理體系是ISMS，互聯(lián)網(wǎng)公司可以結(jié)合自身可以ITIL+SDL+SAMM為骨架的方式。

信息安全全集

2、組織

部門(mén)組織?

3、KPI

IT平衡計(jì)分卡

4、外部評(píng)價(jià)指標(biāo)

攻防能力、視野和方法論、工程化能力、對(duì)業(yè)務(wù)的影響力

5、最小集合

對(duì)于創(chuàng)業(yè)型公司，在流程層面需要應(yīng)對(duì)以下幾個(gè)方面：

1、建立事前的安全基線，各種安全編程規(guī)范、運(yùn)維配置規(guī)范等；

2、事中的發(fā)岸上&變更環(huán)節(jié)的安全管理；?

3、事后的救火機(jī)制；?

4、把救火逐步轉(zhuǎn)化為防御機(jī)制或?qū)ΜF(xiàn)有安全策略升級(jí)的流程

5、整個(gè)公司或至少業(yè)務(wù)線級(jí)中國(guó)日?qǐng)?bào) 周期性風(fēng)險(xiǎn)評(píng)估，

資 產(chǎn)管理、發(fā)布和變更流程、事件處理流程、安全產(chǎn)品研發(fā)、第三方合作（SRC）平臺(tái)同樣非常重要

發(fā)布流程示意圖

應(yīng)急響應(yīng)流程圖

10、隱私保護(hù)

第一部分 理論篇

第3章 ?甲方安全建議方法論

1、從零開(kāi)媽?zhuān)龔埍恚旱谝粡埍?組織結(jié)構(gòu)圖，第二張表：線上產(chǎn)品（服務(wù)）和交付團(tuán)隊(duì)的映射 ，第三張表全網(wǎng)拓樸圖、物理部署圖、各系統(tǒng)間的調(diào)用關(guān)系、服務(wù)治理結(jié)構(gòu)、數(shù)據(jù)流關(guān)系等。

ITIL ? ?SDL ? ??ISO27001