《2021大型互联网企业安全架构.docx》由会员分享,可在线阅读,更多相关《2021大型互联网企业安全架构.docx(238页珍藏版)》请在课桌文档上搜索。
1、大型互联网企业安全架构1 .第1章安全理念2 .第2章国际著名安全架构理论3 .第3章大型安全体系建设指南4 .第二部分基础安全运营平台5 .第4章威胁情报6 .第5章漏洞检测7 .第6章入侵感知8 .第7章主动防御9 .第8章后门查杀(AV)10 .第9章安全基线11 .第10章安全大脑12 .第三部分综合安全技术13 .第11章安全开发生命周期14 .第12章企业办公安全15 .第13章互联网业务安全16 .第14章全栈云安全17 .第15章前沿安全技术第1章安全理念信息安全技术发展至今,各种安全组织和标准应运而生并不断完善,同时企业面临的安全风险也与日俱增且日趋复杂。组织和标准的制定往往
2、滞后于安全风险的演变,因此互联网企业往往需要具备先进的安全理念以适应新时代信息技术快速迭代的安全需求。1.1 安全组织与标准讲到信息安全就不得不提到IT治理,IT治理是企业在信息时代面临的重要治理内容,进行IT治理能确保IT应用完成组织赋予它的使命,并实现组织的战略目标。IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。按照IT治理的对象不同,我们可以将IT治理的服务划分为5类:IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。通常,IT治理对应的管理职位是首席信息官(CIO),而信息安全是IT治理中的重要一环,对应的管理职位为首席信息安全官(CISO)o随
3、着IT治理自动化的普及,信息安全变得越来越重要,也有互联网企业直接将信息安全划归到CEO的职责范围。下图为IT治理福槊图。IT管理IT部门与人员IF程与活动Il资源IT治理IT战略IT架构IT组织业务需求投资组合基础设施信息安全IT生命周期组织与规划建设与开发运行与维护评估与优化IT最佳实践CobitAZaIItITOGAF/EAICMMIIIT1LIS0200IPMBokPrince2ISMSISO271IBS25999IT治理领域涉及的标准及规范众多,在IT治理的每个阶段,其覆盖内容及相应的标准如下表所示。阶段覆盖内容标准IT规划设计业务设计TOGAF.ZaChman、SAM、BPR架构设
4、计SOA,BSP、SSTIT建设交付IT项目管理PMBOK、PRINCE2.ICBIT质量控制TQM、CMM,TicklT,Scrum、MSP.IS09000IT软件开发RUP、CMMIIT运营管理外包管理eSCM-SP.ISPL.ITS-CMM运维管理ITIL、BiSLeTOM.IS020000.ASL.EFQM、AS8OI5IT绩效价值ITBSC、FEA、EAFIT内控审计COBIT.IS038500IT风险安全风险COSo-ERM、M_o_R信息安全lS2700kISO13335业务连续性GB20988、BS25999通用方法论Six、Sigma、PDCA、CSF、SWOT、RACI合规
5、性SOX404.HIPPA、C-SOX、GLBA、DJCP、CSASTAR.PClDSS.GDPR下面对IT治理常用的标准分别做一下具体说明。 第一个IT治理国际标准:ISO38500ISO38500是有关IT治理方面的国际标准,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了被大众正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理在理论上得到统一。 信息及相关技术的控制目标:COBrrCOBIT(ControlObjectivesforInformationandrelatedTechnology,信息及相关技术的控制目标)由ISACA
6、(InformationSystemsAuditandControlAssociation,国际信息系统由计协会)发布并维护。COBlT是把IT处理过程与公司业务要求相连接的控制框架。从IT战略融合、IT价值交付、IT资源管理、IT风险管理、IT绩效测评这5个方面提出了具体要求,并提出了IT审计的技术方法。从1998年增加了管理方针的版本开始,CoBrr越来越多地被作为IT治理框架来使用,并提供诸如衡量标准和成熟度模型这样的管理工具来作为控制框架的补充。 IT基础架构库:ITILITIL(InformationTechnologyInfrastructureLibrary,IT基础架构库)汇集
7、了在IT服务管理方面前最佳实践,包括业务管理、服务管理、ICT(InformationandCommunicationTechnology,信息和通信技术)基础架构管理、IT服务管理规划与实施、应用管理和安全管理等6个模块。它关注IT服务的过程并考虑了使用者的核心作用,对IT的应用、管理、变更、运维等方面提出了要求,明确了每个阶段、每个环节的目标和工作流程。以ITILv3为基础的国际标准ISO/IEC20000:2005IT服务管理体系于2005年正式颁布。 信息安全管理体系要求:ISO/IEC27001:2005系列目前应用最广泛的信息安全管理标准,适用于各种性质、各种规模的组织,如政府、银
8、行、ICT企业、研究机构、外包服务企业、软件服务企业等。该标准偏重于安全,从组织架构、人力、安全策略、访问控制等11个方面提出了信息系统管理的要求和操作实践。该系列标准已被定为国家标准,参见GB/T220802008和GB/T22081-2008o 受控环境中的项目管理:PRlNCE2PRINCE2(ProjectsInControlledEnvironments2)是基于过程的结构化的项目管理方法,定义每个过程的关键输入、需要执行的关键活动和特殊的输出目标。PRINCE2为包括IT项目在内的项目管理提供了通用的管理方法,内置了已在项目管理实践中被证明的最佳实践。除了上述IT治理的标准,还有一
9、些互联网企业常见的安全标准规范,如ISMS、DJCPsCSASTAR、PCIDSSsGDPR等。ISMSISMS(InformationSecurityManagementSystem)的全称为信息安全管理体系,起源于英国标准+办会(BritishStandardsInstitution,BSI)20世纪90年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。基于国际标准ISoIEC2700L2005的ISMS是国际上公认的先进的信息安全解决方案。在信息安全管理方面,ISOIEC2700L2005已经成为世界上应用最广泛的典型的信息安全管理标准,它是在BSI/DISC的B
10、DD/2信息安全管理委员会指导下制定完成的,最新版本为ISo27001:2013。除了IS027001,还有IS027002,IS027001主要侧重于要求的标准,IS027002侧重于信息安全管理的最佳实践,所以一般认证都是基于ISO27001进行的。ISO27001就像是一本信息安全相关的百科全书,基本涵盖了信息安全的方方面面,一般是信息安全认证的必备选项。关于ISMS的详细介绍可以参考官网资料(即参考资料1)。DJCPDJCP即信息系统安全等级保护认证,是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安
11、全保护的标准。等级保护根据信息系统的重要程度由低到高划分为b5这5个等级,根据安全等级实施不同的保护策略。一般的信息系统通过3级测评就达到了合格的安全标准,之后相关机构会为通过测评的信息系统颁发安全等级保护认证证书并在公安系统为其备案。很多行业要求达到GB22239-2008信息安全技术信息系统安全等级保护基本要求中第三级对应的安全指标要求,等级测试可以找专门的测评备案公司来做。关于DJCP的详细介绍可以参考官网资料(即参考资料2)。CSASTARCSASTAR(CSASecurity,Trust&AssuranceRegistry)的全称为云安全可信与保障认证,是一项全新而有针对性的国际专业
12、认证项目,由全球标准奠基者英国标准协会(BSI)和国际云安全权威组织云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。云安全可信与保障认证以ISO/IEC27001认证为基础,结合云控制矩阵(CCM1CloudControlMatrix)的要求,运用BSl提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与,策略、计划、流程和系统性方法,技术和能力,所有权、领导力和管理,监督和测量等5个维度,综合评估组织在云端安全管理和技术方面的能力,最终给出独立第三方外审所做的结论。CSASTAR是提供云服务的企业必备的信息安全认证,详细介绍可参考官网资料(即参考资
13、料3)。PCIDSSPCIDSS(PaymentCardIndustryDataSecurityStandard)的全称为支付卡行业数据安全标准,是支付卡行业必备的安全认证,由PCl安全标准委员会的创始成员(VISA、MasterCardAmericanExpresssDiscoverFinancialServicesxJCB等)制定,致力于成为一套在国际上一致采用的数据安全措施。PCIDSS对所有信用卡信息机构涉及的安全方面做出了标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求等,全面保障交易安全。PelDSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、
14、发行商和服务提供商,以及储存、处理或传输持卡人资料的所有其他实体。关于PClDSS的详细介绍可参考官网资料(即参考资料4)。GDPRGDPR(GeneralDataProtectionRegulation)的全称为一般数据保护条例,是一个合并的法律框架,由欧盟推出,旨在保护自然人的基本权利和自由,特别是保护个人数据的权利。这是一项强制性法律,要求企业遵守整个欧盟适用于个人数据业务的条款。GDPR取代了存在了20年的数据保护指令(95/46/EC)o该条例明确了企业对个人数据的保护要求和处罚措施,大大加强了对个人数据隐私的保护。其他各国也纷纷参考GDPR建立自己的相关标准,例如我国最近提出的信息
15、安全技术个人信息安全规范。关于GDPR的详细介绍可参考官网资料(即参考资料5)。以上对常见安全组织与标准做了一个大概介绍。随着信息网络的全球化快速发展,网络违法犯罪呈多发态势,为此各国也纷纷制定了自己的网络安全相关法律,比如我国的中华人民共和国网络安全法。法律法规对隐私保护的逐步完善也迫使各个企业需要加大企业信息安全的相关投入和建设,保障自身信息安全,并遵守国家法律要求。1.2 企业安全风险综述信息安全直接关系到企业的生存和竞争力,笔者会通过实例从多个角度阐述一般互联网企业所面临的安全风险。1.2.1 业务与运维安全业务与运维安全通常又被称为生产网安全(DeVSeCOps)。下面分别从业务开发
16、和基础运维两个层面来具体看一下相关的安全事件。业务开发互联网企业涉及的研发业务主要为Web服务、APP移动应用以及PC(个人电脑)端软件等。由软件开发人员安全编程能力(SDL)差、安全意识薄弱以及配套的企业安全制度规范及流程建设不到位造成的安全开发问题比比皆是,例如大规模数据泄露事件,详情请见参考资料6。这其中不乏各种大型知名互联网企业。有很多安全事故产生的原因都是研发人员进行开发时编写了有漏洞的代码。已经流行了几十年的SQL注入漏洞依然是最主要的数据泄露元凶之一,常年占据OWASP十大漏洞榜单。2016年,雅虎公司发生了用户数据被盗事件,直接导致该公司股价跌幅超过6%,甚至影响到VeriZO
17、n公司斥资48亿美元对雅虎核心互联网业务的收购。而与金融相关的产品漏洞对公司生存的影响是最为直观的,大量以比特币为首的区块链加密货币交易平台被黑客入侵后直接宣布破产。目前,知名的加密货币以太坊便出现过多个相关设计漏洞,例如TheDAo事件。TheDAO是一个去中心化的风险投资基金,以智能合约的形式运行在以太坊区块链上,为以太坊筹集资金。在TheDAO创建初期,任何人都可以向它的众筹合约发送以太币,获得DAo代币。2016年6月18日,该智能合约中的WithdraWReWardFOr递归调用逻辑漏洞导致360万以太币被盗。无独有偶,2017年7月19日,以太坊钱包Parity同样因为一个名为Wa
18、IIet.so的多重签名智能合约而出现漏洞,使得15.3万以太币被盗。基础运维业务开发(Dev)完成后,就进入运维(OPS)阶段了,该阶段的资产管理、漏洞与补丁管理、安全配置基线、应急响应等如果没有做好也容易造成各种安全风险。例如由于开发过程中引入了大量第三方组件,如果没有持续进行漏洞与补丁管理,那么时间一久就会积累大量的安全漏洞隐患。2017年9月,美国征信巨头EqUifaX确认1.43亿条用户信用记录被黑客入侵窃取,被窃取的信息包括用户名、社会保障号、出生日期、家庭住址,以及一些驾驶证号码。该事件的起因竟是2017年3月6日曝光的APaCheStrUtS2漏洞CVE-20175638,Eq
19、UifaX在漏洞出现的两个月内都没有修复,导致5月份黑客利用这个漏洞进行攻击,其敏感数据被泄露。该事件使得EqUifaX的股价下跌了超过30%,市值缩水约53亿美元。122企业内部安全企业内部安全通常又被称为办公网安全。据统计,70%以上的安全威胁来自企业内部,因此保障企业内部安全非常重要。企业内部安全有如下几种类型。隔离安全隔离包括网络隔离和物理隔离。网络隔离主要包括网络边界隔离,例如VPN、防火墙、Wi-Fis部门间的网络隔离等。物理隔离主要包括门禁系统、摄像监控等方面的隔离。例如某国内大型电商公司的VPN由于没有使用动态口令验证,使得黑客可以通过撞库攻击获得员工账号及密码,登录后入侵Za
20、bbiX管理端,直接控制上万台服务器。由于Wi-Fi没有使用证书认证或动态口令,因此导致安装有WLFi万能钥匙手机APP的员工泄露了公司的WLFi账号信息,使得黑客可以通过WLFi万能钥匙进入公司内网。还有很多创业公司由于门禁系统管理松散,使得很多第三方人员可以随便出入,也给公司带来了很大的信息安全隐患。2017年5月,著名的网络军火商HaCkingTeam的400GB数据被盗,包括一些核心产品的源代码、电子邮件、录音和客户详细信息,以及HaCkingTeam掌握的大量漏洞和攻击工具。根据事后解密发现,被入侵的原因竟是黑客利用了该公司一个网络出口路由器的漏洞,入侵路由器后进一步入侵了内网大量的
21、服务器。终端安全终端主要包括PC、打印机、电话及BYoD设备等CPC通常需要安装集中管理杀毒和补丁的管理软件。2014年12月,索尼影业由于被黑客攻击导致大量员工的PC被入侵而无法工作,内部邮件系统瘫痪一周,部分未上映影片和内部邮件泄露,给公司带来了巨大损失。其他类似的终端设备,例如打印机等,通常由于很少被关注和升级也存在大量安全隐患,非常著名的相关事件是,在伊拉克战争中,美军利用伊拉克的一台打印机的后门入侵伊拉克军事指挥和防控系统,使伊拉克输掉了一场战争。2017年2月,一个自StaCkOVerf1。Win”的黑客侵入了超过15万台打印机,被入侵的这些打印机全部都打印出了这名黑客留下的警告信
22、息“yourPRINTERHASBEENPWNDD”。其实早在2017年月份,3名来自德国波鸿鲁尔大学的安全研究者便发表了一篇文章,揭露了大量打印机存在的安全漏洞,详情请见参考资料。2018年8月3日晚,台积电的新设备感染了WannaCry勒索病毒的变种,在接入厂房生产设施的网络后导致大量未打SMB漏洞补丁的WindoWS7系统被感染,一度造成工厂停工,直接损失1L5亿元人民币。办公系统安全办公系统主要包括Mail、OA.CRM、ERP、HR、Be)SS等方面的系统,还有针对研发的代码管理和测试系统(如SVN、GitsWikisJenkinS系统等)。始于2013年的Carbanak犯罪团伙向
23、不同银行的近千名职员发送了带后门的钓鱼邮件,进而入侵他们的电脑,植入Carbanak木马和CobaIt木马,控制银行的网络和服务器,获取高级权限,进而修改账户余额,将资金转移到虚假账户并提现,或者命令受感染的ATM机直接吐钱,然后用这些钱去购买加密货币,借以洗钱。至今,该犯罪团伙已入侵全球40多个国家和地区(俄罗斯、日本、瑞士、美国、荷兰、中国台湾等)的100多家银行、电商公司和金融机构的系统,造成大约10亿美元的损失。这期间,在中国轰动一时的是,2016年7月11日台湾第一银行在多地的41台ATM机自动吐钱的大事件。很多公司内部的办公平台都存在不同程度的安全隐患,比如邮件缺乏防病毒网关而导致
24、电脑感染木马、系统登录缺乏双因素认证而导致利用社会工程学(社工)的暴力破解、存在OWASP十大漏洞而导致内部信息泄露、众多系统未及时打安全补丁而使黑客可以通过SSRF入侵等,而这些安全隐患直接关系到企业是否能正常运营。员工安全涉及员工安全的问题比较多,比如弱口令、离开工位后电脑不锁屏、外部人员尾随进入、私自接入BYOD设备、安装盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务、将公司最新产品的未公开信息告诉亲朋好友等。这些问题造成的最大也最普遍的危害就是数据泄露,内部安全做得好不好和是否进行了有效的员工安全意识培训、是否具备完善的安全流程制度及技术管控手段息息相关。随着GitHUb的
25、流行,很多互联网公司的员工都喜欢把自己开发的相关代码上传到GitHUb以便之后使用,问题是很多代码都包含内部邮箱账户、数据库账户甚至加密认证的密钥等敏感数据。例如,Uber公司宣布司机数据库在2014年5月遭到攻击,导致50000名司机的信息(包括司机姓名和驾驶证号码)泄露。经过调查,Uber发现本是机密的司机数据库的访问账号和密码竟然公然出现在GitHUb公共区域中!黑客发现并利用这些密钥窃取了Uber内部的数据库。还有一些安全事故是由有主观意愿的内鬼导致的。例如,国内电商行业一半以上的数据泄露是内鬼所为,阿里巴巴、京东等都出现过员工出售用户数据的案例。2017年阿里巴巴发布的电商生态安全白
26、皮书报告称,数据最大的泄露源是商家和物流方,泄露比例分别占36%和35%。数据泄露的原因中,49%是公司内部出现内鬼,16%是账号出现问题,14%是受到木马攻击。一部分账号类风险也与内鬼有关,例如有些电子商务(电商)和物流公司的员工会把自己的账号对外出租。123法律法规与隐私保护随着网络的蓬勃发展,世界各国的政治经济的正常运行越来越依赖网络。为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,各国近年来纷纷制定了相关法律及规范,例如信息安全管理体系ISO27001、IT服务管理体系IS020000、业务连续性管理体系ISO
27、22301、美国NIST网络安全框架、我国等级保护测评(DJCP)s云安全国际认证(CSASTAR).美国企业隐私标准认证、通用数据保护条例(GDPR)以及各国其他相关法律等。而美国也制定了相对完善的法规,如教育行业有家庭教育权和隐私权法案(FERPA)和儿童在线隐私保护法(COPPA)f金融服务行业有PeIDSS和AlCPA支持的相关法案,政府方面有FedRAMP支持的相关法案、NISTCybersecurityFramework,医疗健康行业有HlPAA法案,媒体与娱乐行业有MPAA支持的相关法案,而像IS027001s云安全ISO27017和云隐私ISO27018、PCl这样的标准也适用
28、于电商等其他行业。其中对我国互联网企业影响比较大的是欧盟的GDPR、我国的中华人民共和国网络安全法以及与之配套的信息安全技术个人信息安全规范。这些法律规定企业有义务加强自身信息安全防护,保障用户数据隐私安全。GDPRGDPR(GeneralDataProtectionRegulation),即通用数据保护条例,于2018年5月25日在欧洲联盟(简称“欧盟”)实施,被称为史上最为严苛的个人数据保护条例。在处理个人数据时一旦被欧盟认定违规,最高处罚金额可达2000万欧元或企业全球年营业额的4%(两者中取其高值)。对一些中小企业来说,巨额罚款无异于灭顶之灾。而即使是亚马逊这样的科技巨头,营收的4%也
29、已经基本超过了净利润。2018年4月,FaCebook因CambridgeAnaIytiCa引发的数据泄露问题,使其CEO扎克伯格不得不出席为期2天的美国国会听证会,特别是第二天扎克伯格孤身一人接受了44位美国议员5小时的连番质问,并接受了欧洲议会质询。2018年6月13日,英国家喻户晓的跨国电信公司DiXonSCarPhone宣布正在调查“大量客户数据被非法访问”事件,官方对事件的具体描述为“黑客试图在CurrysPCWOHd和DiXonS旅行商店的一个处理系统中破坏客户590万张信用卡和120万条包含非财务数据的记录,如姓名、家庭住址、电子邮件地址”这可能是英国有史以来最大的数据泄露事件。
30、如果根据GDPR规则处理整个事件,英国信息专员办公室(InformationCommissionerOffice,ICO)有可能对DiXOnSCarPhOne进行罚款,使其年收入降低4%。2017年,该集团报告的总销售额达105亿英镑。GDPR下的罚款可能高达数亿英镑。而根据英国1998年颁布的数据保护法案进行处罚的话,最高罚款仅为50万英镑。在欧盟统一使用GDPR后不久,隐私保护组织noyb.eu便分别代表4位欧盟公民向奥地利、比利时、法国、德国的当地监管机构提起申诉,控诉GoOgle、Facebook.WhatSApp、InStagram这4家公司违反GDPR的规定,请求对其发起进一步调查
31、,确定其用户权利是否被侵犯,请求禁止其相关数据处理行为,并处以惩戒性罚金。中华人民共和国网络安全法中华人民共和国网络安全法于2017年6月1日实施。第六十四条规定“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”2017年8月1
32、2日,蚌埠市怀远县教师进修学校的网站因网络安全等级保护制度落实不到位,遭黑客攻击入侵。蚌埠市公安局网安支队在调查案件时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。根据中华人民共和国网络安全法第五十六条的规定,省公安厅网络安全保卫总队约谈了怀远县教师进修学校法定代表人、怀远县人民政府分管副县长。蚌埠市公安局网安支队依法对网络运营单位怀远县教师进修学校处以15000元罚款,对负有直接责任的副校长处以5000元罚款。2017年9月,广东省通信管理局查实,广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品
33、服务存在安全缺陷和漏洞风险,未能及时全面检测和修补,已被用于传播违法有害信息,造成不良影响,依据中华人民共和国网络安全法第二十二条的规定,责令该公司立即整改,采取补救措施,并要求其开展通信网络安全防护风险评估,建立新业务上线前安全评估机制和已上线业务定期核查机制,对已上线的网络产品服务进行全面检查,排除安全风险隐患,避免类似事件再次发生。124供应链安全近几年,随着供应链安全事故频发,供应链安全也被逐渐重视起来,常见的供应链风险通常会发生在基础设施、生产软件和加密算法这3个方面。基础设施2016年,来自密歇根大学的研究人员演示了在芯片制造过程中植入硬件木马的可行性。同年,美国卫报记者格伦格林沃
34、尔德在新书无处藏身中揭露了NSA(美国国家安全局)截获从美国出口到国外的路由器、服务器和其他计算机网络设备,安装后门监听工具并重新通过工厂包装打包后再发往海外,持续监控国外网络信息的丑闻。近几年,IntelCPUME模块接连出现安全漏洞,例如近期出现的MeltdOWn漏洞和SPeCtre漏洞,影响范围之广令人惊叹。由此可见基础设施供应链安全所面临的威胁之大,以及选择可信伙伴的重要性。随着技术的发展,不少厂商也对硬件使用带有根秘钥等功能的可信芯片来保证软硬件的完整性,例如GoOgle的Titan可信芯片。生产软件从2015年开始,与生产软件相关的供应链安全也逐步进入大家的视野,这里列举一些影响比
35、较大的案例:与研发相关的苹果编程开发软件XCOdeGhOSt的二次打包事件导致12306、滴滴打车等众多iOSAPP被感染,与运维相关的SSH客户端软件XSheil被黑客植入了后门导致全球大量服务器SSH账号被盗。此外,还有PythonPiP源污染事件,以及与普通用户相关的CCleaneI后门事件。早期的相关事件有2009年CentoS官网遭黑客入侵事件以及2011年LinUX内核官网被黑事件。加密算法加密算法在很多方面都是保障安全的基础。2013年12月,路透社曾爆料称著名加密产品开发商RSA在收取NSA上千万美元后,在其软件BSafe中嵌入了NSA开发的、被植入后门的伪随机数生成算法(Du
36、al_EC_DRBG,双椭圆曲线确定性随机数生成器),NSA还使该漏洞算法通过NlST(美国国家标准与技术研究院)认证,使其成为安全加密标准,从而使得该算法成为大量软件产品默认使用的随机数生成器,从而使得利用某些万能钥匙破解加密成为可能。另一个更早的事件是2011年3月RSA被入侵从而导致SeCUrelD双因素认证token由数堀泄露,间接使得大量使用RSA双因素认证key的用户受影响。1.3 业界理念最佳实践不同的公司对安全理念有不同的理解。这里先谈谈阿里云7年安全实践总结出的“1+3”安全运营管控理念,即通过“安全融入设计、自动化监控与响应、红蓝对抗与持续改进”这3个安全手段,实现保障用户
37、数据安全这个核心目标。阿里云设计之初就充分考虑了安全架构,将安全基因融入了整个云平台和各个云产品中。而很多公司都是在出现安全问题后才开始重视安全,这导致后期安全的切入成本比较高,难以将安全深入到业务中。这好比一栋楼房在经历地震后才考虑加固,这时再加入钢筋,采取减震措施等就困难了。老子言:“合抱之木,生于毫末;九层之台,起于累土;千里之行,始于足下。”早打基础的安全架构更牢固。同时,当公司达到一定规模时,安全的自动化监控与响应就显得尤为重要,我们不可能纯靠人力去处理上万台服务器的监控日志,必须通过大数据处理平台辅以Al等技术将绝大部分安全威胁固化成可以自动化响应的流程,比如SoAR(Securi
38、tyOrchestrationStAutomationandResponse,安全编排与自动化响应)相关技术,便可以凭借较少的安全人员应对大规模的安全风险。最后,安全是一个需要不断积累经验和攻防对抗的领域,安全技术随着互联网技术的演进而演进。早期的Web漏洞基本上都是CGI(CommonGatewayInterface,公共网关接口)相关的漏洞,后来JaVa兴起后又出现了StrUtS2等漏洞,现在云计算出现我们又面对虚拟机逃逸、DOCker容器安全、微服务架构安全等新方向的漏洞。面对不断出现的安全问题,我们需要通过红蓝对抗来持续提升防护水平、改进防护技术、建立安全评估方法,让安全防御系统成为持
39、续迭代更新的良性循环系统。再来看一看安全界的另一个标杆GoogIe0首先,GOOgle强调安全文化,包括对员工进行背景调查、进行全员安全培训、组织内部安全与隐私活动、组建专职安全团队和专职隐私团队、对安全进行内部审核、向法律专家咨询、与安全社区进行合作。安全文化的熏陶可以让几万甚至几十万名员工具备统一的安全价值观和行为准则,从而可以保障安全措施的顺利推行和有效落实。其次,Google强调安全运营,包括漏洞管理、恶意软件防护、安全监控、安全事件管理。安全运营是公司整体运营不可或缺的一部分,需要持续运作,而不是事后考虑或偶尔进行一次聚焦倡议。Google建立了一整套漏洞管理流程体系以确保漏洞的有效
40、发现、快速修复,并与安全研究社区保持良好的合作关系。恶意软件通常会带来很大威胁,GOOgle通过在ChrOme浏览器中植入GoogIe,sSafeBrowsing技术,每天拦截成千上万个恶意网址,并运营着集成了众多杀毒引擎的VirIlSTotal免费杀毒平台来改进杀毒产品的查杀率,让使用Chrome浏览器浏览网页更安全。在公司内部,GOOg拒通过安全监控程序收集内部网络流量、员工系统操作活动、外部漏洞知识来发现异常行为和未知威胁,例如Botnet、非法用户数据访问、产品漏洞等。在安全事件管理方面,GOOgle建立了严格的安全事件管理系统,根据NlSTSP80061指导一系列行动,包括事件定级、
41、取证、通知、恢复、归档等。再次,Google强调以安全为核心的技术驱动,包括领先的数据中心、定制化的服务器软硬件、硬件追踪与处置(对所采购的硬件建立了完整的来源跟踪链,以避免供应链污染造成的安全风险)、独特安全收益的全球网络(利用云技术建立的高可靠、高DDOS防御能力的全球性网络)、安全传输、低延迟且高可用的系统、服务可用性展示,并以纵深防御为原则,通过在硬件、软件、网络、系统管理技术方面进行安全创新来建设比传统技术更安全和易于管理的IT基础设施,比如具备生物识别技术的多因素认证访问控制的机房、自然水冷的服务器、无外设和显卡的定制化服务器、裁剪和加固过的定制化LinUX系统、全盘加密的数据、具
42、备全球化恶意请求拦截能力的GFE(GoogleFrontEnd),以及DDoS。最后采用独立的第三方认证,并严格执行监管要求,比如专门建立安全隐私审计团队、定期公开发布执法数据请求报告。正是由于GOOgIe强调安全文化和创新精神,因此才使得GOogle的安全能力得到了大家的普遍认可,例如GOOgle的PrOjeCtZerO团队挖掘的零日漏洞常年占据全球漏洞发布榜榜首。结合笔者十几年的安全从业经验,这里提出“以安全文化建设为中心,将安全融于体系,建立自动化监控与响应系统,持续进行攻防对抗与安全创新”的新安全建设理念。一个企业有良好的企业文化才能基业长青,比如,华为的“成就客户、艰苦奋斗、自我批判
43、、开放进取、至诚守信、团队合作”,阿里巴巴的“客户第一、团队合作、拥抱变化、诚信、激情、敬业”等。一个公司不断会有人离开和进入,文化和价值观可以保证企业的凝聚力和一致性。这一条在安全领域同样适用,好的安全文化和价值观建设有利于安全工作的推行和有效落实,不会因为人员变动而受到影响,上面介绍的Google在这方面就做得比较好。将安全融于体系,即将安全植入企业的方方面面,从人员管理到产品开发,从物理安全到网络安全,从组织架构到制度规范。很多公司的安全团队甚至被归并在运维下面,只负责日常的漏洞扫描和应急响应,这种游离于公司架构和产品设计之外的安全团队所负责的只是真正意义上的安全体系工作的很小一部分,很
44、难保证安全的有效性。例如被称为漏洞之王的微软IE浏览器和Adobe公司的FIaShPlayer产品由于早期缺乏安全工程建设能力,产品的漏洞层出不穷,补也补不完,极大地影响了产品的体验,最终微软不得不花费很大的成本重构IE浏览器,进而开发了Edge浏览器,但此时在开发之初就引入安全设计的ChrOme浏览器已经占据了绝对的市场份额,同样AdObe不得不放弃FlaShPlayer产品,HTML5由此取而代之。建立自动化监控与响应系统,即通过安全技术来实现可以收集和分析安全威胁并自动进行防护响应的平台,通过建立纵深防御安全感知能力来收集数据,通过建立基于大数据和Al的分析决策能力来处理数据并动态响应。
45、漏洞是无法完全避免的,比如以检测APT(AdvancedPersistentThreat,高级持续性威胁)攻击闻名遐迩的FireEye公司,自己的安全产品却败在了很低级的PHP任意文件读取漏洞上。即使ChrOme浏览器拥有强大的安全工程能力,我们也经常可以在版本升级公告中看到漏洞修复信息C安全圈有句名言叫“世界上只有两种公司,知道自己被黑的和不知道自己被黑的”。在提升安全工程能力的同时,我们需要建立快速的监控发现响应能力,尽量将安全威胁限制在可控范围内,并能够在受到安全威胁时快速恢复,即韧性(resilient)安全架构。持续进行攻防对抗与安全创新,即建立自己的红蓝团队,通过相互对抗来不断提升
46、自己的防护水平,在这个过程中通过持续创新来解决业界普遍面临的安全难题,改变安全防护技术滞后于安全攻击技术的现状。例如,Intel通过在CPU中引入CET技术来解决ROP(Return-OrientedProgramming,面向返回的编程)攻击的问题,Google使用BeyOndCOrP技术来解决安全边界模糊的问题,微软云的CerberUS项目使用安圣巫理器劫持SPl总线后通过签名校验来保障主板上硬件设备的可信问题,我国使用墨子号量子通信卫星密钥分发技术来解决保密通信的问题,等等。不少企业由于缺乏对攻击团队的建设,自以为安全做得很到位,实际在安全众测后才发现原以为固若金汤的防御措施在黑客的攻击
47、下显得十分脆弱。在这方面,很多业界安全标杆纷纷建立了SRC(SecurityResponseCenter,安全响应中心)和攻防实验室,比如GOogIe有ProjeCtZerO和千万美金而漏洞悬赏项目、阿里巴巴有潘多拉等8大安全实验室和先知众测平台、腾讯有科恩等7大安全实验室等。第2章国际著名安全架构理论安全架构理论伴随着互联网的发展而发展。世界上第一个也是最著名的安全架构模型BelLLaPadulaDavidBen和LenLaPadUIa在1973年提出的,用于解决美国军方提出的分时系统的信息安全和保密问题,时至今日已经经过若干代演进。网络安全架构是一个复杂的系统化工程,融合了安全管理体系和安
48、全技术体系,这里对比较知名的一些安全架构模型来做一下分析。2.1 P2DR模型P2DR模型以PDR模型为基础,由美国国际互联网安全系统公司(ISS)提出,是POliCyProtectionDetectionResponse的缩写。它是动态安全理论的主要模型,可以表示为:安全二风险分析+执行策略+系统实施+漏洞监测+实时响应。该模型的大概结构如下图所示。动态安全理论的最基本原理是:信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为,还是响应行为等,都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力,即提高系统的防护时间(PT),降低检测时间(DT)和响应时间(RT)oP2DR模型是在动态安全理论的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“