企業(yè)安全體系架構(gòu)分析:安全體系架構(gòu)概述
最近都在談?wù)摪踩w系架構(gòu),我也有一些觀點(diǎn)想與諸位分享,主題圍繞著如何搭建企業(yè)級安全體系架構(gòu)來進(jìn)行,本期重點(diǎn)是搭建安全體系架構(gòu)的先決條件,全主題不以投入資金來定安全體系,安全體系架構(gòu)不是安全設(shè)備的堆積,這一點(diǎn)是重點(diǎn)想要分享的。
一套好的安全架構(gòu)離不開以下幾點(diǎn)支撐:
- 企業(yè)的重視
- 業(yè)務(wù)的特性分析
- 成本
- 架構(gòu)的高可用性+保密性+完整性分析
- 專業(yè)的團(tuán)隊(duì)
邏輯圖
其中談到的企業(yè)重視是最重要的一點(diǎn),它決定著架構(gòu)的策略側(cè)重點(diǎn)、投入的成本、團(tuán)隊(duì)的組建等等,如果企業(yè)高層不重視安全架構(gòu)的設(shè)計(jì),那么從戰(zhàn)略角度來講安全的投入也不會(huì)很大,同樣安全團(tuán)隊(duì)的專業(yè)程度也不會(huì)很高,這是戰(zhàn)略意義決定的。
一般設(shè)計(jì)架構(gòu)都是按照業(yè)務(wù)需求和特性來設(shè)計(jì)的,這里舉個(gè)例子,我需要一套HTTP對接的業(yè)務(wù),那么相應(yīng)安全需求就是購買HTTPS證書、WAF、抗DDOS等等,以及開發(fā)方向會(huì)選用什么開發(fā)架構(gòu),使用什么語言進(jìn)行應(yīng)用開發(fā),要關(guān)注相關(guān)框架以及語言漏洞。如果我的業(yè)務(wù)僅需要FTP對接,那么上述WAF、HTTPS證書等就不需要涉及了,根據(jù)業(yè)務(wù)特性和需求來設(shè)計(jì)企業(yè)的安全架構(gòu)也是一大重點(diǎn)。
之后是投入的成本,上圖中我說投入成本與安全程度從某種意義上來講是成正比的,但不是說沒有投入成本的架構(gòu)就一定是不安全的,這句話不太好理解,在這里重點(diǎn)解釋一下,安全產(chǎn)品所帶來的安全力度的確很大,這里就以WAF來舉例,它可以代替我們阻斷很多攻擊,比如SQL注入,比如struts2、比如java反序列等等,它可以最大程度的保證HTTP層面的安全性,但是最強(qiáng)大的往往是自身,須知如果企業(yè)的開發(fā)架構(gòu)完善,WAF便只是錦上添花的產(chǎn)品,很多開發(fā)架構(gòu)都帶有過濾、轉(zhuǎn)義,這也是為什么基礎(chǔ)攻擊手段越來越不好使的原因之一。一套好的安全體系架構(gòu)一定不是用錢堆出來的,這個(gè)概念大家要了解。
關(guān)于高可用性,這里一般分為網(wǎng)絡(luò)的高可用和數(shù)據(jù)的高可用以及應(yīng)用的高可用,網(wǎng)絡(luò)高可用顧名思義,當(dāng)一個(gè)網(wǎng)絡(luò)接口down了,切換到另一個(gè)接口不影響正常訪問,數(shù)據(jù)高可用應(yīng)用高可用也是同理,高可用的設(shè)計(jì)是在一個(gè)架構(gòu)設(shè)計(jì)的最初就必須要考慮的,這里包括系統(tǒng)架構(gòu)、安全架構(gòu)和開發(fā)架構(gòu),都需要考慮這個(gè)問題。
隨著國家對于數(shù)據(jù)保密性要求越來越高,以及業(yè)務(wù)數(shù)據(jù)的私密性特點(diǎn),保證數(shù)據(jù)的保密性需求也是越來越大,此處保密性架構(gòu)設(shè)計(jì)也需要更全面的加密,包括軟件加密、硬件加密、邏輯加密等等,國密算法的推行隨著時(shí)間的發(fā)展也會(huì)越來越完善,在這里建議架構(gòu)設(shè)計(jì)的時(shí)候推行國密算法兼容 RSA雙重算法,保證國產(chǎn)化的同時(shí)保證業(yè)務(wù)的兼容性。
數(shù)據(jù)完整性一般體現(xiàn)在包校驗(yàn)上,防篡改的設(shè)計(jì)也是需要架構(gòu)師著重費(fèi)心的地方之一。
以上要有一支專業(yè)團(tuán)隊(duì),包括密碼學(xué)、應(yīng)用安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等多個(gè)方面的人才組建的安全團(tuán)隊(duì),需要彼此之間配合搭建一套完整的安全體系架構(gòu),管理制度也不能少,如此一套完善的安全體系架構(gòu)就算是有了基礎(chǔ)的建設(shè)能力,后篇會(huì)講述具體架構(gòu)設(shè)計(jì)以及落地。
首先從管理層面的角度來講,要有健全的管理體制,一般由安全工程師負(fù)責(zé)日常安全巡檢以及加固,包括日志巡檢、物理巡檢等等,由應(yīng)急響應(yīng)工程師來負(fù)責(zé)突發(fā)事件的安全補(bǔ)救,由安全研究員來負(fù)責(zé)安全資訊傳遞以及安全漏洞復(fù)現(xiàn),由安全滲透工程師來負(fù)責(zé)對全網(wǎng)范圍的公司財(cái)產(chǎn)進(jìn)行滲透測試保證財(cái)產(chǎn)安全。由安全開發(fā)工程師來開發(fā)安全產(chǎn)品供同僚們使用。當(dāng)然以上也可以由一人身兼眾職。并且需要高層建立監(jiān)督小組以及出臺監(jiān)管機(jī)制,監(jiān)督各個(gè)崗位的安全負(fù)責(zé)人來完成日常工作,這保證了安全職責(zé)確實(shí)向下執(zhí)行,建立工作獎(jiǎng)懲機(jī)制,來保證各個(gè)崗位負(fù)責(zé)人的工作積極性。
其中每個(gè)崗位又會(huì)細(xì)分為以下工作:
安全開發(fā)工程師開發(fā)安全產(chǎn)品,大致有:IPS/IDS、HIDS/HIPS、WAF、漏掃、代碼審計(jì)、堡壘機(jī)、VPN、加解密系統(tǒng)、日志審計(jì)、數(shù)據(jù)庫審計(jì)、防病毒、報(bào)警體系、監(jiān)控體系等產(chǎn)品。
安全研究員主要熟知公司開發(fā)所用的架構(gòu),每個(gè)業(yè)務(wù)所用的框架和語言、包括接口、對接協(xié)議等都需要了解、關(guān)注相關(guān)漏洞,尤其是開源架構(gòu)的使用,首先要確保架構(gòu)本身的穩(wěn)定性、安全性、保密性,綜合評估可用性后再進(jìn)行部署與使用。
安全工程師需要隨時(shí)進(jìn)行日志分析,最好能與開發(fā)進(jìn)行溝通,實(shí)現(xiàn)自動(dòng)日志分析的功能,這樣會(huì)過濾大量日志,人工日志分析量會(huì)降低很多,提高效率。
安全滲透工程師需要熟知網(wǎng)絡(luò)架構(gòu)、應(yīng)用架構(gòu)、業(yè)務(wù)架構(gòu),做出相應(yīng)重點(diǎn)的滲透測試,側(cè)重點(diǎn)在于不影響業(yè)務(wù),最好不產(chǎn)生垃圾數(shù)據(jù)。
應(yīng)急響應(yīng)工程師要隨時(shí)隨地觀察系統(tǒng)是否出現(xiàn)異常情況,最好能與開發(fā)進(jìn)行溝通,實(shí)現(xiàn)自動(dòng)化監(jiān)控報(bào)警,以降低工作量提升工作效率,并且提升準(zhǔn)確率。
其實(shí)安全團(tuán)隊(duì)每一個(gè)人都應(yīng)該是安全開發(fā),不論是大到成熟的體系化產(chǎn)品開發(fā)還是小到一個(gè)安全腳本的開發(fā),安全團(tuán)隊(duì)的每個(gè)人都能勝任,有這樣的團(tuán)隊(duì)基本上安全無憂。
