踏實實驗室推出萬字長篇文章，踏實君結合十年團隊經(jīng)驗和二十年從業(yè)經(jīng)驗深度整理和剖析了網(wǎng)絡安全防御體系如何有效建立，推薦閱讀預計20分鐘。

成都創(chuàng)新互聯(lián)從2013年開始，先為張掖等服務建站，張掖等地企業(yè)，進行企業(yè)商務咨詢服務。為張掖企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

這個夏天就想睡個好覺

己亥年庚午月，睡個好覺是安全這個行業(yè)大部分人的奢望，除了國際形勢、明星分手、網(wǎng)絡安全也是最熱的話題之一了。

圖1：數(shù)字時代是由物理的和非物理組成的

中興華為事件、委內瑞拉大面積停電、美國對伊朗的網(wǎng)絡戰(zhàn)已經(jīng)不斷觸動了人們神經(jīng)，又經(jīng)歷了有實戰(zhàn)有價值的攻防演練。例如HW，確實促進了很多行業(yè)組織各層面安全意識的提升,促進了實實在在安全防御策略的落地,多個視角(攻擊者紅方和防御者藍方)看問題總是好的。只有經(jīng)歷了疼才知道痛是啥滋味，尤其是HW排名靠后的……以攻促防推動做好安全防御是個極好的方法，數(shù)字時代真安全價值才大，這次同樣也是打假的過程，安全圈不大，這幾年快成了娛樂圈了，300億的市場再這么折騰下去變200億了。

意識意識意識，意識第一位，意識第一位，其他第二位，有問題的，有大問題，有嚴重問題的基本都是意識出問題了，不是技術出了問題。某國家單位首次被攻破被通報要求盡快整改，由于意識問題領導沒重視資源沒到位。第二天馬上又被攻破領導急了開始重視了，每天開始抓工作清點防護體系，工具，組織，策略，發(fā)現(xiàn)了大量的沒有的安全防護工具沒有啟用，策略沒落地，問中層領導，中層才意識到好多文件下達的都是空的，眼前的寶貝沒使用也沒落實。第三天再次被攻破，問題又在基層技術管理人員重視邊界，忽視內網(wǎng)域策略和管理員密碼。甲方邀請我們一起做了復盤，總結的第一點就是這個，意識，意識，意識，不痛不長心啊。

三人是個概念的代表，第一人是領導(組織中網(wǎng)絡安全第一責任人)，第二人是CSO首席安全管理者(總體安全策略計劃制定者)，第三人是一線的網(wǎng)絡安全防御團隊(PDCA執(zhí)行安全策略落地和運行)。

國內具備網(wǎng)絡安全防御體系經(jīng)驗和實戰(zhàn)的人才本來就很稀缺，所以坑多也是自然的，網(wǎng)絡安全防御體系龐大而復雜，能洞悉全貌者也很少，格局，眼界，層次。單槍匹馬獨擋一面的大俠也不少，但更多需要的是三人綜合體系，這些年見到的有些決策者的格局真不行，水平一般還限制下面人員的發(fā)展，例如(某某組織的某某領導，呵呵)，有些領導者看問題水平真高，就是中層執(zhí)行力就一直太差。例如(某行業(yè)單位的網(wǎng)絡安全負責人，估計HW結束就被拿下了)…一線干活的安服人員其實很多還是挺好的樸實踏實，但也怕好經(jīng)壞和尚，政府機關有時候就這體制沒辦法人也換不了，形形色色確實很難見到很好有效三人體系。

20年來，持續(xù)走在網(wǎng)絡安全防御的路上，體會到不同的領域和境界，技術無敵到技術都不在是問題的時候，看到的往往是其他問題。數(shù)字時代需要考慮的內容是綜合的，頂層設計和系統(tǒng)的梳理和體系化落地等包羅萬象。網(wǎng)絡安全防御體系方法論隨著時代的發(fā)展我們已經(jīng)更新了第四版(2019版)，網(wǎng)絡安全防御體系建立的核心目標就是風險可控，大家參考用吧。

官話不說了，核心就是當領導的要知道本組織的信息系統(tǒng)(資產(chǎn))的重要性，服務的場景對象是啥，組織要明確需要保護的對象(安全方針就是掂量掂量重要不重要)。投入持續(xù)人、財、物、服務和必要的合規(guī)工具和安全管理及運營工具(安全策略就是組織建立不建立、啥線路、掂量掂量投多少銀子)，這層做好了方向不會出大問題，基本可以打30分了。原理能這樣想網(wǎng)絡安全的領導不多，經(jīng)過HW的檢驗，估計未來慢慢會多起來了。

有了上兩層的基礎，接下來開展工作就好辦多了，如果沒有上面兩層的支持這個階段基本是不可行的，網(wǎng)絡安全保障體系建設一定是圍繞業(yè)務和數(shù)據(jù)的，俗稱“業(yè)務 數(shù)據(jù)定義安全戰(zhàn)略”確定好保護對象和級別，需要協(xié)同，需要按照三同步原則(同步規(guī)劃設計、同步建設、同步運行)，選擇好規(guī)劃服務商、建設服務商，踏實規(guī)劃，體系逐步實現(xiàn)。說的簡單，其實這些個環(huán)節(jié)一個出問題，就是坑坑相連，能按照這些環(huán)節(jié)都下來順利的不多。

圖3：意識不統(tǒng)一導致的防御體系的降維防護

啰嗦了這么多才開始準備如何建設了，網(wǎng)絡安全防御體系的建設是個大工程，不同的人理解不同。匯總起來就是一個風險控制目標、兩個視角(國內合規(guī)、國外自適應)、三個領域策略融合(管理、技術、運維)、 四個體系獨立而融合(防御體系、檢測體系、響應體系、預測體系)的建立可視、可管、可控、可調度、可持續(xù)的彈性擴展的一個很NB的安全管理及運營中心 (簡稱“12341)。

圖4：網(wǎng)絡安全防御成熟度階段與目標

兩個視角之二：國內的等級保護1.0– 2.0的合規(guī)體系，一個中心， 三重防護的落地。等級保護1.0從04年–14年10年歷程不容易，確實要感謝為中國信息安全和等級保護做出貢獻的這代人，從安全一個點做到完整的基本防御體系，為中國信息化和信息安全的發(fā)展奠定了一個基礎。讓大家有了一定的安全防御體系的概念，我們很有幸?guī)ш犠隽藷o數(shù)的等級保護和FJ保護的項目。這個領域我們要說第二，估計第一確實要空缺，經(jīng)驗給了我們方法論又應用在實踐，實話說等級保護1.0做好了就已經(jīng)很好了，關鍵是應付的多落地的少。2014年，云開始規(guī)模落地了，數(shù)據(jù)匯聚了，應用一體化了，物聯(lián)網(wǎng)、移動互聯(lián)……，1.0確實不再適用了，14-19年5年的歷程，2.0的出臺也不容易，仔細看看和研讀，按照標準做好了，落地了就踏實了。合規(guī)還是基礎，三重防護(計算、區(qū)域邊界、通信網(wǎng)絡)是重點的基礎性防護建設;然后重點分層保護，資源再多也是有限的，大門和每個門是最關鍵的，核心保護對象和邊緣保護對象的防御，檢測，響應，預測體系逐步完成，安全策略一點點上。最小原則開始逐步放寬，到平衡后劃個基線，就不要隨便動了，關于安全管理中心的坑，這是也個大命題，后面講吧一些老前輩的思路已經(jīng)不適合未來了。

圖5：網(wǎng)絡安全防御體系建設落地的框架

要想做好網(wǎng)絡安全防御，就要站在攻擊方的視角看問題，網(wǎng)絡HK惦記的就是你所守護的，沈院士描述的霸權國家、敵對勢力、黑客組織和你所守護的對象防御程度成正比。

對于防御者來講，就是了解自己保護的對象對黑客的吸引力，盡量減少暴露面，IP,端口，服務，名，操作系統(tǒng)、支撐軟件，web服務，不是自己必要直接外露的，能減少就減少，能在深宅大院，就不要在街口開門。

對于防御者來講，自身個人的信息，守護對象的信息、外包商服務商的信息、采用的IT系統(tǒng)的信息、暴露面的信息，入侵監(jiān)控的信息，都是需要保護的和提高警惕的。

對于防御方來講如果平時的弱點管理的好，及時更新，動態(tài)監(jiān)控做的好還可以，往往弱點的爆出沒有及時的采取措施，很可能在這個時間差就已經(jīng)被侵入了，實踐經(jīng)驗中弱點的管理需要交叉異構。我們做了一個站在甲方視角的弱點管理平臺，效果確實還是不錯，曾經(jīng)出現(xiàn)的一起事件，某盟的弱點管理發(fā)現(xiàn)了問題，但由于操作系統(tǒng)廠商已經(jīng)沒有了，雖然也發(fā)現(xiàn)了但沒有預警，其實甲方還在大量的使用此操作系統(tǒng)，交叉使用的弱點管理平臺起到了很好的效果，預防了一次較高級別的APT攻擊事件(兩會期間)。

靜默型攻擊從08年以后就是主流了，大規(guī)模的炫耀式的病毒攻擊基本消聲覓跡了，都已經(jīng)悄悄地進入打槍的不要，APT、APT、APT是我們天天防護的重點。就如我上文所說，攻擊者也很累，現(xiàn)在沒有人愿意敲鑼打鼓的去說我要攻擊你，更多的就是低調低調低調，第一道防線被撕開口子的概率是比較大的，一但進來如果防御者做的好，攻擊者就是進入深淵的開始，每個不合適的內網(wǎng)嗅探，試圖提權，異常行為，其實很好抓。我們現(xiàn)在總結出來經(jīng)驗，基本上進來的APT跑不了，要不不敢動，一動就會發(fā)現(xiàn)?？偨Y幾個關鍵點，全網(wǎng)全流量監(jiān)控，全網(wǎng)系統(tǒng)監(jiān)控，控制好有限的特權用戶/普通用戶賬戶并進行行為監(jiān)控，安全域策略最小化原則并動態(tài)可視監(jiān)控，在核心和數(shù)據(jù)系統(tǒng)里做好黑白名單的可信驗證。一點也不高深特簡單，不用PPT吹NB，做好落地了基本保證第二道防線沒問題。我們把這些統(tǒng)合起來做了個系統(tǒng)，稱為防御平臺核心檢測功能，現(xiàn)在用了的客戶都沒有被HW干掉，實施一個滿意一個，我們也特別有成就感。這個估計未來會成為主流的趨勢，實干簡單清晰化防御體系里的檢測系統(tǒng)，感謝PCSA聯(lián)盟的KL,QT,ZX,SBR,ABT，CT,ZR，kx (科來、青藤、中新、圣博潤、安博通、長亭、中睿、可信….)安全能力者們。你們做的探針真的很NB，也確實是未來的安全中間力量，和品牌沒關系，要看能力，真安全未來大浪淘沙。

按照方院士的定義網(wǎng)絡是一種人造的電磁，其以終端、計算機、網(wǎng)絡設備等為平臺，人類通過在其上對數(shù)據(jù)進行計算、通信，來實現(xiàn)特定的活動。

圖6：承載國家關鍵信息基礎設施之關鍵要素

圖7：城市級平臺安全管理及運營

兩個維度，一個是站在數(shù)據(jù)的價值維度看重要性(數(shù)據(jù)資源級別—保安級、數(shù)據(jù)資產(chǎn)級別—保鏢級、數(shù)據(jù)資本(流通)級別—武警級、數(shù)據(jù)托管(交易)級別—銀行級)的新思維(海關劉處的思想)，一個是站在數(shù)據(jù)全生命周期維度看重要性(采集、傳輸、加工、處理、存儲、銷毀)的傳統(tǒng)思維。

總之，數(shù)據(jù)安全這個范疇可研究和討論的很多，數(shù)據(jù)成為有價的資產(chǎn)肯定的確定的，數(shù)據(jù)有價值肯定是要流動的，不流動就不會產(chǎn)生價值了。所以未來大部分場景都會有數(shù)據(jù)的提供者、數(shù)據(jù)的運用者、數(shù)據(jù)的管理者、數(shù)據(jù)的使用者、但更重要的是數(shù)據(jù)合理合法使用的監(jiān)管者，數(shù)據(jù)流動安全監(jiān)管就成為數(shù)字時代的重大命題，應用安全能力者不同的安全能力在數(shù)據(jù)流動的不同場景進行有序和安全的管理就是我們和PCSA聯(lián)盟和某地大數(shù)據(jù)局和某行業(yè)溝通現(xiàn)在正在做的事情。全程可視，狀態(tài)可查，權益可管、權限可控、流動可溯、易用擴展。

前幾年出國游學和參觀時通過朋友參觀了幾家美國大的云和互聯(lián)網(wǎng)公司，其中重點是參觀安全管理和運營管理，龐大的規(guī)模和監(jiān)控和運營中心由于不能拍照無法描述。在整個參觀的過程中給我最大的感觸就是幾個關鍵詞、事多、人少、全程可視、自動化。這幾年在國內信息化建設過程中看到的場景基本上也是這樣，沒有良好的大安全管理中心和運營中心，任何系統(tǒng)想要長久的安全運行保障基本不可能。2005年開始國內開始有了安全管理中心和平臺1.0雛形現(xiàn)在已經(jīng)被淘汰，2009年安全管理進入2.0，在CC某V和某關、某社我們看到的和審計多個項目，錢花了不少，事情也干了不少，但確實也沒起到相應的效果體現(xiàn)價值，收集大量基礎數(shù)據(jù)進行關聯(lián)分析這個思路，在基本上沒有標準、沒有生態(tài)、沒有深度檢測能力等等必要的保障。安全管理2.0只能活在PPT和情懷里，這10年我和團隊接觸過國內99%的安全管理平臺，也幫助客戶建設了數(shù)百個所謂的安全管理平臺，實話說我沒有看到一個高效的和有高價值的。16年開始，我們的網(wǎng)絡防御服務接受了挑戰(zhàn)，考慮到未來進入數(shù)字時代，安全管理是重中之重，我們給很多生態(tài)伙伴提供了思路和想要的安全管理中心的樣子，比如圍繞保護對象與運維合力成為保障能力中心，管理和建立四大體系，要有深度檢測。例如關鍵業(yè)務數(shù)據(jù)和安全與流量精密關聯(lián)，讓ID和IP清晰自如的展示、讓訪問路徑實時動態(tài)可視等等，形成企業(yè)級、行業(yè)級、城市級的安全管理和運營等等，很慶幸，2017年以來我們理想的安全管理逐步實現(xiàn)了。態(tài)勢感知逐步實現(xiàn)，這個領域落地的案例已經(jīng)很多了，也獲得了工信部的試點示范，在HW中也有很好的表現(xiàn)，沒有白費力氣，浪費我的白頭發(fā)，未來我們會和生態(tài)伙伴一起迭代好這個平臺，力爭成為未來網(wǎng)絡防御體系的主力軍。

從Struts2的漏洞爆出和coremail的0day,主流應用框架的選擇，尤其是對外提供服務的Web和mail，一旦底層出大的安全問題了，會導致整個系統(tǒng)都需要重新構建了。由于很多開發(fā)者不回去考慮安全性的問題，往往從易用和易構建的角度去考慮，系統(tǒng)和底層架構是緊耦合的不可輕易分離，嚴重漏洞的出現(xiàn)，不能修補，勉強弄弄安全運行也有問題，不修補也不能再上線了。這個問題出現(xiàn)后只能重新架構和開發(fā)了，經(jīng)濟損失極大，這也是我們12年經(jīng)歷的血淋淋的教訓。

同類型功能不同能力者的異構其實在管理者眼里是麻煩的，但在攻擊者眼里同樣也是麻煩的，如果做好落地，呵呵，累死Y的。例如防火墻多層異構解決避免一網(wǎng)通殺、防護策略失效的問題，防病毒網(wǎng)關、桌面防病毒和沙箱郵件追溯異構解決病毒木馬、釣魚郵件的交叉檢測和查殺，威脅情報和弱點管理不同供應商的異構解決風險管理的全面化，多重身份認證和特權賬號不同認證異構解決被輕易獲取權限一路暢通，陷阱和蜜罐的異構設置可以讓攻擊到內網(wǎng)的黑客一頭霧水?？傊?，不同的安全能力之間的多角度異構的靈活應用會給APT攻擊者一路障礙，這些花不了多少經(jīng)費，但確實有效，唯一的就是給管理者有一定難度，需要將統(tǒng)一管理的平臺做好。

也許你沒聽說過的方法未來都會出現(xiàn)，一個外賣小哥、一個保潔阿姨，一個好久不聯(lián)系的朋友到了辦公區(qū)，他們離開的時候，會留下繼續(xù)進來的U盤狀的無線發(fā)射器當作跳板，一個供應商送入的一批服務器和交換機在芯片上有可能的后門。有個電視劇叫做“密戰(zhàn)”，建議大家看看，一個外包的軟件開發(fā)商交付的代碼中間有隱藏的不應該的代碼，一個離職的安全管理員仍然可以撥入VPN，用root權限獲取數(shù)據(jù)……這些都是現(xiàn)在以及未來可以發(fā)生的。

數(shù)字中國萬云時代，萬種場景、萬物互聯(lián)，大數(shù)據(jù)、大平臺、大系統(tǒng)的建設模式是中國現(xiàn)在以及未來的模式，政務服務一體化、行業(yè)監(jiān)管一體化、城市大腦運行一體化、工業(yè)智能一體化。不可否認，數(shù)字中國急切需要打通數(shù)據(jù)孤島，公共服務更便捷、效率更高、更智能、更便捷、行政監(jiān)管更準確、更有效，數(shù)據(jù)越聚合越重要，黑市價值越高，攻擊者越多，保障體系就越需要更緊密，不得不形成“大安全大運維”的合成能力保障體系，才能確保業(yè)務的安全穩(wěn)定運行。產(chǎn)品堆砌的時代以及過去了，服務才是真價值，安全服務高級人才稀缺會更大。聽說HW駐場的人有一天一萬的，恭喜安全人才價值提高了不少。

中國網(wǎng)絡安全產(chǎn)業(yè)相比國際同行處于弱勢，在國家高度重視網(wǎng)絡安全的背景下依然難以依靠自身力量快速做大做強，持續(xù)下去將在國際網(wǎng)絡對抗中愈發(fā)落后，最終損害對關鍵信息基礎設施的有效保護能力。

2018、19年參加了幾次工信部和WXB關于網(wǎng)絡安全產(chǎn)業(yè)的調研會，圈子里的專家其實共識度還是挺高的明白人不少，大部分觀點不說了就說創(chuàng)新這一件事情，把它做透了就需要很多方面的合力。比如國外的合作是A.B公司的能力疊加，在國內就是大品牌的OEM，鼓勵小品牌，新能力的合作。比如國內公共靶場的建立，讓大家創(chuàng)新能力有練兵之地，總不能違法亂紀，也不能閉門造車吧，比如建立國家級的生態(tài)化安全能力展示平臺和中心。讓大家都有露臉的秀肌肉的地方…..供給側的改革，確實需要百花齊放和有效的政策扶持。

圖10：數(shù)字時代是由物理的和非物理組成的

圖11：“民兵式”網(wǎng)絡安全防御體系

圖12：踏實實驗室研究成果網(wǎng)絡綜合防御平臺框架

分享題目：如何建立有效的網(wǎng)絡安全防御體系
網(wǎng)站URL：http://jinyejixie.com/article6/ccseog.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供自適應網(wǎng)站、建站公司、微信小程序、網(wǎng)站設計、品牌網(wǎng)站建設、營銷型網(wǎng)站建設

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)