2021大型互联网企业安全架构.docx
《2021大型互联网企业安全架构.docx》由会员分享,可在线阅读,更多相关《2021大型互联网企业安全架构.docx(238页珍藏版)》请在课桌文档上搜索。
1、大型互联网企业安全架构1 .第1章安全理念2 .第2章国际著名安全架构理论3 .第3章大型安全体系建设指南4 .第二部分基础安全运营平台5 .第4章威胁情报6 .第5章漏洞检测7 .第6章入侵感知8 .第7章主动防御9 .第8章后门查杀(AV)10 .第9章安全基线11 .第10章安全大脑12 .第三部分综合安全技术13 .第11章安全开发生命周期14 .第12章企业办公安全15 .第13章互联网业务安全16 .第14章全栈云安全17 .第15章前沿安全技术第1章安全理念信息安全技术发展至今,各种安全组织和标准应运而生并不断完善,同时企业面临的安全风险也与日俱增且日趋复杂。组织和标准的制定往往
2、滞后于安全风险的演变,因此互联网企业往往需要具备先进的安全理念以适应新时代信息技术快速迭代的安全需求。1.1 安全组织与标准讲到信息安全就不得不提到IT治理,IT治理是企业在信息时代面临的重要治理内容,进行IT治理能确保IT应用完成组织赋予它的使命,并实现组织的战略目标。IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。按照IT治理的对象不同,我们可以将IT治理的服务划分为5类:IT规划治理、IT建设治理、IT运维治理、IT绩效治理、IT风险治理。通常,IT治理对应的管理职位是首席信息官(CIO),而信息安全是IT治理中的重要一环,对应的管理职位为首席信息安全官(CISO)o随
3、着IT治理自动化的普及,信息安全变得越来越重要,也有互联网企业直接将信息安全划归到CEO的职责范围。下图为IT治理福槊图。IT管理IT部门与人员IF程与活动Il资源IT治理IT战略IT架构IT组织业务需求投资组合基础设施信息安全IT生命周期组织与规划建设与开发运行与维护评估与优化IT最佳实践CobitAZaIItITOGAF/EAICMMIIIT1LIS0200IPMBokPrince2ISMSISO271IBS25999IT治理领域涉及的标准及规范众多,在IT治理的每个阶段,其覆盖内容及相应的标准如下表所示。阶段覆盖内容标准IT规划设计业务设计TOGAF.ZaChman、SAM、BPR架构设
4、计SOA,BSP、SSTIT建设交付IT项目管理PMBOK、PRINCE2.ICBIT质量控制TQM、CMM,TicklT,Scrum、MSP.IS09000IT软件开发RUP、CMMIIT运营管理外包管理eSCM-SP.ISPL.ITS-CMM运维管理ITIL、BiSLeTOM.IS020000.ASL.EFQM、AS8OI5IT绩效价值ITBSC、FEA、EAFIT内控审计COBIT.IS038500IT风险安全风险COSo-ERM、M_o_R信息安全lS2700kISO13335业务连续性GB20988、BS25999通用方法论Six、Sigma、PDCA、CSF、SWOT、RACI合规
5、性SOX404.HIPPA、C-SOX、GLBA、DJCP、CSASTAR.PClDSS.GDPR下面对IT治理常用的标准分别做一下具体说明。 第一个IT治理国际标准:ISO38500ISO38500是有关IT治理方面的国际标准,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了被大众正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理在理论上得到统一。 信息及相关技术的控制目标:COBrrCOBIT(ControlObjectivesforInformationandrelatedTechnology,信息及相关技术的控制目标)由ISACA
6、(InformationSystemsAuditandControlAssociation,国际信息系统由计协会)发布并维护。COBlT是把IT处理过程与公司业务要求相连接的控制框架。从IT战略融合、IT价值交付、IT资源管理、IT风险管理、IT绩效测评这5个方面提出了具体要求,并提出了IT审计的技术方法。从1998年增加了管理方针的版本开始,CoBrr越来越多地被作为IT治理框架来使用,并提供诸如衡量标准和成熟度模型这样的管理工具来作为控制框架的补充。 IT基础架构库:ITILITIL(InformationTechnologyInfrastructureLibrary,IT基础架构库)汇集
7、了在IT服务管理方面前最佳实践,包括业务管理、服务管理、ICT(InformationandCommunicationTechnology,信息和通信技术)基础架构管理、IT服务管理规划与实施、应用管理和安全管理等6个模块。它关注IT服务的过程并考虑了使用者的核心作用,对IT的应用、管理、变更、运维等方面提出了要求,明确了每个阶段、每个环节的目标和工作流程。以ITILv3为基础的国际标准ISO/IEC20000:2005IT服务管理体系于2005年正式颁布。 信息安全管理体系要求:ISO/IEC27001:2005系列目前应用最广泛的信息安全管理标准,适用于各种性质、各种规模的组织,如政府、银
8、行、ICT企业、研究机构、外包服务企业、软件服务企业等。该标准偏重于安全,从组织架构、人力、安全策略、访问控制等11个方面提出了信息系统管理的要求和操作实践。该系列标准已被定为国家标准,参见GB/T220802008和GB/T22081-2008o 受控环境中的项目管理:PRlNCE2PRINCE2(ProjectsInControlledEnvironments2)是基于过程的结构化的项目管理方法,定义每个过程的关键输入、需要执行的关键活动和特殊的输出目标。PRINCE2为包括IT项目在内的项目管理提供了通用的管理方法,内置了已在项目管理实践中被证明的最佳实践。除了上述IT治理的标准,还有一
9、些互联网企业常见的安全标准规范,如ISMS、DJCPsCSASTAR、PCIDSSsGDPR等。ISMSISMS(InformationSecurityManagementSystem)的全称为信息安全管理体系,起源于英国标准+办会(BritishStandardsInstitution,BSI)20世纪90年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。基于国际标准ISoIEC2700L2005的ISMS是国际上公认的先进的信息安全解决方案。在信息安全管理方面,ISOIEC2700L2005已经成为世界上应用最广泛的典型的信息安全管理标准,它是在BSI/DISC的B
10、DD/2信息安全管理委员会指导下制定完成的,最新版本为ISo27001:2013。除了IS027001,还有IS027002,IS027001主要侧重于要求的标准,IS027002侧重于信息安全管理的最佳实践,所以一般认证都是基于ISO27001进行的。ISO27001就像是一本信息安全相关的百科全书,基本涵盖了信息安全的方方面面,一般是信息安全认证的必备选项。关于ISMS的详细介绍可以参考官网资料(即参考资料1)。DJCPDJCP即信息系统安全等级保护认证,是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安
11、全保护的标准。等级保护根据信息系统的重要程度由低到高划分为b5这5个等级,根据安全等级实施不同的保护策略。一般的信息系统通过3级测评就达到了合格的安全标准,之后相关机构会为通过测评的信息系统颁发安全等级保护认证证书并在公安系统为其备案。很多行业要求达到GB22239-2008信息安全技术信息系统安全等级保护基本要求中第三级对应的安全指标要求,等级测试可以找专门的测评备案公司来做。关于DJCP的详细介绍可以参考官网资料(即参考资料2)。CSASTARCSASTAR(CSASecurity,Trust&AssuranceRegistry)的全称为云安全可信与保障认证,是一项全新而有针对性的国际专业
12、认证项目,由全球标准奠基者英国标准协会(BSI)和国际云安全权威组织云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。云安全可信与保障认证以ISO/IEC27001认证为基础,结合云控制矩阵(CCM1CloudControlMatrix)的要求,运用BSl提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与,策略、计划、流程和系统性方法,技术和能力,所有权、领导力和管理,监督和测量等5个维度,综合评估组织在云端安全管理和技术方面的能力,最终给出独立第三方外审所做的结论。CSASTAR是提供云服务的企业必备的信息安全认证,详细介绍可参考官网资料(即参考资
13、料3)。PCIDSSPCIDSS(PaymentCardIndustryDataSecurityStandard)的全称为支付卡行业数据安全标准,是支付卡行业必备的安全认证,由PCl安全标准委员会的创始成员(VISA、MasterCardAmericanExpresssDiscoverFinancialServicesxJCB等)制定,致力于成为一套在国际上一致采用的数据安全措施。PCIDSS对所有信用卡信息机构涉及的安全方面做出了标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求等,全面保障交易安全。PelDSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、
14、发行商和服务提供商,以及储存、处理或传输持卡人资料的所有其他实体。关于PClDSS的详细介绍可参考官网资料(即参考资料4)。GDPRGDPR(GeneralDataProtectionRegulation)的全称为一般数据保护条例,是一个合并的法律框架,由欧盟推出,旨在保护自然人的基本权利和自由,特别是保护个人数据的权利。这是一项强制性法律,要求企业遵守整个欧盟适用于个人数据业务的条款。GDPR取代了存在了20年的数据保护指令(95/46/EC)o该条例明确了企业对个人数据的保护要求和处罚措施,大大加强了对个人数据隐私的保护。其他各国也纷纷参考GDPR建立自己的相关标准,例如我国最近提出的信息
15、安全技术个人信息安全规范。关于GDPR的详细介绍可参考官网资料(即参考资料5)。以上对常见安全组织与标准做了一个大概介绍。随着信息网络的全球化快速发展,网络违法犯罪呈多发态势,为此各国也纷纷制定了自己的网络安全相关法律,比如我国的中华人民共和国网络安全法。法律法规对隐私保护的逐步完善也迫使各个企业需要加大企业信息安全的相关投入和建设,保障自身信息安全,并遵守国家法律要求。1.2 企业安全风险综述信息安全直接关系到企业的生存和竞争力,笔者会通过实例从多个角度阐述一般互联网企业所面临的安全风险。1.2.1 业务与运维安全业务与运维安全通常又被称为生产网安全(DeVSeCOps)。下面分别从业务开发
16、和基础运维两个层面来具体看一下相关的安全事件。业务开发互联网企业涉及的研发业务主要为Web服务、APP移动应用以及PC(个人电脑)端软件等。由软件开发人员安全编程能力(SDL)差、安全意识薄弱以及配套的企业安全制度规范及流程建设不到位造成的安全开发问题比比皆是,例如大规模数据泄露事件,详情请见参考资料6。这其中不乏各种大型知名互联网企业。有很多安全事故产生的原因都是研发人员进行开发时编写了有漏洞的代码。已经流行了几十年的SQL注入漏洞依然是最主要的数据泄露元凶之一,常年占据OWASP十大漏洞榜单。2016年,雅虎公司发生了用户数据被盗事件,直接导致该公司股价跌幅超过6%,甚至影响到VeriZO
17、n公司斥资48亿美元对雅虎核心互联网业务的收购。而与金融相关的产品漏洞对公司生存的影响是最为直观的,大量以比特币为首的区块链加密货币交易平台被黑客入侵后直接宣布破产。目前,知名的加密货币以太坊便出现过多个相关设计漏洞,例如TheDAo事件。TheDAO是一个去中心化的风险投资基金,以智能合约的形式运行在以太坊区块链上,为以太坊筹集资金。在TheDAO创建初期,任何人都可以向它的众筹合约发送以太币,获得DAo代币。2016年6月18日,该智能合约中的WithdraWReWardFOr递归调用逻辑漏洞导致360万以太币被盗。无独有偶,2017年7月19日,以太坊钱包Parity同样因为一个名为Wa
18、IIet.so的多重签名智能合约而出现漏洞,使得15.3万以太币被盗。基础运维业务开发(Dev)完成后,就进入运维(OPS)阶段了,该阶段的资产管理、漏洞与补丁管理、安全配置基线、应急响应等如果没有做好也容易造成各种安全风险。例如由于开发过程中引入了大量第三方组件,如果没有持续进行漏洞与补丁管理,那么时间一久就会积累大量的安全漏洞隐患。2017年9月,美国征信巨头EqUifaX确认1.43亿条用户信用记录被黑客入侵窃取,被窃取的信息包括用户名、社会保障号、出生日期、家庭住址,以及一些驾驶证号码。该事件的起因竟是2017年3月6日曝光的APaCheStrUtS2漏洞CVE-20175638,Eq
19、UifaX在漏洞出现的两个月内都没有修复,导致5月份黑客利用这个漏洞进行攻击,其敏感数据被泄露。该事件使得EqUifaX的股价下跌了超过30%,市值缩水约53亿美元。122企业内部安全企业内部安全通常又被称为办公网安全。据统计,70%以上的安全威胁来自企业内部,因此保障企业内部安全非常重要。企业内部安全有如下几种类型。隔离安全隔离包括网络隔离和物理隔离。网络隔离主要包括网络边界隔离,例如VPN、防火墙、Wi-Fis部门间的网络隔离等。物理隔离主要包括门禁系统、摄像监控等方面的隔离。例如某国内大型电商公司的VPN由于没有使用动态口令验证,使得黑客可以通过撞库攻击获得员工账号及密码,登录后入侵Za
20、bbiX管理端,直接控制上万台服务器。由于Wi-Fi没有使用证书认证或动态口令,因此导致安装有WLFi万能钥匙手机APP的员工泄露了公司的WLFi账号信息,使得黑客可以通过WLFi万能钥匙进入公司内网。还有很多创业公司由于门禁系统管理松散,使得很多第三方人员可以随便出入,也给公司带来了很大的信息安全隐患。2017年5月,著名的网络军火商HaCkingTeam的400GB数据被盗,包括一些核心产品的源代码、电子邮件、录音和客户详细信息,以及HaCkingTeam掌握的大量漏洞和攻击工具。根据事后解密发现,被入侵的原因竟是黑客利用了该公司一个网络出口路由器的漏洞,入侵路由器后进一步入侵了内网大量的
21、服务器。终端安全终端主要包括PC、打印机、电话及BYoD设备等CPC通常需要安装集中管理杀毒和补丁的管理软件。2014年12月,索尼影业由于被黑客攻击导致大量员工的PC被入侵而无法工作,内部邮件系统瘫痪一周,部分未上映影片和内部邮件泄露,给公司带来了巨大损失。其他类似的终端设备,例如打印机等,通常由于很少被关注和升级也存在大量安全隐患,非常著名的相关事件是,在伊拉克战争中,美军利用伊拉克的一台打印机的后门入侵伊拉克军事指挥和防控系统,使伊拉克输掉了一场战争。2017年2月,一个自StaCkOVerf1。Win”的黑客侵入了超过15万台打印机,被入侵的这些打印机全部都打印出了这名黑客留下的警告信
22、息“yourPRINTERHASBEENPWNDD”。其实早在2017年月份,3名来自德国波鸿鲁尔大学的安全研究者便发表了一篇文章,揭露了大量打印机存在的安全漏洞,详情请见参考资料。2018年8月3日晚,台积电的新设备感染了WannaCry勒索病毒的变种,在接入厂房生产设施的网络后导致大量未打SMB漏洞补丁的WindoWS7系统被感染,一度造成工厂停工,直接损失1L5亿元人民币。办公系统安全办公系统主要包括Mail、OA.CRM、ERP、HR、Be)SS等方面的系统,还有针对研发的代码管理和测试系统(如SVN、GitsWikisJenkinS系统等)。始于2013年的Carbanak犯罪团伙向
23、不同银行的近千名职员发送了带后门的钓鱼邮件,进而入侵他们的电脑,植入Carbanak木马和CobaIt木马,控制银行的网络和服务器,获取高级权限,进而修改账户余额,将资金转移到虚假账户并提现,或者命令受感染的ATM机直接吐钱,然后用这些钱去购买加密货币,借以洗钱。至今,该犯罪团伙已入侵全球40多个国家和地区(俄罗斯、日本、瑞士、美国、荷兰、中国台湾等)的100多家银行、电商公司和金融机构的系统,造成大约10亿美元的损失。这期间,在中国轰动一时的是,2016年7月11日台湾第一银行在多地的41台ATM机自动吐钱的大事件。很多公司内部的办公平台都存在不同程度的安全隐患,比如邮件缺乏防病毒网关而导致
24、电脑感染木马、系统登录缺乏双因素认证而导致利用社会工程学(社工)的暴力破解、存在OWASP十大漏洞而导致内部信息泄露、众多系统未及时打安全补丁而使黑客可以通过SSRF入侵等,而这些安全隐患直接关系到企业是否能正常运营。员工安全涉及员工安全的问题比较多,比如弱口令、离开工位后电脑不锁屏、外部人员尾随进入、私自接入BYOD设备、安装盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务、将公司最新产品的未公开信息告诉亲朋好友等。这些问题造成的最大也最普遍的危害就是数据泄露,内部安全做得好不好和是否进行了有效的员工安全意识培训、是否具备完善的安全流程制度及技术管控手段息息相关。随着GitHUb的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2021 大型 互联网 企业 安全 架构

链接地址:https://www.desk33.com/p-675682.html