给客户做网络安全咨询设计网络安全架构时,我们比较常见的一种思路是三层。
-
防御层面
-
监控层面
-
加固层面
图1:画了一个示意简图
这种思路从哪里来的呢?
是从实际的工作中总结出来的,这三层架构说起来很清晰,客户可以理解,做起来也容易,反正都能套到这三层里去。每层做细后,实际效果也还可以。
现在把这三层常见的措施说说。
1、防御层面
这一层第一步是梳理网络资产,把客户当前的资产暴露面梳理一下。要梳理的信息不是拍脑袋想的,是根据要做的监控工作来的。数量也可多可少,就看这些信息能不能满足你的监控颗粒度。颗粒度大,梳理的信息就少点,颗粒度细,梳理的信息就多点。
举个例子,我们要根据威胁情报监控网络安全风险,那么就要先把资产里的一些字段信息梳理一下。中间件版本、操作系统版本、数据库版本、开放端口等。这样,当我们遇到爆出操作系统版本漏洞时就能够直接定位到相应版本的操作系统,然后做打补丁加固的工作。
一般情况下,都是根据信息系统来梳理的,把公网上IP总量梳理清楚,IP上开放的端口梳理清楚,就是一些暴露面搞清楚,后续可以来收拢暴露面,或者做相应的风险监控和加固。
第二步就是建立防护能力,这个能力需要部署一些安全设备,比如:
下一代防火墙——用来抗DDoS,做网络层的病毒防御。
WAF——应用层的扫描攻击。
蜜罐——主动防御,部署一个财务系统啥的,吸引攻击者入侵蜜罐,提前预警。
此外比较有预算的话,入侵检测、态势感知、安全管理终端、上网行为管理都可以加。
2、监控层面
监控就是要定期做资产探测看看,资产有没有漏网之鱼、然后定期要做一些漏扫渗透、要对接威胁情况做告警。
有些安全设备的策略要配置好,及时更新特征库,这样安全设备会及时报警,我们根据报警情况来做操作,该打补丁打补丁,该杀毒杀毒,该改代码改代码。
监控也主要是从主机和网络两个层面去看的。
3、加固层面
加固这个层面内容比较繁杂。也可以分好几个方面。
安全意识方面:这块主要和业务开发层面去沟通,培训,推动安全意识的提升。还要给公司全员开展安全培训,通过这些培训和沟通,帮助业务团队了解安全的重要性,了解如何在日常工作中防范安全风险。
应用方面:通过之前做的资产梳理和渗透漏扫可以知晓应用系统当前的漏洞,要给出安全解决方案支持业务团队去修复漏洞。
新系统上线方面:要做安全测试,安全代码审计并评估新系统的整体安全性。发现有问题,要支持业务团队修复。
这些就是三层架构的理论层面的内容,拿去给客户吹吹牛都是可以的,但是要指导落地还需要实施方法。
下面列表说一下方法和工具:
| 防御——缩小暴露面 | 网络隔离 外部端口探测NMAP NIDS流量监控 |
防御——防DDoS和网络层面的恶意代码和入侵 | 云厂商的企业版DDoS高防防火墙 下一代防火墙 |
| 防御——HTTP层面的防御 | 云WAF、雷池、OpenResty |
| 防御——网络阻断 | IDS自带的旁路阻断能力 |
| 监控——网络入侵监控 | 各大厂商都有 |
| 监控——主机入侵监控 | 各大厂商都有 |
| 监控——蜜罐 | HoneyDB,Hfish |
| 加固——静态代码审计 | fortify checkmax xcheck semgrep |
| 加固——人工安全测试 | 逻辑漏洞、越权漏洞、密码找回、前端校验、验证码绕过、修改支付金额、文件上传、文件包含。(机器扫不出来的,我们来) |
| 加固——安全工具自动化漏扫 | AWVS、 Xray |
| 加固——动态代码审计 | 火线洞态 |
这样基本上就给客户设计好了基础架构,在这样的架构下,应对合规也是没有啥问题的。
然后,如果安全运维人员有了这样的架构思维,开展运维工作也会更加得心应手。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
5976
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
