中小企业网络安全建设指引

【序章】

本文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训(为投资企业提 供全方位资源支持是腾讯投资的一个增值服务)的时候产生的副产物:部分初创企业安全团队规模较小(甚至没有专职的安全团队),但是却又实实在在地遭受到来 自互联网的安全威胁,它们急需安全方面的指导,但是又苦于经验和资源的匮乏,所以当时我们答应下来将这部分工作后续以文章及服务的形式进行分享。

由于我们几个人的能力和见识所限,成文仓促,难免会存在一些这样那样的错误,也欢迎大家批评指正,一起把指南工作修订好。

【理论篇】 


如 培训现场所言,企业的网络安全是一个体系,方方面面都做的话是一个大工程,即使只是网络安全一个分支也需要较长时间建设,所以在早期需要解决当前主要矛盾 (即“止血”,在关键位置先控制住大部分风险)。基于我们几个人过往的从业经验,我们建议各位在以下几个关键位置做好控制,则可以达到事半功倍立竿见影的 效果:

1)端口管控。所有服务器非业务端口全部对互联网关闭,管理端口只能通过内部堡垒机访问,必须要对互联网开启的端口要严格做好IP(或者帐号)白名单访问控制(对于Web层,更安全的做法是再增加一层短信或者微信之类的二次认证,参考OTP或者U2F)。做好之后,可以避免来自互联网的初级黑客和蠕虫病毒的攻击,比如不会受类似近期比较猖獗的MangoDB、ElasticSearch勒索事件影响;
2)按区隔离。普通区与高危区网络隔离或者二者之间用DMZ做缓冲,比如安全形势复杂的办公环境与生产环境隔离,生产环境内部核心机器与普通机器隔开。如果黑客入侵了某个普通区,我们还有机会避免重要资产的损失;
3)统一架构。参考微软提出的SDL(Security Development Lifecycle,安全开发生命周期),使用统一的研发和运维框架(这部分还要研发管理和运维的配合),并在框架的关键路径加入安全检查,如果出现漏洞只需要更改框架即可,避免到处漏水,可一劳永逸;
4)严防出口。布控业务发布流程,将安全审核嵌入到上线前的发布流程并作为关键环节并具备高危漏洞一票否决权;
5)安全接口。从业务团队找出一位同志担任安全接口人,由他来负责业务团队与安全团队的对接,协助推动安全工作;
6)上层支持。这个是决定性的因素,不多说。

只要不折不扣地做到以上几点,基本上可以解决百分之九十以上的已知问题,等于是通过加固把攻击者的攻击点控制在了已知范围,详细思路参考这篇文章。但是,要时刻记住,以上措施只是缓解了外部的直接攻击(很多风险在内网仍然存在),并不能高枕无忧,毕竟黑客如果能够找到突破点进入到内网仍然可以长驱直入。

大的面上控制住后就是对某个点的精细化运营,也就是建立纵深防御体系。这里需要投入大量资源,投入的资源视企业自身对信息安全的需求程度而定。近期谷歌发布的谷歌基础设施安全设计概述(Google Infrastructure Security Design Overview)就全面阐述了谷歌的基础设计的安全设计思路以及实践,从硬件到应用层都做了防护,纵深防御层层相扣,几乎做到了企业安全的极致,也是我 辈学习的典范(我们会在另外的文章深入分析学习谷歌基础安全)。

【工具篇】 


“工欲善其事必先利其器”,有工具的辅助会节约人力和提升效率。好在互联网是开放的,很多优秀的安全工具是免费甚至开源的,这里主要是整理一些常用的免费安全工具/在线服务,希望能够帮助到大家。有些工具有一些年头了——old,but not obsolete。


[ 扫描探测 ]

Nmap(https://nmap.org/),不仅仅是端口扫描器,支持各种网络设备的探测,尤其对当今物联网环境特别有用;同时结合各种脚本,能够实现漏洞扫描,在安全漏洞应急中可用于评估漏洞影响范围,方便高效。

Masscan (https://github.com/robertdavidgraham/masscan),类似Nmap,但功能更聚焦于端口扫描,虽然没有Nmap功能强大,但速度快,号称“互联网最快的IP端口扫描器”。

[ 暴力破解 ]

Hydra (https://www.thc.org/thc-hydra/),网络帐号破解工具,支持非常多的协议,是企业比较好的可以用于弱口令测试的工具(当然我认为你的这些端口都不应该开在互联网,但是总有例外)。

John the Ripper(http://www.openwall.com/john/),开源免费的跨平台暴力破解工具,支持许多加密算法,比如MD5、DES等等,常被用于Unix/Linux系统登录弱口令探测。

[ Web漏洞检测 ]

AWVS Acunetix Web Vulnerability Scanner(http://www.acunetix.com/vulnerability-scanner/),著名的商业化Web漏洞扫描器,集 成了各种漏洞扫描与利用的工具,支持许多Web漏洞类型以及一些主流Web产品历史漏洞的扫描,是一款综合性较强的扫描器,可作为首选。腾讯自研的Web 漏洞扫描器也拿它作为对标竞品之一。

APPScan(http://www-03.ibm.com/software/products/en/appscan-standard),IBM出品的Web漏洞扫描器,与AWVS齐名,也是腾讯自研Web漏洞扫描器的对标竞品。

BugScan(https://old.bugscan.net),四叶草安全出品的基于Python的Web漏洞扫描器。亮点是基于社区的扫描器,大家都可以编写插件,所以插件全面并且更新快。

sqlmap(http://sqlmap.org/),基于Python开源的SQL注入工具,功能非常强大, 常被用于SQL注入的漏洞渗透测试,也有很多厂商基于它做二次开发,增加了GUI界面、主被动式批量扫描等功能。同时它也支持自定义脚本,常被用于绕过 WAF防护进行注入,可扩展性较强。

Burp Suite(https://portswigger.net/burp/),著名的Web安全测试工具,可代理HTTP/HTTPS抓包,方便分析与重放请求包,再结合一些安全插件可以非常方便地挖掘Web漏洞。

JSky,好用的Web应用安全检测工具,国内黑客zwell出品。

Safe3 Web Vul Scanner,国内另一黑客safe3的Web漏洞检测工具。

WPScan(https://wpscan.org/),专门针对WordPress程序的漏洞检测工具。 WordPress是一个PHP开发的Blog系统,却有专门漏洞检测工具.......由此可见,没有特殊理由不要使用第三方开源Web程序(不知道当 年的风靡一时的ASP论坛动网还在不在)。

RIPS(http://rips-scanner.sourceforge.net/),一款开源的PHP代码审计工具,能够从代码级检测常见的Web漏洞,但需要人工去排查确认结果,存在一定误报,比较适合具备Web安全研究经验的PHP开发者。

[Web防火墙 ]

ModSecurity(http://www.modsecurity.org/),开源的主机Web应用防火墙,支持Apache、Nginx、IIS等Web服务器,研究和体验WAF的首选参考。

创宇盾(https://www.yunaq.com/cyd/),知道创宇出品的在线Web防护服务,是将DNS指向云服务商清洗的原理,免费版给小型用户作为常规攻击防护还是足够的。

阿里云盾(https://cn.aliyun.com/product/waf),阿里云提供的Web应用防火墙,属于收费服务。

腾讯云WAF(https://www.qcloud.com/document/product/296/2227),由腾讯云提供的Web应用防火墙,支持Web漏洞防护以及虚拟补丁,可通过购买腾讯云主机直接使用。

[ 客户端安全检测]

腾讯金刚(http://service.security.tencent.com/kingkong),由腾讯安全平台部出品的免费终端安全审计服务,脱胎于内部使用的金刚系统,属于国内最早公开的Android APP漏洞检测系统。

阿里聚安全(http://jaq.alibaba.com/),由阿里聚安全开发的移动APP在线审计系统,支持Android/iOS,属于收费项目。

360显危镜(http://appscan.360.cn),360信息安全部开发的Android APP安全风险在线扫描系统,免费服务。

AFL-Fuzz(http://lcamtuf.coredump.cx/afl/),由Google开发的开 源的著名Fuzzer,对于开源项目的Fuzzing效果尤其好,目前已发现数百个主流软件的漏洞,能够自动寻找执行路径并反馈驱动Fuzzing,算是 漏洞挖掘界中的一颗明星。

(目前移动客户端自动化检测工具主要用于上线前自动化安全审计,检测结果不一定准确,需要人工复查)

[ APP加固 ]

腾讯云乐固(http://legu.qcloud.com),腾讯云出品的在线APP加固服务,通过对APP进行加密混淆,可有效地防止APP被逆向分析,防止盗版。同时提供实时的渠道监控和安全SDK包。

腾讯御安全(http://yaq.qq.com/),腾讯手机管家团队出品,主要解决应用安全加密、安全存储、安全加签、反调试、反篡改等难题。

阿里聚安全(http://jaq.alibaba.com),除提供APP漏洞检测外,它还提供有应用加固和持续监控的功能。

360加固保(http://jiagu.360.cn),360开发的Android应用加固服务,同时包括盗版检测、崩溃日志分析、数据分析等服务。

(目前从技术上来说,应用加固只能提高应用破解难度,无法保证百分百的安全)

[ 入侵检测 ]

OSSEC(http://ossec.github.io/),一款开源的多平台入侵检测系统,可以运行于 Windows、Linux,、OpenBSD/FreeBSD以及MacOS等操作系统中。包括了日志分析、全面检测、rootkit检测。作为一款 HIDS,它在业界是比较多见推荐的解决方案,不过在实践过程中,HIDS的核心功能是采集日志发送到后台,所以前端的解决方案用Nagios、 Cacti或者任意Agent搭配自定义的脚本,也能实现模型,入侵检测的重点在于策略和运营。

安全狗(https://www.safedog.cn/server_safedog.html),支持Windows和Linux的服务器安全检测工具,能够检测网站后门,防网站篡改和系统提权,还可以帮助服务器进行安全配置。

D盾(http://www.d99net.net/),国内著名黑客啊D(还记得啊D注入工具吗,就是那个啊D)出品,一款免费的Windows IIS防火墙,可用于检测服务器后门(效果很不错,实测比较精准),同时也具备WAF和防CC攻击的功能。

[ DDoS攻击防护 ]

DDoS本质是资源的消耗,除了极少数的轻量级攻击,基本上没有主机层能够解决的,所以DDoS防护一般需要投入大量成本依靠商业或者自研设备。随着云服务的兴起,由云服务商来提供防护服务或许会比硬件采购/自研节约成本。

腾讯云大禹(https://www.qcloud.com/product/ddd),依托于腾讯自研的DDoS防护系统宙斯盾及CDN,通过动态调度组织腾讯云全网各冗余带宽和防护能力,为用户提供的DDoS防护服务。

电信云堤(http://www.damddos.com/),由中国电信提供的DDoS攻击防护产品,具备异常流量监测、流量压制和流量清洗(近源清洗这种能力只有运营商具备)的功能。

阿里云盾(https://www.aliyun.com/product/ddos),阿里云提供的DDoS防护服务,也支持非阿里云主机。

360网站卫士(http://wangzhan.360.cn/),360提供的免费防DDoS攻击的在线云服务平台,同时也支持Web漏洞防御能力。

[ 文件行为分析 ]

腾讯哈勃(https://habo.qq.com/),由腾讯电脑管家出品的在线文件分析系统,存在在线版和APP版本,支持APK、EXE、PDF、SWF以及压缩包等多种文件格式,能够自动分析出文件存在的一些敏感行为,现在已经开源。

火眼(https://fireeye.ijinshan.com/),金山出品的在线文件行为分析系统,支持多种文件格式,主要包括Windows和Android下的文件,完全免费,报告的展示效果很好,能够给出文件关键的敏感行为,以及是否为恶意文件的结论。

VirusTotal(https://www.virustotal.com/),当前最流行的在线病毒扫描系 统,支持各种文件格式,包括病毒和漏洞常利用的文件格式,如doc、pdf、swf等等,当前共有59个主流的病毒扫描系统支持同时扫描,使用方便,常作 用优先的病毒检测工具。

微步在线(https://x.threatbook.cn/),业界元老sowhat创办的安全威胁情报分析平台,除了文件行为分析,还有IP/域名分析、域名解析历史记录,功能强大。

【知识篇】 


这里也推荐一些大牛的安全类著作以及部分安全知识站点供大家参考,同样由于我们学识有限,难免挂一漏万。


《互联网企业安全高级指南》
国内第一本系统讲解互联网企业安全体系建设的书籍,领衔作者是ayazero(曾经的安全组织 Ph4nt0m成员,经验非常丰富)。这本书对互联网企业初建的安全团队具有很高的参考价值,书中的内容很多都是作者多年的经验总结。第二作者 xti9er曾在腾讯安全平台部工作5年,也有丰富的实战经验。

《网络渗透技术》
这本书由安全焦点团队中的san、alert7、eyas、watercloud四位巨擘共同完成。这本书出版在2005年前后,在当时算是非常珍贵的网络攻防技术实战类著作。

《白帽子讲Web安全》
全方位讲解Web安全的著作,作者是Ph4nt0m创始人axis(又名刺、大风),现在是阿里云盾首席安全专家。这本书覆盖了客户端脚本安全、服务器端应用安全的各种常见问题。在具体漏洞介绍之外,这本书很多地方也体现了作者对互联网公司安全运营的思考。

《Web前端黑客技术揭秘》
同样是Web安全技术力作,更偏重于前端,作者是余弦(Web安全高手,前知道创宇404实验室负责人,现在好像创业去了)和xisigr(浏览器安全大牛,目前就职于腾讯玄武实验室)。

《无线网络安全攻防实战进阶》
ZerOne无线安全团队负责人杨哲(Longas)的力作,书如其名,是一本贴近无线安全攻防实战的书,涵盖了无线安全的方方面面。此系列有两本书,前一本名为《无线网络安全攻防实战》。

《加密与解密》
由看雪学院创始人段钢主持编著,软件安全分析领域的经典书籍,已经发行到第三版,预计2017年会发行第四版。

《0day安全:软件漏洞分析技术》
国内软件安全漏洞分析领域的经典著作,由failwest(对漏洞挖掘很有研究,2007年给我们 提交的TT浏览器漏洞显示出非常深厚的技术功力)所著,内容专注于堆和栈溢出的原理分析、利用技术,同时在第2版中补充了Windows内核漏洞方面的分 析,特别适合想入门软件漏洞分析领域的同学。

《漏洞战争:软件漏洞分析精要》
由腾讯安全应急响应中心的riusksk(泉哥)所著,本书系统地讲解软件漏洞分析与利用所需的各类工具、理论技术和实战方法,主要涉及Windows和Android系统平台。

《Android软件安全与逆向分析》
该书内容包括Android软件逆向分析和系统安全方面的必备知识及概念、如何静态分析 Android 软件、如何动态调试Android 软件、Android 软件的破解与反破解技术的探讨,以及对典型Android 病毒的全面剖析。作者非虫是看雪论坛Android安全版版主,实力自然是不必说了。

《Android安全攻防权威指南》
国外Hacker’s Handbook系列安全书籍一直是业界经典,本书也是Android系统安全漏洞研究领域一步经典著作,由国际上6名知名黑客/安全研究员所著,系统而 全面地介绍Android系统中的漏洞分析与利用技术,涉及面也比较广,包括应用、内核以及硬件安全等方面。

《iOS应用逆向工程》
iOS应用逆向分析的入门书籍,分为概念、工具、理论和实战4部分,介绍了iOS逆向中的常用工具和方法论,以及如何利用theos编写hook插件实现一些应用上的特殊功能。在iOS应用逆向分析(病毒分析、漏洞挖掘等等)领域具有一定的指导作用。

《黑客攻防技术宝典:Web实战篇》
也是属于国外Hacker’s Handbook系列安全书籍之一,由著名安全测试工具BurpSuite的作者所著,在Web安全领域书籍上的经典著作,重点推荐。

《Web安全测试》
介绍很多Web安全测试工具,讲述各种Web漏洞的测试与挖掘方法,很有实战价值。其中推荐的一些FireFox插件依然是当前Web测试中的常用工具。

《游戏安全——手游安全技术入门》
通过作者们丰富的实战经验,从移动端游戏逆向和外挂入手,由浅入深介绍手游安全领域的知识技能,腾讯游戏安全团队出品。另外,他们还提供手游反外挂安全服务MTP

《白帽子讲浏览器安全》
比较全面介绍浏览器安全攻防对抗的书籍,是学习浏览器安全的必备读物,作者是腾讯浏览器团队的blast。

【社区篇】 


下面我们再介绍一些可以长期关注的网站平台和安全媒体,同样挂一漏万。

Freebuf黑客与极客(http://www.freebuf.com/)
国内办得比较好的安全资讯、安全技术网站,话说他们第一次作为媒体参与的就是TSRC第一届安全峰 会报道,可以说大家是一起成长起来的。另外Freebuf的安全众测服务“漏洞盒子”、在线安全教育“Freebuf公开课”、互联网安全创新大会FIT 等业务也做得有声有色。创始人袁劲松(树哥)和thanks都是圈内新锐。

看雪学院(http://bbs.pediy.com )
国内著名的软件安全交流社区,培养出很多二进制安全方向的人才,也是国内少有的依然保持活跃度的技术论坛。站点上每年的精华集都是一份不错的学习资料,虽然后面这两年没整理,但精华帖依然可以查看,而且论坛也出版过不少软件逆向/漏洞分析的书籍。

安全焦点(http://www.xfocus.net/)
国内最老牌的安全站点,可惜现在已经不维护了。当年活跃在上面的人如今已成为安全圈的中流砥柱,致敬。

乌云漏洞报告平台(http://www.wooyun.org/)
曾经国内最大的漏洞报告平台,现在由于众所周知的原因关闭。是非成败转头空,青山依旧在,几度夕阳红。

i春秋(http://www.ichunqiu.com/)
在线的信息安全培训网站,创始人蔡晶晶(cjj)是安全圈老前辈。i春秋的企安殿视为企业提供网络安全培训的在线教育平台,中小企业安全团队的同学可以通过i春秋提供的平台提升技术能力。

嘶吼(http://www.4hou.com)
安全焦点呆神(casper)创建的安全媒体。凭借呆神的团队能力和业内资源,嘶吼肯定会成为一个值得关注的安全媒体。

Seebug(https://www.seebug.org/) & ZoomEye(https://www.zoomeye.org/)
知道创宇404实验室(现在的负责人是安全圈大牛、大名鼎鼎的“漏洞之王”SuperHei)运营的一个社区平台和漏洞搜索引擎,关注热点漏洞和新式攻击方法,另外还有安全技术社区paper、开源漏洞测试框架Pocsuit等多个平台,是学习安全技术的好地方。

安全客(http://bobao.360.cn/)
360主办的安全资讯、安全技术网站,前身叫360安全播报。

腾讯安全应急响应中心(https://security.tencent.com/)
TSRC官网,欢迎来这里报告漏洞和交流技术。

SecTools(http://sectools.org/)
这是安全领域里的经典工具排行榜,目前仍在维护和更新,多数业界的知名产品都会被纳入其中,包括本文的一部分推荐。

【作者】 


lake2/职业欠钱/riusksk/nicky/Gmxp/flyh4t

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业计算机网络安全系统设计与实现 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-LGG08】 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-LGG08】 企业计算机网络安全系统设计与实现全文共37页,当前为第1页。企业计算机网络安全系统设计与实现 企业计算机网络安全系统设计与实现全文共37页,当前为第1页。 企业计算机网络安全系统设计与实现 摘 要 随着网络技术的不断发展和应用,计算机网络不断改变各种社会群体的生活、学习和工作方法,可以说人们已经不能离开计算机工作和学习。 由于计算机网络在生活中如此重要,如何保证网络的安全可靠稳定运行,已成为网络设计和管理中最关键的问题。 企业作为互联网应用最活跃的用户,在企业网络规模和网络应用不断增加的情况下,企业网络安全问题越来越突出。 企业网络负责业务规划、发展战略、生产安排等任务,其安全稳定直接关系到生产、管理和管理的保密性。 因此,企业建立网络安全体系至关重要。 本文首先介绍了企业计算机网络安全技术,分析了计算机网络接入和防火墙技术等系统开发过程中涉及的关键技术,以及如何在此阶段为上述网络安全问题建立安全系统。 如何建立监控系统等,并描述了系统的实现过程。 该系统可实现计算机网络访问控制、文件系统运行、系统运行状态等的远程访问和实时监控。 主要实现用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块、文件对象管理模块等。 通过对系统的测试和分析,系统达到预期的设计目标和工作状态,可以满足内部网络安全监控的功能要求。 可应用于网络信息安全有更高要求的企业和部门。 企业计算机网络安全系统设计与实现全文共37页,当前为第2页。关键词:网络安全;实时监控;安全系统;网络信息安全 企业计算机网络安全系统设计与实现全文共37页,当前为第2页。 绪论 课题研究的背景及意义 随着计算机网络技术的发展,互联网的应用也在不断推进,其应用已深入到工作、生活、学习和娱乐的各个方面,使人们的工作环境不断改善,提高生活质量,企业电子商务发展迅速,信息化水平大幅提升,大大促进了经济社会的进步和发展。但是,互联网的普及为人们带来了便利,提高了生活质量,促进了社会科学技术进步,促进了社会的发展,同时网络信息安全的问题日益突出[1]。 随着计算机网络的广泛应用和普及,黑客的非法入侵,网络中计算机病毒的蔓延和垃圾邮件的处理已成为关注的焦点。 许多公司没有为计算机网络系统做好安全措施,付出了非常惨痛和昂贵的代价[2]。 企业网络建设是企业信息化的基础,INTRANET是企业网络模式,是企业网络的基础。 INTRANET不完全是LAN的概念,通过与互联网的连接,企业网络的范围可以跨区域,甚至跨越国界[3]。 现在很多有远见的商界领袖感受到企业信息化的重要性,已经建立了自己的企业网络和内部网,并通过各种广域网和互联网连接。 网络在我国的快速发展只有近几年才出现,企业网络安全事件的出现已经非常多[4]。 因此,我们积极开展企业网络建设,学习吸收国外企业网络建设和管理经验,运用网络安全将一些企业网络风险和漏洞降至最低。 企业计算机网络安全系统设计与实现全文共37页,当前为第3页。 随着威胁的迅速发展,计算机网络的安全目标不断变化。因此,只有不断更新病毒和其他软件不断升级以确保安全。对于包含敏感信息资产的业务系统和设备,企业可以统一应用该方法,从而确保病毒签名文件的更新、入侵检测和防火墙配置以及安全系统的其它关键环节。简单的技术无法解决安全问题。只有依靠健全的战略和程序,并配合适当的人员和物质安全措施,整合安全解决方案才能发挥最大的作用。健全的安全政策和标准规定了需要保护的内容,应根据权限和需要划分人员的职能。公司需要高度支持安全政策,提高员工意识,有助于成功实施战略[5]。 企业计算机网络安全系统设计与实现全文共37页,当前为第3页。 全面的安全策略提高了目标计算机网络的整体安全性,这是通过使用网络安全独立产品无法实现的。 不管内部和外部安全问题如何,确保所有这些功能都得到实施。 维护安全的基本框架非常重要[6]。 企业网络安全系统国内外研究现状 企业网从初始单一数据交换发展到集成智能综合网络,已经经历了十几年的时间。在此过程中,企业网络人员逐渐实现了网络架构设计多层次,多元素化。它包括主机系统、应用服务、网络服务、资源、并支持业务的正常运行。 现在企业对网络的需求越来越高,对网络的依赖越来越强,这表明企业管理、生产和销售网络发挥了很强的支撑作用[7]。 国内企业网络安全系统现状 随着宽带互联网的快速发展,企业网络安全形势恶化,受访企业中有部分企业发生网络信息安全事件,其中一些企业感染了

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值