前言

在某一天的深夜，作为安全从业人员，穿着大裤衩子，坐在门前，点燃一根烟（画面自己想象）开始思考企业如何打造自己的安全体系，虽然这不是作为月薪3k该考虑的问题，但是毕竟当初笔者的从业理想是想成为道哥一样的人，为安全行业贡献自己的一份力。于是写下自己的想法，对于中小企业我希望能够完善自己的安全体系，花最少的钱做好安全这件事；对于安全人员我希望大家多考虑企业面临的危险点，而不只是会开一个扫描器做一个定时任务、开一个dirsearch就睡觉的那种！

随着国家现在化、信息化的不断推进，同时5G时代的来临，很多企业开始慢慢数字化转型，我们感受到了信息化给我们带来的方便与快捷，不管是衣食住行都比较以前都有了青铜到黄金的提升，这点上笔者深有体会！那么在这个高速发展的信息化道路上，不容忽视的一个大问题就是安全问题！！！我相信很多人和笔者一样收到过一些某某贷、售房等推销的电话，那么我们就不得不质问一个问题了，在如今我们每天都在面对手机的时代，上个厕所都在刷抖音的时代，我们的个人信息怎么得到保障？谁来保障？国家是不是应该颁布安全行业规则?

对于企业面临的安全问题依然很严峻，尽管你的网站采用https，但是这也避免不了病毒带来的对业务的影响，对于国家也是提出了没有网络安全就没有国家安全，加大了企业安全问题的整顿，我们知道我们的等保1.0到2.0有了改变，变得比以前严了，增加了对物联网、云的等保工作，同时也加大了对一些不整改的企业的惩罚，同时不同行业也出台了适合自己的安全管理体系，笔者曾经阅读过《银行安全管理体系》确实不错，大家有时间可以看看。可以看出安全问题已经不是一个企业能避免的问题了。面对庞大的安全体系，笔者将尽可能给大家从不同维度描述、讲解。

面临的问题

架构: 运维 业务 应用 内部
运维:服务器配置问题 未更新补丁 采用有漏洞的中间件及服务 弱口令等
业务:活动促销 账号体系 交易体系 风控体系等
应用:web漏洞 app漏洞
内部: 安全意识不足 办公网补丁 wifi密码  钓鱼邮件   网络区域划分限制以及权限采用白名单放通
老板信息  政府领导人名单 学生学号 公司工号 等敏感信息

安全体系建立（防守）

这是一个本人规划的一个安全架构设计图（勿喷）献上这个的原因是我希望大家在看这篇文章有个参考，在架构设计的时候，安全部门就应该参与并融入一些安全观念，比如考虑后期的抗Ｄ方案架构设计。网站是否负载均衡分流，是否上CDN，在架构设计方面应该考虑分层思想、边界防御、纵深防御（主机安全比如ossec、应用安全比如waf、边界安全比如snort）等思想！网络方面我们应该考虑设备的冗余，交换机采用HA部署方式。网站结构方面是否采用站库分离、前后端分离。同时全层的架构设计也应该结合等保2.0来设计，这样也方便后期的等保过级。应该特别注意的是前期我们应该做好严格的安全域的划分,不同区域的安保级别划分以及不同区域之间在防火墙上面的访问策略.

假如以上就是一个公司的网络拓扑图，我们应该从哪些方面做好设计，下面将一一给大家分享下我个人的观点。我觉得企业应该从以下三个维度进行不断提升自己的安全防御能力。

1、基础安全方面：对于基础安全我们可以从四个方面做。

（1）数据安全体系：一个公司最重要的就是数据，面临动态数据静态数据的合理利用、存储、传输等问题，数据集中化、访问权限管理、数据防泄漏(DLP、USB控制)、敏感信息泄露(GIthub scan)、数据备份、数据安全审计、内部文件加水印等，做到数据的安全监控，从让攻击者进不来、拿不走、看不懂、能溯源方面制定不同安全策略。内网系统使用数据时的脱敏也很重要,一旦内网被入侵网络权限又没做好,这样web后台一旦被入侵可以查看很多敏感数据,所以现在的脱敏就会起到很重要的作用.

（2）安全技术体系：办公内网(网络隔离、补丁管理、文件共享管理、上网行为管理AC、多层防火墙部署方式以及ACL策略制定、终端防病毒软件防护、防病毒网关、防钓鱼邮件解决方案(基于恶意链接和可执行程序特征、UEBA系统对被钓鱼事后的用户实时异常行为以及时间点的监控、att&ck渗透检测、沙箱+AI对文件进行检测)、WIFI接入点以及强度覆盖安全、服务器安全(堡垒机、主机漏扫、web漏扫、HIDS、ids基于全流量检测产品、高交互蜜罐、基线不同应用、系统标准制定、中间件安全加固、补丁升级测试主机、服务器定时备份、內部DNS建立、埋点目录监控、webshell监控体系建立)、身份认证IAM、安全事件日志管理可视化分析展示、安全审计、容器的安全（仓库、配置文件、权限、镜像、进程可视化监控)、pc端(应对高级可持续攻击,除了部署终端防护产品还应该部署沙箱进行行为检测,因为目前看来很多免杀以及注入的可持续后门可以绕过特征的检测,我们应该基于行为进行检测并联动防火墙网关进行规则更新)、基于身份的访问控制(人、设备、应用、协议).还有一个很重要的点就是攻击面管理，基于业务上报的资产我们同时应该进行一个资产巡检系统搭建进行一个主动资产探测，知己知彼才能做到掌控全局。

Hifish蜜罐

Splunk日志可视化(充分利用好日志，比如一个攻击者前期可能对公司多个子域名进行访问、多个登录口进行访问，我们是不是可以利用日志进行人物画像，化被动为主动，防御不应该是被动的)

代码审计Fortify(同时利用sonarqube集成到jenkins融入到CI过程，对代码质量进行一个控制)

漏扫体系（nessus+awvs+xray）

GitHub监控

内部DNS

Jumpserver

主机Firewalld（严格做好只能某个ip或者ip段能访问，比如只能前面的反代负载能访问服务器某个端口，不让网站ip暴露在公网）

（3）安全管理体系：内部的IT治理(政策\程序\合规等的文件)以及IT管理、每年的内审外审、管理制度(针对不同部门制定不同安全制度)、施行责任制、合规、安全意识培训(很重要)、安全开发SDL( 软件环境安全、代码仓库安全、安全编码，在代码开发前进行全程跟踪,从开发前的不同部门个人的安全培训到上线前的静态审计、动态测试、黑盒测试、最后进行安全部署上线,可参考瀑布生命周期模型)、安全运营(资产巡检、安全产品日产运维、防泄漏监控githubScan、安全事件分析研判、0day规则制定、补丁流程管理、安全事件流程管理SIEM、变更管理、SLA、特权用户管理监控、配置管理及版本中间件管理)、第三方产品安全监控

（4）应急响应体系：不同安全事件响应、BCP团队建立、灾难恢复计划。

2、安全体系：GDPR数据保护条例(数据客体义务)、ISO27001、等保

体系主要是站在巨人的肩膀上从管理和技术两条腿更加协调的行走,所有的安全建设规划都应该以文件的方式落地,根据不同的安全策略进行管控风险.

3、业务安全：反诈骗监控方案(基于手机短信特征监控)、薅羊毛、批量注册

业务安全主要可以从账号体系、内容安全、交易体系、支付体系、积分体系等，目前解决方案主要还是基于信息库排查，人物画像、打分机制，大数据智能分析来对恶意访问进行判断识别。这里不详细描述，有兴趣的可以看看相关书籍、文章、相关解决方案白皮书。

攻击方向分析

对于攻击方向，最常见的就是通过黑盒测试，因为最近几年HW越来越火，也成为了检验系统是否安全的一种评判标准，我这里大概说说攻击常用的渗透方式，同时作为一名公司的信息安全工程师也应该定期对各业务系统进行模拟hacker进行渗透测试，形成一个内部攻防演练的效果。

Web安全渗透：框架漏洞、中间件漏洞、文件上传、服务器端信息泄露、跨站xss、sql注入、web安全基础、劫持攻击、业务逻辑漏洞、代码执行、命令执行、文件包含、解析漏洞、系统服务组件漏洞。

后渗透：权限提升、权限维持、内网漫游、横向渗透、域渗透

代码审计：命令执行、url跳转、任意文件上传、目录穿越、Struts2框架漏洞、Spring框架漏洞、SQL注入、xss漏洞、java代码审计环境、软件安全开发、XXE漏洞、SSRF漏洞

总结

对于企业的防御离不开攻击方式的了解，只有掌握这些攻击方式和常见漏洞以及合规的管理方式，这样才能让我们企业的系统免受攻击的风险。除此之外，我们应该适当运用一些出奇的战术，比如迷惑战术、拖延战术（放一个大文件让他去下载把，文件名具有诱惑性）、反制战术(他能钓我为啥我们不能放点东西让他上钩)，这样才能把防御玩出高度。对于网络和通信安全，我们同样应该给与关注，根据网络七层模型，不同层级对应组件和协议的安全，协议之间的通信密码学的运用，协议的安全这里并没剖析。总之一句话安全是一个红蓝对抗的事。太难了，听说Nessus又更新了插件，告辞。。。。。。