精华内容
下载资源
问答
  • 如何理解企业安全能力框架(IPDRR)

    千次阅读 2021-06-17 15:48:48
    企业安全能力框架(IPDRR)是美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架(简称NISTCSF )。第一个版本于2014年发布,旨在为寻求加强网咯安全防御的组织提供指导。企业...

    企业安全能力框架(IPDRR)是美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架(简称NISTCSF )。第一个版本于2014年发布,旨在为寻求加强网咯安全防御的组织提供指导。企业可以根据自身需求加强网络安全防御。

    企业网络安全系统框架(参考IPDRR)

    随着社会数字化转型的深入,网络攻击事件日益增多、破坏力逐步增强。安全方法论也正逐步从"针对威胁的安全防御"向“面向业务的安全治理”(IPDRR)等演进。

    IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理的模型,变被动为主动,最终达成自适应的安全能力。

    IPDRR模型体现了安全保障系统化的思想,管理与技术结合来有效保障系统核心业务的安全。通过持续的安全检测来实现IPDRR的闭环安全,为用户提供完善的安全能力框架和支撑体系。

    具体来说IPDRR主要包含了五个部分:

    识别(Identify)识别网络资产及风险,是指对系统、资产、数据和网络所面临的安全风险的认识及确认

    保护(Protect)保护网络,是指制定和实施合适的安全措施,确保能够提供关键基础设施服务。

    检测(Detect)发现攻击。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行,制定和实施恰当的行动以发现网络安全事件

    响应(Respond):响应和处理事件,指对已经发现的网络安全事件采取合适的行动。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统

    恢复(Recover):恢复系统和修复漏洞。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复

    可以参考大家对实体财物是怎么保护的就很容易理解了。举个例子,大家如何对自己的私有财产是怎么保护的呢?

    第一步识别(Identify)肯定是识别出有哪些资产分别都有什么风险吧,比如家里的现金、金银珠宝、贵重电器、房产证、82年的拉菲、92年的茅台等等对于我们来说都是属于我们要保护的资产,这些都有被小偷偷走,被破坏等风险。所以我们需要采取一定的措施将这些资产给保护起来。比如现金、金银珠宝、房产证等放在保险柜里,82年的拉菲、92年的茅台等搞个酒窖上好锁,家里的房子装好防护门、防盗窗等,这些就是第二步保护(Protect),对需要保护的资产做好基本的防护。做到了这些够不够呢?显然是不够的,这只是做好被动防御,我们还要做好主动防御,也就是第三步检测(Detect),这时候我们可以装一些监控设备摄像头、传感器等等,看时时刻刻监控我们所要保护的资产看有没有什么情况,还可以雇佣一批保安7*24小时巡逻实时监测。响应(Respond)也就是发现了什么风吹草动,就采取响应的措施,比如如果是有人破门而入就及时的告警,制止,报警。恢复(Recover)就是对易发生的损失进行恢复,如有人破门而入把门给搞坏了,就得把门重新修好或换一个新的级别更高更安全的门。

    企业的网络安全也是一样的。首先要识别自己企业的网络安全资产如重要系统、服务器等都部署在哪里,有没有漏洞,基线配置有没有合规。然后需要做好基本的防护,比如在出入口部署防火墙、主机装EDR、Web服务器要在WAF的保护下、做好访问控制、部署IPS设备等等。有了基础的防护设备以后要做好检测响应比如部署NTA做好流量检测分析、部署SIEM或日志分析系统将这些基础防护设备的告警精心接入做好安全告警的检测分析。通过检测设备发现网络安全事件以后要采取响应的响应措施,比如发现漏洞要进行补洞加固等、发现攻击封堵IP等,可以通过SOAR安全编排与自动化响应平台对人、工具、流程进行协同提高对于安全事件的响应能力。最后是恢复,也就是对已经造成的破坏进行恢复至正常状态,对于失陷的主机进行离网、杀毒、重装、恢复等。

    本文试图对市面上常见的安全产品进行分类来映射到IPDRR的五大能力

    识别(Identify)提供识别能力的产品包括资产管理平台、资产测绘平台、基线管理平台、漏洞扫描工具等。

    保护(Protect)提供保护能力的产品包括主机防御类EDR、VPN、4A、防火墙、IPS、WAF、抗DOS等

    检测(Detect) 提供威胁检测能力的产品包括IDS、NTA、蜜罐、恶意代码检测、用户异常行为检测等。

    响应(Respond):提供响应能力的产品包括SIEM、安全审计、态势感知、SOAR等

    恢复(Recover):提供恢复能力的产品包括NG-SOC,NG-SOC理论上应该是覆盖了IPDRR所有的能力。

    IPDRR产品能力映射

    当然企业安全能力不能够仅仅的依靠工具,是人、策略、流程、工具综合能力的体现。企业可以根据自身需求参考IPDRR能力框架模型加强网络安全能力建设,哪里欠缺补哪里,通过管理与技术结合来有效保障系统核心业务的安全。

    作者博客:http://xiejava.ishareread.com/

    展开全文
  • 切入“企业安全”的视角 企业安全是什么 CSO 企业安全包括哪些事情 企业安全涵盖7大领域 建议 互联网行业安全工作总结 互联网企业和传统企业在安全建设中的区别 总体上 传统企业和互联网企业在安全建设需求...

    前言:

    高效读书,一张逻辑图带你读懂、读薄书中重点。

    注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。

    目录

     理论篇思维导图​

    安全大环境与背景

    切入“企业安全”的视角

    企业安全是什么

    CSO

    企业安全包括哪些事情

    企业安全涵盖7大领域

    建议

    互联网行业安全工作总结

    互联网企业和传统企业在安全建设中的区别

    总体上

    传统企业和互联网企业在安全建设需求上的差异

    安全建设

    不同规模企业的安全管理

    创业型公司

    大中型企业

    大型互联网企业

    生态级企业vs平台级企业安全建设的需求

    差别的表象

    差别的成因

    平台级公司的"止步”点

    生态级公司的竞技场

    云环境下的安全变迁

    资源形式的变迁

    云环境下安全问题

    安全的组织

    创业型企业一定需要CSO吗

    招聘方的诉求

    不同阶段的需求

    创业型企业的挑战

    如何建立一支安全团队

    极客团队

    创业型企业

    不同的能力类型

    大型企业

    超大型企业

    甲方安全建设方法论

    从零开始

    CSO上任之初要做些什么

    不同阶段的安全建设重点

    战后重建

    进阶

    优化期

    对外开放

    如何推动安全策略

    公司层面

    战术层面

    安全需要向业务妥协吗

    业界百态

    安全的本质

    妥协的原则

    选择在不同的维度做防御

    技术实现维度场景

    "—题多解”的场景

    跨时间轴的场景

    风险和影响的平衡

    修复成本的折中

    需要自己发明安全机制吗

    安全机制的含义

    企业安全建设中的需求

    取舍点

    如何看代SDL

    攻防驱动修改

    SDL落地率低的原因

    因地制宜的SDL实践

    SDL在互联网企业的发展

    STRIDE威胁建模

    STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论

    关于ISO27001

    重建对安全标准的认知

    最实用的参考

    广泛的兼容性

    局限性

    流程与“反流程”

    人的问题

    机器的问题

    业务持续性管理

    关于应急响应

    安全建设的“马斯洛需求”层次

    TCO和ROI

    业界的模糊地带

    关于大数据安全

    解决方案的争议


    理论篇思维导图

    安全大环境与背景

    切入“企业安全”的视角

    企业安全是什么

    从广义的信息安全或 狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求 为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程 化的日常安全活动的集合

    CSO

    CSO不会只停留在微观对抗上,而是会关注系统性建设更多一点。至于跟董事会 建立沟通桥梁,虽然也重要,不过关注的人就更少了

    企业安全包括哪些事情

    企业安全涵盖7大领域

    1. 网络安全:基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦在纯技术层面
    2. 平台和业务安全:属于特定领域的安全,不算广义安全
    3. 广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算 机数据库以外,还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐私、内 部邮件、会议内容、运营数据、第三方的权益信息等,但凡你想得到的都在其中,加上泛 u Technology n的大安全体系。
    4. IT风险管理、IT审计&内控
    5. 业务持续性管理:BCM ( Business Continuity Management)不属于以上任何范畴, 但又跟每一块都有交集
    6. 安全品牌营销、渠道维护:CSO有时候要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介,现在SRC的活动基本也属于这一类
    7. CXO们的其他需求

    建议

    对于互联网公司,建议做1 、2、5

    对于传统行业,建议做1、3、4、5

    互联网行业安全工作总结

    • 信息安全管理(设计流程、整体策略等),这部分工作约占总量的10%,比较整体, 跨度大,但工作量不多
    • 基础架构与网络安全:IDC、生产网络的各种链路和设备、服务器、大量的服务端程 序和中间件,数据库等,偏运维侧,跟漏洞扫描、打补丁、ACL、安全配置、网络 和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。
    • 应用与交付安全:对各BG、事业部、业务线自研的产品进行应用层面的安全评估, 代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测 等,属于有点“繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的 人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是 当下比较有挑战的安全业务,整体比重大于30%,还在持续增长中。
    • 业务安全:上面提到7大领域的2,包括账号安全、交易风控、征信、反价格爬虫、反作弊、 反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外 挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思淫欲”的进阶需求, 在基础安全问题解决之后,越来越受到重视的领域。整体约占30%左右的工作量, 有的甚至大过50%,这里也已经纷纷岀现乙方的创业型公司试图解决这些痛点。

    互联网企业和传统企业在安全建设中的区别

    总体上

    传统企业偏重管理

    互联网企业偏重技术

    传统企业和互联网企业在安全建设需求上的差异

    传统企业安全问题的特征

     IT资产相对固定

    业务变更不频繁

    网络边界比较固定

    IDC规模不会很大,甚至没有

    使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品 (解决方案)通常可以搞定

    大型互联网企业需要应对问题

    海量IDC和海量数据

    完全的分布式架构

    应对业务的频繁发布和变更

    架构层面需要关注:高性能、高可用性、(水平)扩展性、TCO

    安全建设

    传统企业的安全建设

    在边界部署硬件防火墙、IPS/IDS、 WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC”当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS (信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足 大量的合规性需求。

    互联网企业的安全建设

    办公网络

    互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重

    生产网络

    安全解决方案基本上都是以攻防为驱动的,怕被黑、怕拖 库、怕被劫持就是安全建设的最直接的驱动力,互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统企业更务实的地方

    大型互联网安全建设

    从量变到质变

    对于超过一定规模的大型互联网公司,其IT建设开始进入自己发明轮子的时代,安全解决方案开始局部或进入全部自研的时代

    安全建设的方法论

    自研或对开源软件进行二次开发+无限水平扩展的软件架构+构建于普通中低端硬件之上(PC服务器甚至是白牌)+大数据机器学习的方式,是目前大型互联网公司用来应对业务持续性增长的主流安全解决方案

    安全进入大数据时代则是肯定的

    不同规模企业的安全管理

    创业型公司

    保障最基本的部分,追求最高性价比,不求大而全

    基本的补丁管理要做

    漏洞管理要做

     L3 ~ L7的基本的访问控制

    没有弱密码,管好密码

    账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位

    办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了

    流程什么的就没必要去搞了,有什么需求,口头约束一下

    找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来

    系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误

    使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等

    使用市场中第三方安全厂商提供的安全能力

    大中型企业

     L2 ~ L7中的每一层拥有完整的安全设计

    对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力

    应用层面细粒度控制

    全流量入侵检测能力

    无死角1天漏洞发现能力

    在安全等级较高的区域建立纵深防御和一定的0天发现能力

    初具规模的安全专职团队

    对应用交付有自主的评估和修补能力

    从IT服务层面建立必要的流程、业务持续性以及风控应急措施

    对业务安全形成自己的风控及安全管理方法论

    将难以自己实现的部分外包

    大型互联网企业

    生态级企业vs平台级企业安全建设的需求

    差别的表象

    主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源匸具的实现

    差别的成因

    技术驱动在底层还是在应用层驱动业务表象上

    第二个因素是钱,钱也分为两个方面:I )成本;2) ROI

    第三个因素是人。安全团队的人员数量也只是一个很表面的数字,安全团队的构成才 是实力,能囤到大牛的安全团队和由初级工程师组成的安全团队显然是不一样的

    平台级公司的"止步”点

    可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、内核级别的安全机制,基本上都不 会介入,对于一个规模不是特别大的平台级公司的甲方安全团队而言,这些门槛还是有点高

    生态级公司的竞技场

    主要工作还是在入侵检测、 WAF、扫描器、抗DDoS、日志分析等领域,而在SDL环节上可能也会自己研发些工具

    云环境下的安全变迁

    资源形式的变迁

    云环境下安全问题

    安全的组织

    创业型企业一定需要CSO吗

    招聘方的诉求

    CSO,在这个语境下用来指代招聘方想找拥有全局安全管理经验的人,甚至最好是资深的从业者,他能带一支哪怕是几个人的安全团队,并能把安全相关的事全部揽过去

    不同阶段的需求

    创业型企业的挑战

    如何建立一支安全团队

    极客团队

    如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样 的公司里你自己就是安全团队,俗称“ one man army”。此时一切头衔皆浮云,需要的只是 一个全栈工程师

    创业型企业

    对于绝大多数创业型企业而言,就像之前所说的,CSO不一定需要,你拉两个小伙伴 
    一起去干活就行了

    不同的能力类型

    长期发展潜力

    第一类是酷爱攻防的人,对绕过与阻断有着天生的兴趣

    第二类就是可能不是很热爱安全,但是CS基础极好的程序员,这一类人放哪里都是牛人

    大型企业

    对于比较大型的平台级公司而言,安全团队会有些规模,不只是需要工程师,还需要有经验的Leader,必须要有在运维安全、PC端、Web应用安全以及移动端App安全能独当 一面的人,如果业务安全尚有空白地带的话,还需要筹建业务安全团队

    超大型企业

    业务特点

    业务线比较长,研发团队规模通常也比较庞大,整个基础架构也构建于类似云计算的底层架构之上

    人员要求

    有应用安全的人是不够的,安全的领头人必须自己对企业安全理解够深

    Leader这一级必须对系统性的方法论有足够的了解

    实际上当你进入一个平台级公司开始,安全建设早已不是一项纯技术的工作,而技术管理上的系统性思路会影响整个安全团队的投入产出比

    甲方安全建设方法论

    从零开始

    CSO上任之初要做些什么

    三张表

    第一张表:组织结构图,这些是开展业务的基础,扫视一下 组织结构中每一块安全工作的干系人

    第二张表:每一个线上产品(服务)和交付团队(包括其主要负责人)的映射。这张图 实际就是缩水版的问题响应流程,是日常安全问题的窗口,漏洞管理流程主要通过这些渠道去推动,一个安全团队的Leader通常需要对应于一个或若干产品的安全改进

    第三张表:准确地说应该是第三类,包括全网拓扑、各系统的逻辑架构图、物理部署 图、各系统间的调用关系、服务治理结构、数据流关系等

    历史遗留问题

    只能灰度处理,逐步建立入侵检测手段,尝试发现异常行为,然后以类似灰度滚动升级的方式去做一轮线上系统的后门排查

    初期三件事

    第一件是事前的安全基线,不可能永远做事后的救火队长,所以一定要从源头尽可能保证你到位后新上线的系统是安全的

    第二件是建立事中的监控的能力,各种多维度的入侵检测,做到有针对性的、及时的救火

    第三件是做好事后的应急响应能力,让应急的时间成本更短,溯源和根因分析的能力更强

    一边熟悉业务,一边当救火队长,一边筹建团队基本就是上任后的主要工作了。如果团队筹建得快,这个阶段2 ~ 3个月就可以结束了

    不同阶段的安全建设重点

    战后重建

    主要做生产网络和办公网络的网络安全的基础部分

    进阶

    要向更广的方向拓展

    优化期

    会感到开源工具不足以支撑业务规模,进入自研工具时代

    对外开放

    安全能力对外开放,成为乙方,不是所有的甲方安全团队都会经历这个阶段

    如何推动安全策略

    公司层面

    推动安全策略必须是在组织中自上而下的,先跟高层达成一致,形成共同语言, 对安全建设要付岀的成本和收益形成基本认知,这个成本不只是安全团队的人力成本和所用的IDC资源,还包括安全建设的管理成本

    战术层面

    从现在开始不要再用“你们”这个词,而改用“我们”,自此之后便会驱动你换位思考,感同身受,真正成为助力业务的伙伴

    安全策略的推动还依赖于安全建设的有效性

    安全需要向业务妥协吗

    业界百态

    甲方安全团队

    认为安全压倒一切,且心口一致

    对安全行业涉猎不深,还停留在原始的执念阶段

    业务怎么样与我无关,只要不出安全问题,业务死了都无所谓

    口头唱安全重要,但心里还是会妥协

    安全的本质

    安全的本质其实是风险管理,没有绝对的安全

    妥协的原则

    既然安全建设的本质是以一定的成本追求最大的安全防护效果,那一定是会有所妥协的

    妥协并非退让,而是大局观

    妥协不应该发生在工程师层面,而是应该在Leader和安全负责人这个层面

    选择在不同的维度做防御

    技术实现维度场景

    在纵深防御的概念中,企业安全架构是层层设防,层层过滤的

    "—题多解”的场景

    跨时间轴的场景

    风险和影响的平衡

    修复成本的折中

    需要自己发明安全机制吗

    安全机制的含义

    安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfilter, Android的基 于appid隔离的机制,kernel支持的DEP (数据段执行保护),以及各种ASLR (地址空间随 机映射),各种安全函数、服务器软件的安全选项,这些都属于已经存在的安全机制

    企业安全建设中的需求

    绝大多数场景都不需要去发明安全机制

    取舍点

    要判断这是单个问题还是属于一类问题

    如何看代SDL

    攻防驱动修改

    多数甲方安全团队所做的工作实际上处于这个维度。通过对已知的攻击手段,例如 SQL注入,XSS等建立事前的安全编码标准,并在发布前做代码审计、渗透测试和提出漏洞修补方案

    针对性比较强,直入主题,见效快

    SDL落地率低的原因

    Devθps的交付模式

    互联网频繁的迭代和发布,不同于传统的软件开发过程

    历史问题

    99%的甲方安全团队的工作都是以救火方式开始,SDL从来都不是安全建设第一个会想到的事情

    业务模式

    对于以Web产品为主的安全建设,第一是事后修补的成本比较低,屡试不爽;第二是部分产品的生命周期不长

    SDL的门槛

    第一点是安全专家少,很多安全工作者懂攻防但未必懂开发,懂漏洞但未必懂设计,所以现实往往是很多安全团队能指导研发部门修复漏洞,但可能没意识到其实缺少指导安全设计的积累

    第二点是工具支持少,静态代码扫描、动态Fuzz等

    因地制宜的SDL实践

    重度的场景

    公司内研发的偏底层的大型软件,迭代周期较长,对架构设计要求比较全面

    对于较大软件的“大版本”,包括每个产品初始版本,还比如标杆产品的1.0到2.0类似这种里程碑式的版本发布

    轻度的场景

    对于架构简单、开发周期短、交付时间要求比较紧的情况

    SDL在互联网企业的发展

    目前SDL在大部分不太差钱的互联网企业属于形式上都有,但落地的部分会比较粗糙

    STRIDE威胁建模

    STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论

    关于ISO27001

    重建对安全标准的认知

    这里可以指代所有的安全标准和安全理论

    最实用的参考

    ITIL(BS15000∕IS020000)——绝大多数互联网公司的运维流程都是以ITIL为骨架建 立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征

    SDL——研发侧的安全管理

    IS027001——企业安全管理领域的基础性安全标准

    广泛的兼容性

    学习攻防技术和学习少数几个国际标准一点都不冲突

    局限性

    方法论的作用是解决企业整体安全从30分走向50分的问题

    流程与“反流程”

    人的问题

    在传统安全领域一直是强调流程的,但是互联网行业有一点反流程

    作为安全负责人,必须周期性地审视安全和IT治理的流程是不是太冗余了,是否可以精简一下,或者在公司业务扩张、新建业务线的时候考虑一下原有的流程是否适用于新的领域

    机器的问题

    流程是用来解决人容易犯错的问题,而不是用来解决机器犯错的问题

    业务持续性管理

    业务持续性管理(BCM)是一个较高层次的管理机制,通常对应到公司层面,它使企业 认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标在于提 高企业的风险防范能力,有效地响应非计划的业务破坏并降低不良影响

    关于应急响应

    应急响应有一个PDCERF模型

    步骤

    紧急事件检测、调查

    初始响应

    事件分级

    安全建设的“马斯洛需求”层次

    TCO和ROI

    业界的模糊地带

    关于大数据安全

    大数据安全的分类

    关于现今流行的以Hadoop为生态的离线数据处理大数据架构和以Storm为生态的流式计算大数据架构

    以海量样本+机器学习的方法去处理安全检测问题

    由于要处理的数据量比较大,传统的单机设备处理不了,所以需要用Hadoop 之类的技术解决数据处理中的数据规模和实时性要求这两个性能问题,但本质还是传统BI 的建模方法,解决的也是一个传统问题

    传统场景和大型互联网场景

    解决方案的争议

    在当下的安全产业,新概念层出不穷,但有很多属于旧酒装新瓶,换汤不换药,概念
    变了,实操层面扩展或者优化了一点,但本质没变

    以上内容均为博主原创手码梳理。码字不易,但只要能提高,都是值得的。如果您觉得,这篇文章对您的基础知识学习、巩固、提高有帮助,欢迎点赞、分享、收藏,谢谢。 --天天water 

    展开全文
  • 我决定写一篇关于互联网企业安全建设的文章。 一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。 整篇文章分为三大部分: ...
     
    

     我决定写一篇关于互联网企业安全建设的文章。

    一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。

    整篇文章分为三大部分:

    一、互联网企业为什么要做安全

    二、互联网企业需要什么样的安全

    三、互联网企业如何做好安全

    这也是我在企业安全建设过程中给自己提出和不断思考的问题。

    首先,我尝试通过第一个问题来剖析互联网企业都面临哪些安全威胁和安全挑战;然后挖掘出互联网企业的安全需求和安全目标;最终依据这些安全需求和安全目标来制定契合企业自身业务特性的安全建设规划。

    OK,下面开始进入正题,我们先来谈谈今天第一个话题。

    一、互联网企业为什么要做安全

    从外部环境来看,目前互联网整体安全态势不容乐观。企业每天都面临着来自各方面的安全威胁,网络攻击、勒索、安全漏洞等事件时有发生,企业敏感信息泄露逐渐成为一种常态。

    一旦发生此类安全事件,都会对企业正常运营、业务发展造成不良影响。

    加上近年来一些重大安全事件不断被媒体曝光以及整个互联网行业的发展,使得越来越多的互联网企业意识到安全的重要性,开始着手或者计划招聘专业安全人员来提升企业自身的安全水平。

    综合归纳一下,互联网企业做安全的驱动力主要源于以下几个方面:

    1、面临来自各方面的安全威胁

    譬如:外部黑客、网络黑产、竞争对手、内鬼等

    2、面临各种安全挑战

    譬如:安全漏洞、网络攻击、勒索、敏感信息泄露等

    3、安全问题会对公司运营、业务发展造成不良影响

    譬如:经济损失、用户流失、声誉受损、公信力下降等

    二、互联网企业需要什么样的安全

    在理解互联网企业为什么要做安全后,我们开始考虑下一个问题:互联网企业究竟需要什么样的安全?安全需求有哪些?核心安全目标是什么?为了实现安全目标,需要企业具备什么样的安全能力?

    通过上面的分析,我们能够比较容易的树立企业核心安全目标。虽然各企业由于自身业务特性有所不同,但还是有很多共性的。

    我们一起来看下:

    1、数据安全

    数据安全是所有互联网公司最核心的安全需求,也是绝大多数互联网企业高管最为关注的安全问题。目标是要保障企业敏感数据的安全、可控。

    2、在攻防对抗中占据主动地位

    能够掌控企业整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度,并且在第一时间内解决遇到的安全问题。

    3、保障业务安全、连续、可用

    尽可能降低因网络攻击造成业务系统受影响的安全风险,比如最常见的DDOS、CC攻击等。

    上面这些,应该是大多数互联网公司的安全期望或者说是核心安全目标。虽然表面上看着字数不多,但真正要达到这些个目标并不是一件简单的事情,这应该是一个长期的目标。

    三、互联网企业如何做好安全?

    既然安全目标有了,那么就来聊聊今天的重头戏:互联网企业如何做好安全?这是一个值得思考的问题。

    1、树立正确的安全观

    安全是相对的。互联网企业安全绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及安全服务就可以搞定的事情。

    安全是一个整体,并且是动态的,是一件需要长期做并且需要持续投入的事情。

    2、企业安全完整视角

    上面说到安全是一个整体,那么互联网企业安全都包含哪些方面和内容呢?为了更加直观、清晰的表达,我们直接来看图说话:

    通过上图我们可以看到,一个完整的企业安全视角需要涵盖生产网络、办公网络、第三方供应商以及安全合规这四个方面。

    画出这个图并不难,真正的难点在于如何将安全规划和蓝图变成一件得以落地实施和可跟踪的事情。

    我想这是很多安全人员尤其是企业安全负责人一直在尝试和思考的问题。

    我的思路和建议是把整个安全规划中的内容先列出来,把一个大安全目标分解成多个小安全目标,然后列出打算如何实现这些安全目标,哪些安全产品打算自研,哪些需要和第三方安全厂商合作。

    最终依据企业目前的安全现状、现有资源以及项目优先级进行排期和实施,并定期跟进这些项目的进度,及时解决、改进整个过程中存在的问题,最终目标是建立一个相对完善的企业安全体系。

    2.1、 生产网络

    2.1.1、基础架构安全

    基础架构安全如果从网络层次上来划分的话,可以分为物理安全、网络安全和系统安全三个层面。

    这部分属于传统意义上的网络安全,是整个企业安全体系中最基础的部分。

    2.1.2、应用安全

    应用安全绝对是互联网企业安全工作中的重点,也是企业投入资源最多的部分。分为WEB安全和移动安全两个方向,主要围绕SDL和应用层的攻防对抗展开。


    2.1.3、业务安全(风控)

    业务安全(风控)专注于业务层面的安全对抗,是互联网企业安全中非常重要的组成部分,由于受业务特性影响,电商、互联网金融领域更加重视风控,这些企业中风控通常是一个独立的部门,而且汇报级别和权限都比较高。

    业务安全这块的市场前景广阔,现在不少安全创业公司尝试利用大数据、机器学习、人工智能等新技术来解决业务安全问题。


    2.1.4、安全运营

    2.2、 办公网络

    2.2.1、基础架构安全

    办公网基础架构安全方面,重点要关注边界安全防护,尤其是WIFI和VPN这两个办公网入口的安全性。

    2.2.2、内部应用安全

    办公网内部应用主要包括OA、企业邮箱、财务、运维及其他内部业务系统。这类系统的主要特点是上线后更新频率低,很多是采购第三方厂商的,还有一些是开源系统。

    谨记一定不要将内部系统暴露到公网,很多严重的安全事件都是由于将内部业务系统暴露到公网导致的。

    此外,还要对重要的内部系统做好安全监测,及时发现异常行为。

    2.2.3、终端安全

    这部分工作相对比较简单,主要是终端防病毒、补丁管理、终端安全管控和审计,很多安全厂商都有成熟的产品。

    对绝大多数互联网公司来讲,都不需要也没有必要自研终端安全产品,直接选型、对比、采购第三方安全厂商的产品就可以搞定。

    2.2.4、安全管理

    人是整体企业安全体系最薄弱的部分,这一点正被越来越多的企业和安全人员所认识和接受。

    安全管理侧重于企业人员安全意识的培养和提升,核心价值在于把安全建设成为一种企业文化。

    2.3、 第三方供应商

    这部分是之前被很多企业忽视的地方,在和企业合作的第三方合作伙伴中,安全水平也不尽相同,而且这部分通常是不可控的。

    所以安全团队在有精力和资源的情况下也应该关注下第三方合作伙伴的安全性,避免因第三方合作机构出现安全问题而影响公司业务。

    2.4、 安全合规

    对于企业来讲,如果想要开展某些业务,是需要通过一些安全认证的,比如要申请支付牌照的话,就需要通过PCI DSS认证,还有海外上市也会有一些安全合规上的要求。

    另外还有一些像ISO 27001、等保之类的需求,每个企业需求不太一样。总体来讲这部分工作侧重于安全合规、审计,这里就不讨论了。

    3、安全建设发展阶段

    根据上面的安全建设规划可以看到,从零开始建设一个完整的企业安全体系需要做的事情很多,这并不是一件一蹴而就的事情,是一个系统化的工程。

    通常一个企业的安全建设需要经历以下几个阶段: 11.png

    3.1、救火阶段

    这是一个企业安全从无到有必须到经历的阶段,从字面上就可以看出这个阶段安全工作比较被动,安全人员很多时候是充当救火队员的角色。

    这个阶段工作的核心是解决目前企业遇到最严重、优先级最高的安全问题,在这个过程中要尽快熟悉公司的环境、业务、系统架构等。

    此外,这个阶段还有个不小的挑战就是如何找到合适的人才组建安全团队。

    3.2、基础安全建设阶段

    在经历救火阶段后,就要开始基础安全建设了。这个阶段的核心安全目标是解决安全规划中优先级最高的安全问题。

    这个过程会制定、实施一些基础的安全流程和规范,开发一些自动化的安全工具、系统,功能也许不是十分完善,但是可以满足目前的安全需求。

    还会在一些方面和第三方安全厂商合作,通过购买一些安全产品或服务来提升企业自身安全水平。

    比如像定期渗透测试、安全众测、抗D、堡垒机、防火墙这类基础安全服务和设备。

    3.3、安全可覆盖核心业务系统

    一个大、中型互联网公司都会有多条业务线,每条业务线又会有多个业务系统,而且这些业务线可能会分布在多个不同的部门,由不同的人负责。

    如果一上来就想在所有业务线推广SDL,很大机率会失败。因为这个阶段安全团队的人不会很多,并没有足够的精力和资源去做覆盖所有业务线的事情。

    比较明智的做法是先从核心业务系统切入,待整个流程跑通、理顺后再向其他业务线推广。

    这个阶段的核心安全目标是要能够保障核心业务系统的安全,可通过对核心业务系统实施SDL、定期漏洞扫描、安全监控等措施来达到这一目标。

    3.4、安全可覆盖全部业务线系统

    这个阶段由于有上一个阶段的积累,并且到这时安全建设也已经进入正轨,相对要容易实现一些。在这个阶段遇到最大的挑战可能是如何招到合适的安全人才和留住现有安全人才。

    3.5、实现全面自动化、平台化

    发展到这个阶段,安全团队已经具有一定规模,各种安全角色也基本到位。也有了很多的安全系统、平台,但存在的问题是这些系统和平台并没有实现很好的联动和关联分析。

    所以这个阶段的主要目标是把已有的安全系统、平台进行进一步整合,打磨,进而可以进行高度的联动和关联分析,以更好的掌控公司整体安全态势,还可以将现有安全系统、平台产品化,为下一步对外输出安全能力做好准备。

    3.6、对外输出安全能力

    这个阶段只有当公司业务和安全团队发展的足够大时,才有机会做这样的事情。

    目前国内的互联网公司中除了BAT以外,还没有其他公司有能力和机会对外输出安全,所以这里不作过多讨论。

    四、总结

    上面说了这么多,其实一个企业的安全能否做好、做强,并不只是一个技术问题,它是由多种因素综合决定的。

    除了企业高层对安全有正确的认识和大力支持外,和企业安全负责人的能力、视野以及企业所在行业也有很大的关系。

    互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章能够说的清楚。

    今天先写这些多吧,有时间再写后面的。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。

    *本文作者:SecSky,文章属FreeBuf原创奖励计划。

     Linux服务器防黑加固,CC攻击,SQL防注入,DDOS攻击,都可以免费使用悬镜服务器卫士,登录悬镜官网,即可下载使用。

      在使用悬镜服务器卫士过程中,如果任何问题,都可以加群【539903443】进行咨询。

      安普诺官网:http://www.anpro-tech.com/

      悬镜官网:http://www.xmirror.cn


    展开全文
  • 1.1. 办公网络的安全是乙方安全公司提供解决方案最多的场景 1.1.1. 原因 主要因为现在社会工程学、定向攻击、APT、钓鱼、水坑攻击,专打管理员的渗透越来越多,所以生产网络做到固若金汤也无用,攻击者绕背后转跳...

    前言:
    高效读书,一张逻辑图读懂、读薄书中重点。
    注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。

    办公网络安全逻辑思维图

    1.    说明
    1.1.    办公网络的安全是乙方安全公司提供解决方案最多的场景
    1.1.1.    原因
    主要因为现在社会工程学、定向攻击、APT、钓鱼、水坑攻击,专打管理员的渗透越来越多,所以生产网络做到固若金汤也无用,攻击者绕背后转跳办公网络进攻也是一个很大的问题
    另一方面服务器网络大多是来自客户-服务端相对固化的交互模型,用严格的ACL就能控制绝大多数行为,但是办公网络却不一样,大量的客户端行为,人的鼠标点击,运行各种程序,访问各种URL都无法预测,所以办公网络的解决方案完全不同于生产网络,基 本可以当作两件事情来对待
    2.    文化问题
    2.1.    传统行业
    2.1.1.    传统行业为了防止PT或APT,防止信息泄露,防止内部舞弊(俗称“内鬼”), 可以用比较严苛的“控制型”管理手段
    2.2.    互联网行业
    2.2.1.    互联网行业,互联网精神的本质就是开放和共享
    2.3.    这种文化差异,导致乙方安全公司针对办公网络的解决方案在互联网公司不大好推行
    3.    安全域划分
    3.1.    目的
    3.1.1.    为了隔离威胁
    3.1.2.    为了把安全域作为实施安全策略的最小分组单元,以便于对不同的单元附加不同的策略
    3.2.    图12-1所示的安全域划分方式是对大型的组织而言,中小型企业不需要如此麻烦


    3.2.1.    办公网络的服务器和用户桌面环境必须划分独立安全域,即便是中小企业这个需求也算是最基本的
    3.3.    不同维度安全域的划分
    3.3.1.    服务器域
    涉及内部经营信息泄露的办公类服务器,如邮件、人力资源系统、财务类系统
    涉及研发体系持续集成和代码托管等代码资产的
    涉及运维类资产管理的,攻击者可以轻易获取所有服务器列表甚至SSH口令的
    安全优先级不算太高的测试类、杂项资源
    3.3.2.    从策略维度看桌面域内部用户时
    运维、开发等技术职能属于重度PC用户,对网络、主机性能等要求最髙,如果对他们实施过于严格的安全策略,一定会受到强烈的抵抗,而且大多是正常业务需求, 你没法压制这些需求
    在典型的技术重度用户中,研发属于比较特殊的一类,既需要灵活,又需要防止源代码泄露,需要单独画一个圈,把他们放进去
    市场运营这些属于中度PC用户,PC是他们的办公工具,以文档、网页、视频、体验竞品之类的为主,对用户体验有一定的要求,但不会像运维开发那样对系统限制百般挑剔,能够适应一定的限制性安全策略而不会产生很大的阻力
    客服、线下推广等职能,属于轻度PC用户,尽管网游类的客服可能整天挂机泡在游戏中,但在安全的视角上仍归属于轻度用户,他们的办公需求比较单一,大多数只需要用一些邮件和类似CRM的系统,不需要太多主观上的安装新软件和对系统变更之类的交互,甚至对性能要求不高,在管理上可以实施较严格的安全策略
    4.    终端管理
    4.1.    介绍
    4.1.1.    终端管理是办公安全中最大的一环,安全公司集中了大量的优势兵力在这个方面,推出了不少商业产品
    4.1.2.    对于绝大多数企业而言,在这个方面不会跟生产网络一样涉及“自研”这个话题,基本上都是围绕商业产品展开,当然也有极少数例外
    4.2.    补丁管理
    4.2.1.    大多数办公桌面都是以微软的Windows操作系统为主,所以补丁管理多数依靠几个方面
    微软自身解决方案中的SCCM ( WSUS/SMS替代品,支持Linux和OSX),如图 12-2所示


    利用第三方终端管理软件中附带的补丁推送功能
    4.3.    组测离(GPO)
    4.3.1.    组策略的作用主要在于实施一些“基本的”安全策略。例如允许客户端运行软件的黑白名单、系统配置选项、USB权限管理等
    4.4.    终端HIPS(AV)
    4.4.1.    市场上主要产品
    360自产PC端安全卫士、360杀毒,腾讯自产PC管家,百度自产百度杀毒产品
    卡巴、诺顿、趋势这些都是现成的产品,基本也不定制
    4.4.2.    甲方唯一要做的就是选型,然后买
    4.5.    网络准入NAC
    4.5.1.    目前主流的网络准入主要有两种方式:802.1x和基于终端管理软件的C/S模式认证
    5.    安全网关
    5.1.    NGFW/FW
    5.1.1.    下一代防火墙如果是类似UTM的大杂烩,对中小企业可能有用,但在APT兴起的年代,对办公网络内的比较隐秘的攻击可能都没大用
    5.1.2.    如果用NGFW的设计与实现上采用了联合威胁情报的大数据做判断的方法,例如IP地址URL灰名单库,相对来说会有更积极的意义
    5.2.    UTM/反病毒网关/NIPS/反垃圾邮件
    5.2.1.    基于应用层协议扫描和查杀,网关设备为7层协议提供实时扫描和防护的功能因为涉及性能问题在生产网络的应用面都比较窄,但在办公网络还是有比较大的销售价值
    5.3.    堡垒机
    5.3.1.    堡垒机虽然部署在办公网络的网关处,但主要为生产网络的远程接入提供行为审计
    5.4.    行为审计
    5.4.1.    行为审计主要是对员工上网行为做审计,有些设备对明文协议甚至是可破解的加密协议提供了截取和存储的功能
    5.4.2.    目的
    一方面给公安部门要求的反动政治言论提供治理的证据
    另一方面也给喜欢监控员工行为、控制欲极强的老板们提供了便利的渠道。当然对于抓内鬼, 商业间谍等也有一些作用
    5.5.    其他
    5.5.1.    其他的产品(例如DLP、抗APT、大数据探针)可能都会涉及网关设备,但是对一个企业而言,一个出口要堆叠N层设备(包含旁路)显然是不合理,具体取舍就看使用的场景和对安全的理解了
    6.    研发管理
    6.1.    传统行业不一定有这个环节,对于互联网行业而言研发运维皆属标配职能。对研发的管理是挑战比较大的工作,因为它既需要保证便利和用户体验,又有比较强的安全需求, 两者一定程度上是矛盾的
    6.2.    常用方法
    6.2.1.    防泄密
    研发体系往往涉及知识产权和机密数据,尽管不是所有的源代码泄露都会造成经营危机
    从安全的角度讲所有类型产品的源代码泄露都会加速漏洞挖掘的过程
    一般情况下会给研发配两台PC, 一台能畅游互联网随心所欲,另一台则用于coding不能访问互联网,个别需要复制粘贴的资源通过服务器的共享文件夹来中转,或者使用其他 方式实现双机剪切板共享
    在物理安全上,硅胶封USB实际上不是太管用,那玩意儿容易掉,最好的方法还是机箱上锁,组策略中禁用USB的数据传输功能,保留鼠标、画图板和充电的功能
    6.2.2.    源代码管理
    原则上源代码管理一定是在公司层面有统一的持续集成和代码托管平台,最新的源代码至少在公司的平台上有一份完整的拷贝,同时由IT部门做好复制和灾备的工作
    具体在权限上应该如何划分,实际上是一个文化的问题,而不是一个技术问题
    遇到有的人喜欢擅自把源代码同步到GitHub这种地方去的、最怕是把密钥也同步出去,安全部门就要考虑写个爬虫去GitHub抓一下关键字
    7.    远程访问
    7.1.    远程访问(例如VPN等)最大的问题是暴力破解
    7.2.    不同公司的做法
    7.2.1.    对于较大企业
    一般都会选择双因素认证
    7.2.2.    对于雇员不多的中小企业
    如果没有太多远程访问的需求,管理员自己觉得可控性比较强,以省钱为初衷可以选择只使用传统的口令验证的方式,前提是口令长度足够,复杂度也足够,或者开启账号锁定策略,并定期审计登录日志中的异常行为
    8.    虚拟化桌面
    8.1.    Citrix是虚拟化桌面的领导厂商
    8.2.    优势
    8.2.1.    通过严格的统一安全策略可以使终端用户“能做的事情”和攻击面大幅减小
    8.2.2.    原来要在每台服务器上安装杀毒软件,现在不用那么麻烦了,所有的入侵检测针对“服务器”做就可以
    8.2.3.    审计比原来更容易做,因为“都集中在一起了嘛”,也能做到像堡垒主机一样全程录屏
    8.3.    缺点
    8.3.1.    虚拟化桌面并不能完全代替PC,你让运维和研发,或者天天挂在游戏产品里的PM去用这玩意儿,估计要造反了
    8.4.    互联网公司适合的使用场景
    8.4.1.    比如之前提到的轻度PC用户,这类用户主要以网页浏览、文字编辑、收发邮件、语音和IM通讯为主,对这类需求而言,虚拟化桌面足够了
    9.    APT
    9.1.    APT这个词在安全行业很流行,但是对甲方来说意义并不是那么大,因为绝大多数企业都不太可能去开发抗APT产品
    9.2.    没有实力构建强有力的安全团队,一方面代表钱包不足,一般也不会吸引到APT;另 一方面假如真有问题,各种技术手段往往还不如熟人通过黑产和道上朋友告知被入侵的“威胁情报”更现实一点
    9.3.    可以做的事情
    9.3.1.    如果基本的安全体系尚不完备,处于救火阶段或者安全体系化建设捉襟见肘,APT 可以先放一边不管。如果自身缺乏攻防研究能力,但是有钱有预算,可以选择APT 产品和专家外包服务,乙方是否尽心尽力这个无从评价,只能说理论上有这个渠道
    9.3.2.    如果是有攻防型的安全团队,有一点余力,可以从完善既有入侵检测体系入手,例如陷 阱网络和蜜罐(honeypot)是一种门槛和成本不高的手段,对入侵者有一定的诱导和发现能力
    10.    DLP数据防泄密
    10.1.    DLP ( Data Loss Prevention)的主流方案目前在互联网行业落地可能都存在有不小的问题,在兼容用户体验、性能方面仍有很大的改进空间
    11.    移动办公和边界模糊化
    11.1.    办公系统上云、办公移动化、边界模糊化,这种方式并不只是技术上的转变, 对信息安全管理也有不小的挑战
    12.    技术之外
    12.1.    办公网络中的安全问题,因为涉及“人”的因素非常多,仅靠技术手段不能完全解决,这种感觉比生产网络更严重,即单纯依靠技术能解决问题的占比更低
    12.2.    在办公网络安全这个问题上,技术和管理的比重对半开,两手都要抓,两手都要硬

    展开全文
  • 数据化指的是企业自身安全风险数据建设与分析,需要根据基线数据、拓扑数据、业务数据梳理清楚可能存在的攻击路径与攻击面,针对性设防 社会化 这些数据是动态变化的,需要持续运营,对于业务环境变更带来的新的...
  • 本文对《大型互联网企业安全架构》里的核心内容做了梳理,并加入了深层解释。很适合安全小白入门企业安全
  • 1.1.安全管理体系类似于项目管理的PMBOK,本质上是一种方法论和参考维度,覆盖组织全部的技术活动和全生命周期 1.2.安全管理体系是一个随业务扩张而逐渐完善的过程 2.相对“全集” 2.1.这里所说的全集其实算不上是...
  • 前言: 高效读书,一张逻辑图读懂、读薄书中重点。 注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。 高质量解读《互联网企业安全...高质量解读《互联网企业安全高级指南》三部曲(技术篇)——入侵.
  • 第一部分:道路运输企业主要负责人安全考核模拟学习试题 该模拟题库适用于全国道路运输企业主要负责人模拟考试通用部分,了解更多工种完整题库信息,百度搜索【安考星】或关注“安考星”微信公众号,支持电脑及手机...
  • 第二部分:道路运输企业安全生产管理人员安全考核模拟学习试题 该模拟题库适用于全国道路运输企业安全生产管理人员模拟考试通用部分,了解更多工种完整题库信息,百度搜索【安考星】或关注“安考星”微信公众号,...
  • 为什么需要企业安全框架一方面,实现业务与技术之间的“沟通”,让相关的业务与安全方面的技术对应起来另一方面,实现模块化管理,让负责某一模块的人员有相关的话题可以谈,同时对于应急响应也可以及时的排查等。...
  • 企业网络安全最常遇到的问题是什么?答案并非微不足道。基于网络安全评估的统计数据可能是关于这一复杂主题的最佳知识库。行业专家在开展这项活动方面具有扎实的背景,几乎每个企业IT环境都可能发现以下威胁: 1.电子...
  • 企业信息安全模型(成熟度模型)

    千次阅读 2019-12-02 09:13:18
    对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略...
  • 浅析企业安全中的失陷主机检测

    千次阅读 2020-03-09 00:54:06
    也面临着如APT攻击等新一代威胁的挑战,这一类威胁不仅传播速度更快,其利用的攻击面也越来越宽广,在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。...
  • 企业运维安全管理实践的9大领域

    千次阅读 2019-07-22 18:45:59
    运维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全、或者业务安全,因为运维安全位于最底层,或涉及到服务器、网络设备。基础应用等,一旦出现安全问题,会直接威胁到服务器的安全。而...
  • Kali Linux 网络安全渗透测试

    万人学习 2019-06-02 10:28:53
    网络安全未来10年的发展前景 现代人的生活与网络息息相关,个人、企业信息的安全显示尤为重要,2018年报告的信息安全事件比2017年有所增加,一年几千万次。应对网络安全挑战,已越来越被重视。不管你是否从事网络...
  • 道路运输企业安全生产管理人员考试内容考前必练!安全生产模拟考试一点通每个月更新道路运输企业安全生产管理人员模拟试题题目及答案!多做几遍,其实通过道路运输企业安全生产管理人员模拟试题很简单。 1、【多选题...
  • 根据最近发布的ESG环境、社会和治理研究,81%的网络安全专家认为企业应优先改善安全分析和运营水平。 什么是安全运营? 在企业信息安全建设初期,安全工作的主要内容是购买安全设备和部署安全管控系统并进行...
  • 基础安全措施 安全域划分 系统安全加固 服务器4A 网络安全 网络入侵检测 T级DDoS防御 链路劫持 应用防火墙WAF 入侵感知体系 主机入侵检测 检测webshell RASP 数据库审计 入侵检测数据...
  • DevOps企业实践指南(8): 安全机制

    千次阅读 2017-08-28 19:37:57
    通过了解卡巴斯基实验室对于安全性相关的调查状况的解读,了解到了目前企业安全状况不容忽视的现状。同时阐述了随着DevOps持续集成和持续部署的加快,安全机制如何才能保证跟上快速的节奏,应该从那些角度着手,有...
  • 360企业安全校招内推(可免笔试)

    千次阅读 2018-09-01 00:34:37
    360企业安全集团2019年秋季校园招聘已经启动,现广发英雄帖,招募隐匿于五湖四海的高校的新生代技术达人。 ★★★我们是谁★★★ 360企业安全集团 中国企业级网络安全市场的领军者,是专注于为政府和企业提供新一代...
  • 9月3日,中国领先的互联网安全企业360集团在北京宣布政企安全战略进入3.0时代,360企业安全集团新团队首次亮相,并发布了最新的政企安全服务体系。360集团董事长兼CEO周鸿祎表示,3.0时代的360企业安全集团将执行以...
  • 网络安全体系方法论

    千次阅读 2020-06-08 14:56:10
    安全牛整合多位资深安全顾问的一线咨询经验,首次公开发布《网络安全体系方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。 本架构方法...
  • 《防线:企业Linux安全运维理念和实战》作者有多年的世界500强企业的信息安全管理工作经验,深谙500强企业信息安全建设、规划、实施和管理的细节、难点和重点问题。世界500强企业对于信息安全工作的重视程度,对于...
  • 作为疫情发生以来在线下举办的第一场重大国际经贸活动,大会开幕式邀请外国政要、国际组织负责人、世界500强和行业领军企业负责人出席,并共有148个国家和地区的1.8万家企业机构参展参会,包括人工智能、5G等一系列...
  • 企业信息安全的范围技术控制:访问控制:对权限、对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统网络安全:局域网、广域网、城域网、交换机的配置、防火墙配置、路由器配置等等系统安全:...
  • 信息技术的快速发展,云计算、大数据、人工智能、物联网等新兴技术的落地,在带来机遇的同时,也为信息安全带来了新的挑战。在企业上云的过程中,原有传统安全架构的“边界”思维正在被打破。外部攻击防...
  • 浅谈企业网络安全边界

    万次阅读 2018-09-20 09:36:21
    企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务...
  • 中国网络安全企业50强(来源自安全牛公司)
  • 企业安全解决方案》

    千次阅读 2004-11-05 12:13:00
    黑客(Hacker) 安全(Security)内容提要: 本文从广义的角度,对威胁企业信息安全的因素进行了分析,对信息安全防护体系进行了介绍,对安全方案的设计与实现进行了阐述,并给出了典型的企业安全解决方案应用实例...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 663,547
精华内容 265,418
关键字:

企业安全