這里的企業(yè)安全主要還是針對(duì)傳統(tǒng)的企業(yè)安全。
企業(yè)安全建設(shè)是企業(yè)發(fā)展的必要任務(wù)檀夹,它會(huì)伴隨業(yè)務(wù)發(fā)展的整個(gè)生命周期策橘,并且它的必要性在業(yè)務(wù)發(fā)展壯大之后顯得尤為突出役纹。? ??
特別是對(duì)于現(xiàn)在而言的快速發(fā)展的企業(yè)越來(lái)越多暇唾,比如說(shuō)現(xiàn)在的互聯(lián)網(wǎng)的行業(yè)客戶策州,還有就是大量高密集形高智力的客戶群體够挂,比如說(shuō)部分的科技企業(yè)在發(fā)展的過(guò)程之中遇到的問(wèn)題孽糖,互聯(lián)網(wǎng)行業(yè)的.........
我們的企業(yè)办悟,在創(chuàng)業(yè)初期一般都不太會(huì)考慮安全建設(shè)病蛉。當(dāng)公司發(fā)展到一定規(guī)模瑰煎,業(yè)務(wù)線擴(kuò)張酒甸,公司營(yíng)收激增以至于被黑客覬覦的時(shí)候插勤,公司領(lǐng)導(dǎo)者開始關(guān)注和重視安全,這是常態(tài)其垄,它是由安全本身的屬性決定的绿满。當(dāng)我們開始重視安全喇颁,試圖著手做點(diǎn)什么的時(shí)候橘霎。
安全屬性的本身決定了組織關(guān)系的存在狀態(tài)姐叁,注意這里是組織關(guān)系的形態(tài)的問(wèn)題,目前來(lái)看的話原环,不如說(shuō)基層的管理人員扛著很大的壓力嘱吗,但是目前的沒有太大的效果,高層的管理人員又不重視安全帶來(lái)的實(shí)際的產(chǎn)出滔驾。
企業(yè)安全建設(shè)是保障業(yè)務(wù)正常運(yùn)行谒麦,保護(hù)用戶數(shù)據(jù)不被竊取,保全企業(yè)資產(chǎn)的首要任務(wù)哆致。
做安全建設(shè)一定是圍繞:業(yè)務(wù)绕德、用戶、企業(yè)這三個(gè)方面來(lái)進(jìn)行的沽瞭。
——安全建設(shè)的本質(zhì)上來(lái)看的話迁匠,是圍繞著業(yè)務(wù)的進(jìn)行來(lái)著,其中的主要的業(yè)務(wù)的用戶的驹溃,城丧,,豌鹤,但是在大多數(shù)的企業(yè)之中是圍繞著用戶技術(shù)來(lái)進(jìn)行設(shè)計(jì)師是安全設(shè)計(jì)的基礎(chǔ)。
抗擊DDoS對(duì)于大多數(shù)公司來(lái)說(shuō)都是一件特別奢侈的事情截型。過(guò)去的十幾年,大多數(shù)公司可能會(huì)選擇購(gòu)買ADS設(shè)備酝豪,而現(xiàn)在有一部分公司會(huì)選擇云上的解決方案瘫证。有點(diǎn)類似于購(gòu)買保險(xiǎn),我們不確定一年會(huì)不會(huì)遭受一次DDoS攻擊,但是如果遭受一次DDoS攻擊給公司帶來(lái)的損傷可能是災(zāi)難性的,所以我們需要抗DDoS厅翔。(部分區(qū)域的抗DDOS 的產(chǎn)品是不一樣仰迁,在很多的區(qū)域其中的沒有太多的需求的.....所以存在這樣的一種解決的方案,或者說(shuō)安全保險(xiǎn),)
相對(duì)于抗DDoS來(lái)說(shuō)反入侵的工作就十分復(fù)雜了翻默。首先肯污,需要在網(wǎng)絡(luò)層部署防火墻防護(hù),其次需要在主機(jī)層部署入侵檢測(cè)和防病毒忠烛。另外斟薇,還需要對(duì)網(wǎng)站的做定期測(cè)試和掃描胯陋。最后发笔,網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、中間層等軟件版本需要及時(shí)地更新和打補(bǔ)丁,做到以上這些才能抵抗得住一般程度的腳本小子(腳本小子:指的是并沒有太多的計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)泉瞻,只是能拿已經(jīng)公開的漏洞利用工具或高度集成的自動(dòng)化掃描工具進(jìn)行攻擊的人)鞭达。
(相對(duì)來(lái)說(shuō)安全始終是失衡的狀態(tài)叨襟,為什么是失衡的狀態(tài)梳玫,因?yàn)槟壳皝?lái)看的話盼忌,安全建設(shè)始終是短板的問(wèn)題,安全攻擊始終是點(diǎn)的問(wèn)題,所以現(xiàn)在來(lái)看的話,防護(hù)是面的問(wèn)題) 只是使用高度自動(dòng)化集中工具艾蓝,就可以實(shí)現(xiàn)其中的攻擊的方法與手段的于置,這種簡(jiǎn)單的腳本小子是可以做的事情讶踪。
一般來(lái)說(shuō)筹麸,互聯(lián)網(wǎng)公司主要的盈利來(lái)源就是用戶,用戶在體驗(yàn)業(yè)務(wù)時(shí)不可避免地會(huì)將自己的隱私數(shù)據(jù)上傳到服務(wù)器赋焕,而公司也有義務(wù)保護(hù)用戶的數(shù)據(jù)不被外部竊取臭挽。一些國(guó)內(nèi)外非常知名的互聯(lián)網(wǎng)公司曾經(jīng)因?yàn)椴簧餍孤┑挠脩魯?shù)據(jù)而面臨幾近破產(chǎn)的窘境。所以,保護(hù)用戶數(shù)據(jù)是一件大事瘦陈。(因?yàn)樵谏弦粋€(gè)話題中已經(jīng)提到了防止入侵捉貌,這里就不再贅述醒陆。)除了防止入侵之外,還需要防止內(nèi)部人員買賣沐祷,還需要防止誤操作等等情況的發(fā)生。
在傳統(tǒng)的企業(yè)之中的,對(duì)用戶的數(shù)據(jù)的保護(hù)澎办,沒有得到本質(zhì)的安全防護(hù)麦锯,在傳統(tǒng)的企業(yè)之中有這用戶數(shù)據(jù)防護(hù)的概念主要集中在金融行業(yè)澎羞,公共行業(yè),其它的政府行業(yè),針對(duì)傳統(tǒng)企業(yè)的數(shù)據(jù)安全防護(hù)堕阔。
首先张漂,我們看如何防止內(nèi)部人員買賣趴梢。如果把用戶數(shù)據(jù)從用戶的客戶端提交辫封,到服務(wù)器邏輯處理拓劝,最后到儲(chǔ)存在數(shù)據(jù)庫(kù)中比做一條河流的話典奉,這條河流所有流域都會(huì)覆蓋相應(yīng)的業(yè)務(wù)人員笨触,這些人員就是審計(jì)的重點(diǎn)對(duì)象虚吟。另外用戶數(shù)據(jù)必須加密串慰,而且加密和存儲(chǔ)應(yīng)當(dāng)由不同的人員來(lái)?yè)?dān)任捉腥。在存儲(chǔ)的工作上應(yīng)當(dāng)特別謹(jǐn)慎抵碟,這也是數(shù)據(jù)泄漏事件中最經(jīng)常出問(wèn)題的環(huán)節(jié)剥槐,數(shù)據(jù)的讀取權(quán)限最理想的情況應(yīng)該只分配給機(jī)器而不是人沿后,因?yàn)槿藛T會(huì)流動(dòng)瞧柔,從人性角度來(lái)看這個(gè)問(wèn)題就變得相對(duì)不可控抖格。所以一般在現(xiàn)在的傳統(tǒng)的企業(yè)內(nèi)部,數(shù)據(jù)內(nèi)部的保護(hù)集中在數(shù)據(jù)防篡改服務(wù)上办桨。
再來(lái)看一下如何防止誤操作筹淫,“delete * from very_important where id=1 or 1=1”、“rm –rf /”等等這樣的誤操作我們先不去看背后是否有其他神秘力量驅(qū)使呢撞,假設(shè)真的是無(wú)知的運(yùn)維或開發(fā)人員誤操作帶來(lái)的毀滅性災(zāi)難损姜,我們應(yīng)當(dāng)如何防御。首先殊霞,數(shù)據(jù)庫(kù)和重要的文件應(yīng)當(dāng)備份摧阅,這句話盡管大多數(shù)開發(fā)運(yùn)維人員都諳熟于心,但是卻鮮有人會(huì)去真的這樣操作绷蹲,不然也就不會(huì)有這么多“刪庫(kù)跑路”的事件發(fā)生了棒卷。所以,需要有相應(yīng)的制度保證祝钢,并且需要有效監(jiān)控比规。另外,劃分清楚人員權(quán)限也可以在很大程度上避免此類事件拦英,能夠擁有“delete” 和 “rm”的角色我認(rèn)為不應(yīng)該是實(shí)習(xí)生蜒什,應(yīng)該是企業(yè)內(nèi)較少數(shù)的一部分人,擁有更高的權(quán)限意味著擁有更大的責(zé)任疤估,一旦悲劇事件發(fā)生灾常,必須要追查到底,而不是每次都找一個(gè)實(shí)習(xí)生來(lái)承擔(dān)一切铃拇。對(duì)于托管在云平臺(tái)的業(yè)務(wù)來(lái)說(shuō)钞瀑,定期保存鏡像也是一個(gè)不錯(cuò)的選擇,建議保存兩份鏡像并分兩個(gè)服務(wù)器存放慷荔,畢竟我們不能總“把雞蛋放在同一個(gè)籃子里”仔戈。
所以對(duì)于絕大多數(shù)的傳統(tǒng)的的企業(yè)進(jìn)行安全建設(shè)來(lái)看的話,主要還是集中在運(yùn)維人員對(duì)數(shù)據(jù)的操作上面進(jìn)行,在我們的實(shí)際的操作的過(guò)程之中我們發(fā)現(xiàn)监徘,運(yùn)維人員的誤操作甚至可以帶來(lái)災(zāi)難性的災(zāi)難,自己親自經(jīng)歷的事件吧碾,嗚嗚凰盔。年少無(wú)知時(shí),之前在一家單位進(jìn)行工作的過(guò)之中倦春,當(dāng)時(shí)是5000+用戶進(jìn)行相關(guān)系統(tǒng)在線使用户敬。一個(gè)UDATE USER NAME,所有的用戶名被“篡改”了睁本。 我相信大家還記得尿庐,“刪庫(kù)跑路”事件,在“攜程不眠夜”……不是所有的企業(yè)都是能夠有這樣的實(shí)力可以進(jìn)行承擔(dān)的業(yè)務(wù)后果的呢堰,這一點(diǎn)自己的要真正的知道抄瑟。
所以在我看來(lái)的話,比較好的就是通過(guò)云服務(wù)枉疼,可以進(jìn)行云端的備份工作皮假,這樣看來(lái)還是比較地安全,當(dāng)然在云端也需要進(jìn)行相關(guān)的鏡像的操作骂维。傳統(tǒng)的服務(wù)惹资,這可以說(shuō)是傳統(tǒng)的安全建設(shè)過(guò)渡性性方案
企業(yè)是以盈利為目的的,企業(yè)的資產(chǎn)是企業(yè)得以維持的物質(zhì)支柱航闺。舉個(gè)例子褪测,有些企業(yè)的服務(wù)器存在某種通用型的漏洞被黑客攻擊以后用來(lái)挖礦,管理者在不知情的情況下誤以為服務(wù)器資源緊張潦刃,進(jìn)行了擴(kuò)容侮措。由于平行擴(kuò)容,服務(wù)器配置不變福铅,運(yùn)行的實(shí)例不變萝毛,還是存在一樣的漏洞,這批服務(wù)器又被黑客拿下滑黔,繼續(xù)挖礦笆包。這樣就相當(dāng)于抱薪救火,薪不盡火不滅略荡。服務(wù)器作為企業(yè)的資產(chǎn)需要被保護(hù)庵佣,而保護(hù)的方式就是反入侵,而反入侵的首要任務(wù)就是發(fā)現(xiàn)入侵汛兜。還有一些企業(yè)深受羊毛黨的迫害巴粪,每年的利潤(rùn)有一大半都貢獻(xiàn)給了薅羊毛的人,這就需要維護(hù)我們的業(yè)務(wù)安全,維護(hù)業(yè)務(wù)安全需要依靠一些成熟的安全產(chǎn)品肛根,當(dāng)然更需要我們的程序員寫出邏輯嚴(yán)謹(jǐn)?shù)拇a辫塌,因?yàn)槭畮仔写嬖谶壿嬄┒吹拇a所導(dǎo)致的支付漏洞可以在一夜之間讓這個(gè)企業(yè)徹底破產(chǎn)。現(xiàn)在流行的門羅幣挖礦形似派哲,在普通程序員甚至是高中生之中都非常地流行臼氨。關(guān)于支付漏洞的問(wèn)題,我們可以這樣的看到芭届,在滴滴出行在剛出來(lái)的時(shí)候是是被擼羊毛的储矩,還有很多高價(jià)值的交易類型的網(wǎng)站,都存在這樣的問(wèn)題褂乍。
有很多企業(yè)的領(lǐng)導(dǎo)者都存在一個(gè)認(rèn)識(shí)上的誤區(qū)持隧,他們認(rèn)為安全像某幣一樣是一個(gè)炒作出來(lái)的概念,認(rèn)為這個(gè)世界上有一批黑客逃片,他們中一部分人專門研究漏洞屡拨,公開新的漏洞,另一部分人創(chuàng)辦了安全公司题诵,聲稱能幫助企業(yè)減緩和防御漏洞來(lái)掙錢洁仗。還有一部分人,去直接通過(guò)漏洞來(lái)掙錢性锭。
內(nèi)地的很多客戶就是這樣的一個(gè)狀態(tài)赠潦,認(rèn)為安全是一個(gè)炒作起來(lái)的概念,甚至的不放心廠商的狀態(tài)的內(nèi)容草冈,這就是不對(duì)的她奥,為什么呢,因?yàn)椴环判乃谠诎踩ㄔO(shè)上奏了很多的彎路怎棱,比如不放心哩俭,不讓進(jìn)行安全建設(shè)的規(guī)劃,甚至不愿意開放自己的資產(chǎn)清單給自己的客戶拳恋,這一點(diǎn)來(lái)看的話凡资,多數(shù)的客戶還是沒有看到安全的價(jià)值。
什么叫做安全建設(shè)谬运,每個(gè)人理解都不一樣隙赁,現(xiàn)在是這樣,未來(lái)5年梆暖,10年可能是其它伞访,剩下的就交給大家了。
更多安全問(wèn)題轰驳,請(qǐng)咨詢 麓谷男孩 微信:894510791
