本書分為三部分狈茉，第一篇是理論部分嘁字，第二篇為技術(shù)部分恩急，第三篇為實(shí)踐部分

第二部分--技術(shù)篇?

一、辦公網(wǎng)絡(luò)安全

為什么要講辦公網(wǎng)安全纪蜒，因?yàn)楝F(xiàn)在的滲透方式很多都是曲線迂回衷恭，對生產(chǎn)網(wǎng)絡(luò)沒有辦法的時(shí)候通過繞到辦公網(wǎng)，然后滲透到生產(chǎn)網(wǎng)的方式攻入內(nèi)部纯续，所以說辦公網(wǎng)的安全也是非常重要随珠。傳統(tǒng)的中小企業(yè)對于辦公網(wǎng)安全最多就是劃分一個(gè)VLAN，安裝一個(gè)殺毒軟件就完事了。那么對于生態(tài)級(jí)或平臺(tái)級(jí)企業(yè)如何做辦以網(wǎng)絡(luò)安全呢？

一、劃分安全域

根據(jù)辦公PC的重要程度來劃分安全域：重度PC、中度PC邑飒、輕度PC。像研發(fā)、運(yùn)維人員對于電腦配置和網(wǎng)絡(luò)環(huán)境要求比較高礁哄，這類PC就應(yīng)該劃入重度PC构罗，對于客服、銷售人員平常只用上一下CRM等系統(tǒng)就可以劃到輕度PC智玻。對于服務(wù)器和辦公網(wǎng)環(huán)境必須劃分安全域遂唧，隨著服務(wù)器數(shù)量的增多還需要?jiǎng)澐职踩佑颉τ趩T工桌面環(huán)境吊奢，可以劃分安全子域盖彭。

二、終端管理：補(bǔ)丁管理页滚、組策略召边、HIPS、NAC網(wǎng)絡(luò)準(zhǔn)入

基于BYOD的移動(dòng)辦公環(huán)境裹驰，需要嚴(yán)格對訪問進(jìn)行限制隧熙。必要時(shí)可以上保壘機(jī)對于運(yùn)維操作進(jìn)行審計(jì)。補(bǔ)丁方面可以利用第三方的軟件類似有LANDdesk等幻林，或者微軟自帶的WSUS等贞盯。組策略可以根據(jù)主機(jī)中固策略做。

三沪饺、DLP

主要是研發(fā)和財(cái)務(wù)方面的數(shù)據(jù)非常重要躏敢，不能輕易就流出本公司，可以上此類的數(shù)據(jù)防泄密產(chǎn)品整葡。像賽門鐵克之類的件余。

四、UTM遭居、FW啼器、IPS、AC魏滚、防垃圾郵件镀首、網(wǎng)關(guān)防病毒等

通過在邊界部署相關(guān)設(shè)備對辦公網(wǎng)絡(luò)進(jìn)行監(jiān)控，像上網(wǎng)行為管理可以對辦公網(wǎng)的員工進(jìn)行監(jiān)視鼠次。辦公邊界部署安全設(shè)備可以有效阻攔垃圾郵件和病毒更哄。

五、VPN

遠(yuǎn)程訪問最好是要只允許訪關(guān)保壘機(jī)腥寇，通過保壘機(jī)進(jìn)行登錄后才能進(jìn)行操作成翩。

六、介質(zhì)管理?

像分保要求一樣赦役，對于U盤口進(jìn)行封堵麻敌，最好是機(jī)箱上鎖。對于移動(dòng)介質(zhì)做審計(jì)掂摔。

二术羔、網(wǎng)絡(luò)安全

一赢赊、NIDS

像綠盟、啟明這樣的公司主要提供針對傳統(tǒng)企業(yè)的安全防護(hù)级历，像NIDS释移、NIPS等。這個(gè)主要是站在乙方的角度來看問題寥殖。像平臺(tái)級(jí)的公司可能會(huì)老慮開源的SNORT來做網(wǎng)絡(luò)層面的監(jiān)控玩讳。甚至是全站全流量的監(jiān)控。

二嚼贡、T級(jí)DDOS防御

DDOS終深防御體系：第一層ISP近源清洗熏纯，第二層CDN硬抗/云清洗，第三層DC級(jí)近目的清洗粤策，第四層OS/APP層搞CC樟澜。增加帶寬也是抗D的一種有效方式。

三叮盘、WAF

cname部署往扔、module部署、網(wǎng)絡(luò)層部署\混合部署

三熊户、漏洞掃描

周期性的漏洞掃描對于業(yè)務(wù)系統(tǒng)的安全還是非常重要的萍膛，對于互聯(lián)網(wǎng)企業(yè)來說可以構(gòu)建分布式的漏掃平臺(tái)對全網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行掃描。通過調(diào) API實(shí)現(xiàn)大規(guī)模掃描嚷堡。不過本書對于漏掃描述比較簡潔 蝗罗，大概也是因?yàn)槁叩募夹g(shù)含量在大件看來不是很高的緣故吧。

四蝌戒、代碼審計(jì)

代碼審計(jì)這一章也描述得比較簡單串塑，講了自動(dòng)化的審計(jì)產(chǎn)品---Coverity

五、移動(dòng)應(yīng)用安全

移動(dòng)互聯(lián)網(wǎng)時(shí)代北苟，基于手機(jī)端APP的安全越來越重要桩匪，移動(dòng)端的安全有什么要注意的地方？移動(dòng)端的安全其實(shí)也或多或少用傳統(tǒng)的WEB安全那套來進(jìn)行安全管控友鼻，像沙箱機(jī)制傻昙，代碼審計(jì)，安全加固等彩扔，作者簡單描述了兩種移動(dòng)端的主流系統(tǒng)安桌和IOS妆档，針對這兩種系統(tǒng)的一些安全應(yīng)對方法。作者在業(yè)務(wù)架構(gòu)分析中提到要明確業(yè)務(wù)邏輯的判斷哪些是放在服務(wù)端哪些是放客戶端在架構(gòu)設(shè)計(jì)時(shí)就要進(jìn)行明確虫碉。

六贾惦、基礎(chǔ)安全措施

基礎(chǔ)部分的安全措施主要是：安全域的分劃，訪問控制策略做好，做好主機(jī)端的漏掃加固操作须板，同時(shí)管理方面的制度也要建設(shè)好碰镜。做好服務(wù)器4A（賬戶、審計(jì)习瑰、授權(quán)洋措、訪控）這里作者提到要注意辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的權(quán)限控制，避免通過辦公網(wǎng)作跳板攻入生產(chǎn)網(wǎng)杰刽。對于主機(jī)的安固可以從底層內(nèi)核層來進(jìn)行加固操作。同時(shí)還要做好補(bǔ)丁管理王滤、日志審計(jì)贺嫂、網(wǎng)絡(luò)層面的ACL。

七雁乡、入侵感知體系

1第喳、主機(jī)入侵檢測，利用開源產(chǎn)品OSSEC等踱稍，其實(shí)有點(diǎn)類似于HIDS產(chǎn)品曲饱。上類開源產(chǎn)品如果真要能適合生產(chǎn)業(yè)務(wù)和需要，得進(jìn)行二次開發(fā)珠月，特別是一引起插件扩淀。

2、RASP

目前主流的WEB開發(fā)框架是基于PHP和JAVA語言啤挎，作者詳細(xì)介紹了PHP RASP和JAVA RASP的檢測方法和技術(shù)架構(gòu)

3驻谆、業(yè)務(wù)層面的主要是檢測Webshell的能力：基于靜態(tài)文件的檢測、基于流量的檢測則是通過分析HTTP請示的數(shù)據(jù)進(jìn)行分析庆聘。

4胜臊、數(shù)據(jù)庫層面的話主要是對數(shù)據(jù)庫作審計(jì)：旁路型（傳統(tǒng)乙方廠商最常見的部署方式）、主機(jī)型伙判、代理型?

5象对、建議入侵?jǐn)?shù)據(jù)分析平臺(tái)，類似于360的天眼系統(tǒng)宴抚±漳В或者基于ELK自行開發(fā)的。大數(shù)據(jù)首先是要選擇好架構(gòu)菇曲，對于收集的數(shù)據(jù)要進(jìn)行精簡和結(jié)構(gòu)化沥邻。去重和去躁音后再進(jìn)行存儲(chǔ)。然后要進(jìn)行多維度關(guān)聯(lián)分析羊娃√迫總結(jié)為：入侵事件數(shù)據(jù)化---入侵檢測模型化----事件分析平臺(tái)化。

6、對于僵尸網(wǎng)絡(luò)如何進(jìn)行防護(hù)

7邮利、安全運(yùn)營

八弥雹、防御架構(gòu)原則

攻防對抗主要體現(xiàn)在三個(gè)層面：信息對抗、技術(shù)對抗延届、運(yùn)營能力對抗剪勿。信息對抗：知已知彼、情報(bào)優(yōu)勢方庭；技術(shù)對抗：高維防守厕吉、建立優(yōu)勢、工程化械念；運(yùn)營能力對抗：閉環(huán)運(yùn)營头朱、執(zhí)行力

互聯(lián)網(wǎng)企業(yè)核心需求：快速檢測、有限影響龄减、快速溯源项钮、快速恢復(fù)。

攻擊者視角三種方式：一種是直接正面進(jìn)攻希停，先獲得上層應(yīng)用的權(quán)限烁巫，然后上傳webshell，間間獲得系統(tǒng)shell宠能，最后提權(quán)獲得rootshell亚隙。這是一般最常的攻擊方式。第二種是從正面進(jìn)攻無果后违崇，從周圍信任域開始下手恃鞋，像災(zāi)備或鏡像站點(diǎn)、可會(huì)話中間人亦歉、相同內(nèi)網(wǎng)恤浪、密碼滿足同一規(guī)律、互聯(lián)互通信任關(guān)系等肴楷。獲取一占后再折返用第一種方式攻擊水由。第三種是直接針對生產(chǎn)網(wǎng)絡(luò)不行的時(shí)候通過社工的方式，針對管理員或辦公網(wǎng)的APT攻擊赛蔫，水坑攻擊砂客。

互聯(lián)網(wǎng)安全架構(gòu)設(shè)計(jì)原則

1、縱深防御

2呵恢、多給防御

3鞠值、降維防御

4、實(shí)時(shí)入侵檢測

5渗钉、伸縮性彤恶、可水平擴(kuò)展

6钞钙、分岸上式IDC

7、支持自動(dòng)化運(yùn)維

8声离、低性能損耗

9芒炼、能旁路則不串聯(lián)

10、業(yè)務(wù)無感知

11术徊、去“信息孤島”

12本刽、TCO可控

九、安全管理體系

1赠涮、相對管理體系全集

傳統(tǒng)廠商一般用的安全管理體系是ISMS子寓，互聯(lián)網(wǎng)公司可以結(jié)合自身可以ITIL+SDL+SAMM為骨架的方式。

信息安全全集

2笋除、組織

部門組織?

3斜友、KPI

IT平衡計(jì)分卡

4、外部評(píng)價(jià)指標(biāo)

攻防能力株憾、視野和方法論、工程化能力晒衩、對業(yè)務(wù)的影響力

5嗤瞎、最小集合

對于創(chuàng)業(yè)型公司，在流程層面需要應(yīng)對以下幾個(gè)方面：

1听系、建立事前的安全基線贝奇，各種安全編程規(guī)范、運(yùn)維配置規(guī)范等靠胜；

2掉瞳、事中的發(fā)岸上&變更環(huán)節(jié)的安全管理；?

3浪漠、事后的救火機(jī)制陕习；?

4、把救火逐步轉(zhuǎn)化為防御機(jī)制或?qū)ΜF(xiàn)有安全策略升級(jí)的流程

5址愿、整個(gè)公司或至少業(yè)務(wù)線級(jí)中國日報(bào) 周期性風(fēng)險(xiǎn)評(píng)估该镣，

資 產(chǎn)管理、發(fā)布和變更流程响谓、事件處理流程损合、安全產(chǎn)品研發(fā)、第三方合作（SRC）平臺(tái)同樣非常重要

發(fā)布流程示意圖

應(yīng)急響應(yīng)流程圖

10娘纷、隱私保護(hù)

第一部分 理論篇

第3章 ?甲方安全建議方法論

1嫁审、從零開媽，三張表：第一張表:組織結(jié)構(gòu)圖赖晶，第二張表：線上產(chǎn)品（服務(wù)）和交付團(tuán)隊(duì)的映射 律适，第三張表全網(wǎng)拓樸圖、物理部署圖、各系統(tǒng)間的調(diào)用關(guān)系擦耀、服務(wù)治理結(jié)構(gòu)棉圈、數(shù)據(jù)流關(guān)系等。

ITIL ? ?SDL ? ??ISO27001