企業安全體系建設方案設計（內附案例）

今天講一講安全體系建設方案，對于企業來說，安全體系一直是比較關心的話題，無論大企業還是小企業都對于如何建設安全體系以及什么是安全，存在一定的疑問，這篇文章就從基礎組成的角度來討論一下安全架構的建設。

安全架構包括哪些方面？

物理方面
比如機房的安全，物理服務器的安全，硬盤的安全。有人可能會問，我的服務器是放在云上的，存在物理方面的安全嗎？當然，對于企業而已，云端的物理安全是不需要過于擔心的，因為云提供方會對他們的云機房做物理安全監控，但其實有很多信息在初期也是需要考察的，比如云機房的監控，云機房的人員訪問審查，云機房的高可用，云服務器的使用時長等等。

舉個例子

在這里舉個例子，我們的服務器使用時間大概已經有5年時間，主板電池有些問題，服務器一旦重啟就會刷新時區，比正常的業務時間慢8個小時，HTTPS校驗時間時就出了問題，導致業務進不來。Crontab的執行時間同步一旦沒有達到秒級就會存在這個問題，但是正常誰會把時間同步定義到秒級呢？這個問題直接導致了業務的癱瘓，所以在選擇云供應商的時候一定要詢問他們的宿主機使用時長。

云物理監控需要看什么？
比如需要監控進出機房的人員，早些時候會有一些編外人員以云提供商的身份進入云機房進行數據竊取，這方面國外最嚴重，國內經過管控已經好很多，但是物理監控依舊不能掉以輕心。

數據方面
數據安全，比如存放的數據加密，必要時需要脫敏處理，加密盡量采用雙層加密，這里分享一下我的做法：
原始數據的脫敏處理（由于是互聯網金融行業，會存在個人信息的傳輸，存儲中如非必要，這類信息是不允許存儲的，需要脫敏，比如銀行卡號保留前4后4位等作為支付依據，核對時核對關鍵信息）。
第一層采用3DES加密算法，把數據進行加密；
第二層采用RSA強加密算法（2048位）加密3DES的密鑰；
最終密鑰存放于加解密系統中，此系統會對存放的密鑰做亂序處理，只有相關權限的人申請，拿到亂序的密鑰，通過CEO或CTO授權，由密鑰負責人做恢復處理，才能拿到密鑰。
這塊雖然流程會很麻煩，但是能夠最大程度的保障數據的安全。

應用方面

其實應用安全是***者們最喜歡***的方面，也是最容易被***的方面，如何做好應用安全，決定了***們能否攻進或者攻進的難易程度。下面從幾個方面來討論我對于應用安全的處理辦法：

1
誰
首先其實看到這個小標題，相信有很多人是懵的，簡單講述一個小例子好了，我用Jenkins舉例，Jenkins是開源的自動化項目部署平臺，一般項目做發布的時候使用的，與Apollo不一樣，具體差異我并沒有研究，但是為了結合項目架構，兩套自動化部署平臺我都有搭建，Apollo更多體現在微服務化，Jenkins更多是使用項目發布。
Jenkins在剛剛安裝好的時候會設置訪問矩陣，就是說授權什么人做什么事情，比如運維授權做項目發布，腳本執行，審計授權做日志查看等等，這個時候其實有幾種不正常的行為：

（1）未授權訪問

未授權訪問是指沒有被授權的用戶可以訪問到系統中，并擁有授權用戶的權限。
還是以Jenkins舉例，早期的Jenkins初始化后是沒有訪問矩陣配置的，造成很多使用者不了解，同時也不知道未授權訪問的危害，在公網上暴露的Jenkins數不勝數，或許使用者自己都沒有發現，登錄Jenkins，空用戶名、空密碼是可以登錄的，這在訪問矩陣中是everyone的身份，可怕在于everyone默認是有所有權限的，直接導致任何人只要發現Jenkins未授權訪問，就可以進入到Jenkins中并且執行shell命令，這在Jenkins中是客觀存在的，放下截圖。

同樣存在未授權訪問這個問題的還有很多，比如zeppelin、redis、zookeeper、elasticsearch、docker、hadoop等等。
這里我的建議是做好“誰”的把控，控制好所有的應用訪問權限，什么人訪問什么系統，擁有什么權限，當然這里人的判斷依據最好是雙因素判斷。
并且應用系統最好是放在內網并做訪問控制，即使爆出0day也不會第一時間被掃到利用。
公網上開放的應用越少，相對***的***層面就越少，***難度也就越大。
（2）越權訪問

越權訪問是指合法用戶，指定A權限，但卻可以做B權限能做的事情。
在這里還是以Jenkins為例：

在這里直接貼個漏洞編號，有興趣的可以查一下，這個漏洞雖然官方說是嚴重級別，但是我給他評級只能評中危，因此沒有詳細貼出來。

因為此漏洞是需要Jenkins重啟，然而一般這種放在生產環境的運維工具是極少有重啟的機會的，除非配合DoS***或者等待機房故障等不可逆因素。
漏洞整體描述是***者可利用CVE-2018-1999001漏洞從Jenkins主目錄下移除 config.xml 配置文件到其他目錄，當Jenkins 服務再次重啟時，因加載不了config.xml中配置的安全域和授權策略，退回 legacy 模式，并且賦予匿名用戶管理員訪問權限。
當***者獲取Jenkins權限后，可查看構建歷史數據，甚至可下載工作區的代碼，導致核心代碼泄露。
***者在進入管理頁面后，可通過“系統管理”下的“腳本命令行”功能，執行用于管理或故障探測或診斷的任意腳本命令，對Jenkins系統服務器產生比較嚴重的影響和危害。
實際上是就是越權訪問改動了config.xml文件，之后通過未授權訪問***服務器。
越權訪問一般是由于權限管控不當而發生的，我的建議是在權限規劃時，執行最小權限管控，分的稍微細致一些，并且認證一定要做好，每一個都需要認證機制，這樣能夠最大程度降低越權訪問發生的可能。

（3）繞過認證訪問

早期比較流行，比如在認證頁面，正常輸入用戶名密碼，通過sql注入的方式使sql語句成為真值的計算，便可以跳過認證，進入系統中。

目前也有不少CMS系統存在繞過認證訪問。或通過撞庫的方式也算是繞過認證。

之前Akamai有個統計，從2017年11月初到2018年6月末，Akamai的研究分析結果顯示，惡意登錄嘗試在8個月內超過300億次。

全球惡意登錄的次數在不斷增加，情況不容樂觀。面對如此嚴重的暴力撞庫***，有什么好辦法可以避免嗎？

其實很多人會想到雙因素登錄，但是同樣有很多人分不清雙因素登錄與雙因子登錄的區別。

雙因素登錄是指在登錄時同時驗證傳統密碼與第二因素認證，而雙因子登錄是指先認證傳統密碼，成功后再認證第二因素。

這兩者區別就在于雙因素無法判斷密碼是否是正確，而雙因子即使有第二因素，還可以爆破出密碼，然后通過此密碼進行撞庫。

在這里有個假設，一旦企業郵箱的密碼與爆破出的密碼是同一個，那么企業信息泄露，甚至是專業的社工釣魚便會如夢魘一般圍繞著你，圍繞著企業。

在這里建議是使用雙因素登錄認證來規避繞過認證訪問的問題。

2
做什么

通過行為判斷是否異常。一般來說，正常用戶不會執行異常請求。還是用Jenkins舉個例子：
正常用戶，比如運維，執行腳本一般會執行項目替換代碼，比如編譯jar包，比如替換等等；
***者在拿到命令執行權限的時候第一時間使用的命令一般是身份類型命令，比如whoami、w、last等等；
然而這些信息一般Jenkins正常操作都是用不到的，需要做管控。當然Jenkins本身權限要執行權限最小化，那也當然不可能是root，在執行時也同樣會增大***難度。

3
怎么做

這一點要考慮***可能通過什么手段***應用，最常見的OWASP TOP10中的SQL注入、XSS、XXE、惡意文件上傳、CSRF、×××F等等，基于這些***手段建議采用WAF來阻斷惡意***，具體后續會分享開源WAF體系的建設，包括WAF本身與日志審計、告警工作，感興趣可留言討論，歡迎關注。

主機層面
主機安全是相對于以上所有安全中最難把控的，包括服務器安全和終端安全。
技術層面的安全相對來說比較好把控，包括服務器終端的基線安全、殺軟、訪問控制等等，但是最不好把控的其實是人為的因素。
案例一大把，隨便舉例子，員工私設WiFi設置弱口令導致***連接到企業內網，進行內網***；員工瀏覽惡意網站導致終端植入感染病毒，傳播擴散到企業內網。
這種事情還有很多，憑借管理制度并不足以防止此類事件的發生，那么主機安全應當如何做？在這里分享我的治理方法：
首先服務器使用ansible推送安裝ClamAV，定期進行查殺，這里可以使用crontab進行定時任務，并將結果反饋，反饋可以通過filebeat傳遞到日志分析中去做，告警也在日志分析中規范告警條件。
終端以360為例，統一管控，360有服務端和客戶端，在服務器設置統一管控密碼，客戶端分發安裝到各終端，終端便會定時殺毒，而且不能被關閉。
定期開展企業培訓，提高所有人的安全防范意識，在路由器上設置訪問控制，禁止訪問有害網站（利用爬蟲做黑名單訪問控制）。

網絡層面
網絡層面重點體現在防火墻管控DMZ區的流量進出，管控跨網之間的訪問哪些屬于合規哪些不合規。
舉個例子，假如說我的某一個業務放在阿里云，監控體系與主體業務在騰訊云，由于成本問題我不想在阿里云單獨建立一套監控體系，只想延用騰訊云的監控體系，但又要保證業務之間的隔離，那么這時候就要在云兩端架設×××，并且設置僅允許監控系統與業務之間互相訪問。
但是要保證×××的穩定性，在目前國內的形式來說應該是挺難的，尤其前段時間的護網行動，×××基本每天都斷上幾次。
多鏈路可靠訪問是針對網絡堵塞、大環境網絡故障、意外***等情況設計的業務可用性的體現。
試想一個業務域名，比如ex.com，當遇到DDoS***時，大量的商戶訪問不到業務域名，造成的損失有多大；
或者大環境網絡出現故障，比如前段時間發生的114DNS故障導致域名無法訪問、中間節點路由出現故障等等，造成的損失也是巨大的。
這時多線路解析以及雙線路出入口的設計能夠最大程度保證業務的可用性，也就是我們所說的CDN和雙出口。

安全不僅僅是技術工作，更是管理工作，一切都是為了確保業務能夠正常開展。我們需要應急，但是如果可以，誰又想需要應急。