科技馆网站建设方案,免费聊天软件,禁止粘贴的网站,宁波网站建设公司立找亿企邦概念 安全是产品的属性#xff0c;安全的目标是保障产品里信息资产的保密性#xff08;Confidentiality#xff09;、完整性#xff08;Integrity#xff09;和可用性#xff08;Availability#xff09;#xff0c;简记为CIA。
保密性#xff1a; 保障信息资产不被未…概念 安全是产品的属性安全的目标是保障产品里信息资产的保密性Confidentiality、完整性Integrity和可用性Availability简记为CIA。
保密性 保障信息资产不被未授权的用户访问或者泄漏完整性保障信息资产不回被未授权而被篡改可用性保障已授权用户合法访问信息资产的权利。
术语
信息安全
广义上的信息安全Information Security是基于“安全体系以信息为中心”的立场泛指整个安全体系侧重于安全管理。
狭义上的信息安全在不同组织内部往往有不同的含义主要有
内容合规防止有病有害的信息内容黄赌毒的发布、传播DLPData Leakage Prevention数据泄露保护防止内部数据泄露等。
网络安全
最早的网络安全Network Security是基于“安全体系以网络为中心”的立场主要设计网络安全域、防火墙、网络访问控制、抗DDoS分布式拒绝服务攻击等场景特别是以防火墙为代表的网络访问控制设备的大量使用使得网络安全域、边界、隔离、防火墙策略等概念深入人心。
后来网络安全的范围越来越大向云端、网络、终端等各个环节不断延伸发展为网络空间安全Cyberspace Security甚至覆盖到陆、海、空领域但是Cyberspace 这个词太长简化为 Cyber Security。
数据安全
广义数据安全Data Security 是基于“安全体系以数据为中心”的立场泛指整个安全体系侧重于数据分级及敏感数据全生命周期的保护。它以数据的安全收集或生成、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、安全销毁为目标涵盖整个安全体系。
数据安全也包括个人数据安全与法律合规也就是隐私保护方便的内容。
安全架构
在IT产品的安全性上常见的三类安全架构组成了三道防线
产品安全架构构建产品安全质量属性的主要组成部分以及它们之间的关系。产品安全架构的目标是如何在不依赖外部防御系统的情况下从源头打造自身安全的产品构成第一道防线。安全技术架构构建安全技术体系的主要组成部分以及它们之间的关系。安全技术体系架构的任务是构建通用的安全技术基础设施包括安全基础设施、安全工具和技术、安全组件与支持系统等系统性地增强各个产品的安全防御能力构建第二道防线。审计架构独立的审计部门或其所能提供的风险发现能力但审计的范围是包括安全风险在内的所有风险都贱第三道防线。
在具备SDLSecurity Development Lifecycle安全开发生命周期流程的企业中通常会有系统架构师、安全架构师、运维架构师或者数据库架构师等人员产于产品的正式方案评审活动其中安全架构师的职责是对该产品的安全性进行评估。
安全架构5A方法论
核心要素包括
身份认证Authentication用户主体是谁授权Authorization授予某些用户主题允许或拒绝访问客体的权限。访问控制Access Control控制措施以及是否放行执行者。可审计Auditable形成可供追溯的操作日志。资产保护Asset Protection资产的保密性、完整性、可用性保障。
主体的范围与局限于用户将其扩展到所有人员用户/员工/合法伙伴/访客等、设备、系统。
安全架构从应用扩展、网络和通信层、设备和主机层、应用和数据层。
资产包括
数据即信息资产包括结构化数据数据库、缓存、Key-Value存储系统等、非结构化数据文档、图片、音频、视频等不仅包括存储的数据也包括使用、传输、流转中的数据。资源网络资源、计算资源、存储资源、进程、产品功能、网络服务、系统文件等。
审计内容
身份认证方面SSO系统需要记录用户的登录时间、源IP地址、用户ID、访问的目标应用授权方面需要记录权限申请流程的每个审批环节的时间、IP地址、用户ID、理由、通过或者驳回权限申请的动作访问控制方面访问控制执行的结果是放行还是驳回通常来说需要记录所有驳回动作以及对敏感资产的每一个请求及动作便于追溯。资产保护方面记录用户访问的资产特别是敏感资产及操作查询、添加、修改、删除等。
总结
CIA是目标5A是手段。
产品安全架构
简介
典型产品架构
三层架构B/S架构C/S架构SOA及微服务架构 “彩虹表”黑客技术就是针对各种数字或数字字母的组合、已泄漏的弱口令预先计算它们MD5值并进行索引可以简单理解成为了快速检索而做了重新排序实际上是采用了B树之类的数据结构可以快速找到对应的记录和口令。如果黑客拿到了MD5值且用户的原始口令强度不高就可以直接在彩虹表中找到而不用重新计算。 口令的保护
用户的口令一定不能明文存储。用户的口令在服务器侧一定需要执行加盐散列操作。用户身份认证环节一定要使用HTTPS传输建议用户侧不要直接发送明文口令即使采用了HTTPS传输加密 慢速加盐散列可视为将加盐单向散列的动作重复很多次常见的算法包括bcrypt、scrypt、PBKDF2等通过延缓时间百毫秒级来提高暴力破解难度。 散列算法
MD5 2004 发现碰撞
SHA-1 2017 发现碰撞
SHA-256
后台身份认证 基于用户Ticket的后台身份认证重点 适用于ToC业务数据范围仅限于用户个人创建的数据UGC数据 用户通过SSO系统认证获得SSO颁发的Ticket首次访问应用系统时应用系统在验证Ticket无误之后直接将其纳入会话缓存起来Ticket即Session。这样后续每次请求都会带上Ticket后台之间请求数据的时候也带上这个Ticket 基于AppKey的后台身份认证 建议使用POST方式传递APPID和APPKEYAPPSECRET 基于非对称加密算法的后台身份认证 RSA和ECC 私钥加密数据只有对应的公钥能够解开私钥加密的过程又叫数字签名可用于证明私钥持有方的身份 公钥加密的数据只有对应的私钥能够解开消息推送给谁就用谁的公钥加密即指使用对方的公钥加密 非对称加密算法加密速度很慢只能适用于少量的加密运算因此非对称加密不能用于大量消息传输或者需要频繁对消息进行认证的场景私钥需要特别保护如果私钥的存放有可能泄露则身份可能被盗用一次性认证场景如github提交代码只在会话开始时认证一次在会话有效期内不再重新认证协商对称加密密钥场景即真正对大量数据加密还是使用对称加密算法 基于HMAC的后台身份认证 HMAC全称 Hash-based Message Authentication Code散列运算消息认证码是加密和Hash算法的结合可以视为HASH算法的安全加强版 身份认证完整性保障 基于AES-GCM共享密钥的后台身份认证重点
双因子认证
Two Factor Authentication 2FA
Multi Factor Authentication MFA
手机验证码TOTPTime-based One Time Password 动态口令通常是30秒或者60秒生成一个变化的六位数字U2FUniversal 2nd Factor通用双因子身份认证。
授权原则与方式
从安全意义上默认权限越小越好甚至没有任何权限满足基本需要即可。
基于属性授权Attribute-based Authorization
是在规则明确的情况应用系统可以不用建立授权表只将这种规则纳入访问控制模块即可通过比对属性或规则来决定是否放行。
基于角色的授权Role-based Authorization
基于任务的授权
基于ACL的授权
ACLAccess Control List即访问控制表在执行访问控制时候访问控制模块会依据ACL设定的权限来决定是否放行。你可以把访问控制表看成一张表格具体的字段取决于具体的业务场景。ACL的主体可以是单个用户也可以是一群租。
动态授权
动态授权是基于专家知识或者人工智能学习来判断访问者的信誉度以决策是否放行。比如分析某个请求如果是正常用户就允许访问如果高度怀疑是入侵行为或为授权的抓取网站内容的爬虫则可能拒绝访问或者需要额外的操作如输入验证码。
访问控制
三要素
主体Subject包括用户、管理员、系统调用方等客体Object包括资源、数据、文件、功能、设备、终端等控制策略即主体访问客体的规则集合。 基于属性的访问控制Attribute-Based Access ControlABAC 基于角色的访问控制Role-Based Access ControlRBAC 基于任务的访问控制Task-Based Access ControlTBAC 为了保障流程任务完成而采取的动态访问控制 流程各个阶段的审批/处理权限快递员查看派单的收件人信息客服人员查看电话呼入的求助用户的资料 基于ACL的访问控制 防火墙策略黑/白名单 基于专家知识的访问控制 参数控制参数化查询机制检查参数的合法性等防止引入缓存区溢出、SQL注入、XSS等风险常用于安全防御以黑客的某次SQL注入攻击尝试为例可以将访问控制措施落地在接入网关上在接入网关上启用WAF模块功能。当检测到攻击特征网关的WAF模块会通知网关拦截频率总量控制例如只允许一分钟内5次访问行为控制基于大数据或行为分析建模、得出xu b 强制访问控制Mandatory Access ControllMAC 基于IP的辅助访问控制 DMZDemilitarized Zone非军事区是一个安全等级介于服务器内网和互联网之间的网络区域常用于部署直接对外提供服务的服务器如Web业务的前端服务器。在IDCInternet Data Center互联网数据中心模式下通常没有DMZ这个网络区域而采用双网卡机制一张网卡用于内网另外一张网卡用于外网外网网卡可视为虚拟的DMZ。 访问控制与授权的关系 1授权是决策单元是执行访问控制的依据或者输入之一 2访问控制是执行单元只能按着司令官的意志来决定是否放行除此之外还包括控制措施的实施。 在实践中决策单元和执行单元也经常整合在一起合称为授权和访问控制。 不信任原则与输入参数的访问控制
常见漏洞
缓冲区溢出SQL注入XSS跨站脚本Path Traversal路径遍历SSRF服务侧请求伪造
这些漏洞被利用无一例外的是输入参数出现了问题。
基于身份的信任原则
应用因该默认不信任企业内部和外部的任何人/系统需要基于身份认证和授权执行以身份为中心的访问控制和资产保护。
执行边界检查防止缓存溢出
风险
系统崩溃让黑客获取到系统root权限内存数据泄漏
参数化查询防止SQL注入漏洞
需要特别抢到的观点指令是指令数据是数据不要将指令和数据混在一起。重要原则是不要拼接SQL语句。
推荐的写法是基于预编译Prepare和参数绑定Bind的参数化查询机制否则就会出现“数据变指令”的情况导致风险发生。
如果非要拼接SQL要么要把参数转换为整数将错误拦截在转换阶段要么将字符串用单引号缓解部分SQL注入。
内容转义及CSP防跨站脚本
XSSCross-site Scripting跨站脚本攻击指攻击者构建特殊的输入作为参数传入服务器将恶意代码植入到其他用户访问的页面中可造成盗号、挂马、DDoSWeb蠕虫自动关注指定的用户或者自动发送消息等公关删帖等后果。
反射型XSS提交后立即返回的XSS在XSS刚兴起的时候浏览器还不会默认去拦截它不过现在主流浏览器已经可以自动拦截了。存储型XSS黑客提交恶意内容被写入数据库并最终影响到几乎所有的用户。浏览器不能拦截存储型XSS
主要原因来自用户侧创建的不安全内容防止方法就是服务器应检查并拒绝接收不安全的内容或者对这部分内容进行转义无害化处理。重点关注语法闭合标签’”()等这些字符转义后字符为()。
另外采用CSP策略Content Security Policy内容安全策略可以缓解XSS风险如在响应头部添加Content-Security-Policydefault-src ‘self’
防跨站请求伪造
CSRFCross-site Request Forgery跨站请求伪造是一种操纵用户浏览器自动提交请求的攻击方法。CSRF 是有用户的浏览器自动发起使用的是用户已认证通过的凭证在Web应用上提交的请求或者操作不是出自用户的本意。
防范CSRF漏洞最常用的方法是就是为表单伪造一个隐藏的字段这个字段的名称没有特别的要求但通常会使用crsftoken、csrf、tokencsrf-token等字段名字段值是临时生成的仅用一次或者在较短的时间窗内针对该用户重复使用只在用户浏览器和服务器之间共享。第二种方法是配合校验码CAPTCHA的使用原理和CSRF TOKEN一直但是需要手工输入。第三种方法再次认证身份。
防止跨目录路径操纵
路径操纵Path Manipulation或者路径遍历Path Traversal
经典场景将路径或者文件名作为作为参数传递如果处理不当可能被恶意利用使用…/…/等形式进行路径比那里读取敏感系统文件如/etc/passwd造成任意文件下载风险。
防止方法限定目录或者使用文件ID作为参数。
防SSRF
URL地址如果作为参数进行传递也是高风险的参数类型黑客可能提交内部域名或者内部IP造成对内网的探测扫描构成SSRF漏洞。 SSRFServer side Request Forgery服务器端请求伪造通常由黑客提交经过构造的内网地址及参数但由服务器侧发起针对内网进行探测的请求常用于攻击内部系统。 上传控制
上产控制主要是防止WebShell文件被上传以及防止WebShell文件上传后被解析执行。
所有WebShell就是以脚本网页文件如PHP、JSP、ASP、ASPX或者其他CGI形式出现的命令执行环境也称为网页木马可以通过浏览器访问在界面上可服务器端交互在服务器上执行操作系统命令或者脚本。
防止方法
对于上传请求不能信任请求头部声称的文件类型存在Webshell冒充图片的案例用户上传的文件只能存放在固定的目录或者子目录下面且该目录不得由应用服务器提供解析执行功能。用户上传的文件只能按静态文件处理只能由静态内容的静态服务器ApacheNginx直接解析不能有处理动态内容的应用服务器PHPJSPASPX来处理不能使用原始文件名防止其他环节失效时恶意提交者直接使用原始文件名发起访问。
Method控制
GET用户获取数据HEAD类似GET只返回响应头部信息不返回内容常被扫描器、爬虫工具使用。POST用于提交表单、上传文件PUT类似POST用于修改资源会覆盖前面的请求DELETE删除资源CONNECT一般用于代理服务器OPTIONS获取服务器支持的方法TRACE一般仅用于调试诊断
防止遍历查询
身份认证为前提应用接口不能信任任何人需要基于身份认证和授权可以通过频率和总量控制缓解可以通过监控告警和审计识别数据泄漏事后措施没有根本上解决
可审计事件追溯最后一环
可审计Auditable就是记录所有敏感操作并可用于事件追溯。记录下来的内容即通常所说的操作日志。
目的
发现产品自身的安全缺陷、改进产品的安全特性、消除产品自身安全措施为安全防御体系的改进提供支持例如为入侵检测贡献事件样本、防护策略等为诉讼或其他法律行动提供证据满足监管或外部认证的合规要求
此外可以基于审计日志构建日常的例行的大数据分析和事件挖掘活动主动发现未警告的安全事件或隐患。
内容
时间When、地点Where、人物Who、事件What称为记叙文的四要素。
时间用户IP地址用户ID操作增删改查和操作对象数据或资源
常见的操作
对数据的新增、删除、修改、查询对资源的申请、释放、扩容、授权等对流程的审批通过、驳回、转移对交易的发起、支付、撤销对人员的授权、吊销授权
此外操作日志应该排除敏感信息记录敏感信息可能导致信息泄漏。
保存与清理
安全性要求不高一般应用自身保存操作日志即可安全性要求较高应当提交日志或者日志副本到独立的应用之外的日志管理系统且无法从应用自身发起删除。 这里日志管理系统应该是多个应用共用通过应用层接口收集日志而不是直接访问数据库。一般至少保留6个月的操作日志对超时的日志要自动清理。
资产保护数据或资源的贴身保镖
资产保护Asset Protection就是保护资产全生命周期的安全性。
资产包括数据和资源两大类、其中对数据的保护是资产保护的重中之重。而且保护的范围不再局限于数据的安全存储而是包括数据的生成、使用、流转、传输、存储在内的全生命周期的安全管控以数据的安全使用、安全传输、安全存储、安全批露、安全流转为跟踪目标
数据的安全存储
AES
BASE64
AES-GCM
建议加密的数据
敏感个人信息以及涉及个人隐私的数据、UGCUser Generated Content用户生产的内容数据需要加密存储口令、加解密密钥、私钥、需要加密存储其中需要还原的口令需要使用单向散列算法有明确检索、排序、求和等运算需求的业务数据不需要加密存储。
加密后如何检索
添加关键词Keyword用于辅助检索增加辅助字段缩小检索范围
如何加密结构化数据
应用层字段加密在写入数据库之前加密直接向数据库中写入密文存储系统透明加密或静态加密Encryption At Rest加密仅在存储系统内部自动完成应用系统还继续使用明文。
密钥管理方式
字段加密配合KMSKey Management System密钥管理系统应用系统需要改进难度大最安全可以防止DBA泄密字段加密配合自管理密钥改进难度较大可以防止DBA但入侵可能导致密钥泄密安全次之。静态加密配置KMS应用系统不需要改进存储系统改进后可以适合大规模推广用于结构化数据加密时不能防止DBA泄密安全性中等用于非结构化数据文件等加密时配合权限控制安全性较好静态加密配合自管理应用系统不需要改进不合适大规模推广安全性中等不能防止DBA。
安全上首选应用层字段加密并配合KMS。 一套安全的加密系统至少需要二级或二级以上的加密机制。
关键概念
DEKData Encryption Key数据加密密钥即对数据进行加密的密钥KEKKey Encryption Key密钥加密密钥即对DEK进行加密的密钥
数据的安全传输
安全传输目的就是保障传输过程中的安全性既要达到保密效果也要确定传输内容完成无误即没有被篡改。
方式
应用层数据不加密通道加密建立一个安全的隧道然后通过这个隧道传输明文内容HTTPS。应用层加密数据通道不加密直接在不安全网络上传输加密的内容AES-GCM。
证书类型
DEV证书域名验证型Domain Validation证书可以免费使用的证书适用于个人或者创业公司OV证书组织验证型Organization Validation证书企业型证书EV证书扩展验证型Extended Validation证书这是最高信任级别证书证书中包含组织名称且在访问对应的网站时浏览器地址栏会出现公司名称。适用于交易、支付、金融等场景。
证书可选择
单域名证书多域名证书通配符证书
TLS质量与合规
虽然配置HTTPS但仍可能存在风向也不一定满足严格的安全合规要求特别是需要执行PCI-DSS认证的业务。加固措施
禁止使用SSL的全部版本SSLv1-SSLv3及TLS 1.0版本建议使用TLS 1.2或以上版本密码算法之使用前向安全算法Forward SecrecyFS这可保障当前会话的加密密钥泄漏时不影响到历史通讯记录的安全性启用HSTSHTTP Strict Transport Security强制浏览器跳转到HTTPS通过在https的响应头添加一个字段Strict-Transport-Security max-age31536000includeSubDomain来实现
数据展示与脱敏
数据脱敏即按照一定的规则对数据进行变形、隐藏或部分隐藏处理让处理后的数据不会泄漏原始的敏感数据实现对数据的保护。
业务安全让产品自我免疫
业务安全是指产品自身业务逻辑的安全性避免出现业务逻辑缺陷导致业务损失。
典型场景
交易支付相关交易、支付、提现等各个环节的安全如重复支付、重复提现等。账号安全相关付费会员账号盗号、账号分享、恶意批量注册、免费会员变付费会员等。运营活动有关奖品、无门槛优惠券、热门的演唱会门票被大部分黄牛刷走了商品排名相关刷评论。
一分钱漏洞
关键数据不能由用户带出去
账号安全
防撞库设计主要手段是前端慢速加盐散列防弱口令尝试对同一账号、同一设备的登录次数限制防止数据库账号泄漏口令保护防垃圾账号黑产大数据对账号注册把关防账号找回逻辑缺陷
B2B交易安全
在各种跨组织商户到商户的交易活动中最核心的诉求就是交易安全包括互不信任、证据链完整、抗抵赖、抗重放等。要保障交易安全首先需要确保双发的身份无误这一点通过双方的数字证书来实现。
签名 使用自己的私钥加密
电子签名采用的是非对称加密算法RSC或ECC用了自己的私钥加密就可以用自己的公钥解开而公钥是可以通过网络公开获取的这就意味着仅有自己的数字签名只能证明这个交易数据是我方发出的也能防止我方抵赖但是发给谁没有法律意义上的确认就算我方声称是发给对方公司的对方还有可能抵赖。为了防止对方抵赖还需要在我方数字签名后的交易数据基础上使用对方的公钥对其加密这样对方收到交易数据后需要先使用自己的私钥解密这样对方就无法抵赖。
产品防攻击能力
CCChallenge Collapsar挑战黑洞攻击是早期围绕抗DDoS产品Collapsar而发展出来一种攻击形式该攻击模拟大并发用户量访问那些需要消耗较多资源的动态页面或者数据接口以达到耗尽目标主机资源的目的。也是DDoS分布式拒绝服务的一种。防御措施
降低产品自身对资源的占用提高服务器性能横向扩展外部安全基础设施WAF或者抗DDoS类的产品可弥补产品自身安全能力的不足。 网页静态化与缓存机制 网页静态化就是网页尽可能使用的静态的网页文件html、js、css、图片等文件由于静态内容只占很少的系统资源这部分就不会引入攻击含CC攻击。 静态化的网页在现今黄祖耀采用编译技术发布网站比如使用Hugo编译Mardown文件生成html文件很适合程序员创建个人博客也适用于常见的产品介绍、产品手册等。 采用SPASingle Page Application单页应用技术及框架Angular、React、VUE等构建网站的前端除了会与后端动态交互基本也算是静态页面 如果后端生成网页应考虑使用缓存技术RedisMemcached将动态网页转换成接近静态网页的效果。 消息队列与异步机制 针对消耗资源比较多的功能或接口可采取分布式异步消息队列等处理机制相比同步处理可以提高并发能力。在高并发业务场景中消息队列可用于降低业务模块间的耦合削峰填谷、提高并发能力。 负载均衡 如果业务能够平行扩展可在不同的地域部署多台服务器或使用CDNContent Delivery Network内容分发网络进行负载均衡用户被分流到不同的入口就近访问从而提升服务能力且大部分GET请求可以不用回源。
安全技术体系架构
简介
建设思维
安全技术体系基础设施及配套产品
基础的网络架构、DNS、资产及配置管理数据库CMDB等构成了通用的基础设施SSOSingle Sign On单点登录系统KMSKey Management Service密钥管理系统权限管理系统统一日志平台、数据服务等构成安全组件与支持系统抗DDoS、HIDSHost-based Intrusion Detection System基于主机的入侵检测系统WAF及CC防御等构成了安全防御基础设施跳板机、自动化运维平台、数据传输系统等构成了安全运维基础设施
思维
安全体系建设没有捷径需要从最基础的地方开始建设做好基本功步步为营层层防御。
建设思路要以预防性建设为主检测响应为辅的思路
以检测为主的防御性建设产品开发与发布过程基本没有流程控制或只有很弱的流程控制默许产品带着风险发布安全体系主要采用“检测-响应-恢复”模型建设各类入侵检测系统要求出问题时能够及时发现检测系统告警时触发应急响应安全团队和业务团队一起恢复业务以预防为主的安全生命周期建设主要采用SDLSecurity Development Lifecycle安全开发生命周期方法论将安全要素与监测点嵌入产品的项目管理流程中将风险控制在发布前产品不允许带着风险发布。
安全产品
老三样虽然目前仍在发挥作用但难以满足业务和数据的安全需求
防病毒主机层的资产保护主机入侵检测也对应主机层的资产保护防火墙对应网络层的控制访问 网络层延伸 业界发展出网络接入认证、NACNetwork Access Control网络接入控制等产品或者解决方案。威胁通过网络进入数据通过网络泄漏。对流量进行审计和数据挖掘可帮助我们主动发现风险和安全事件。 主机层延伸 从跳板机开始安全运维步入人们的视线HIDS基于主机的入侵检测系统走向舞台。 应用层延伸 统一接入网关的引入并于SSO、授权等系统联动可以让业务聚焦在业务本身不用再关注安全既可解决部分安全问题 WAF与接入网关集成可以保护范围覆盖到全部对外开放的业务拦截SQL注入、XSS、上传Webshell等黑客攻击 有了HTTPS的流量也能正常解密可以建立基于大数据的流量分析系统离线/实时用于数据建模、入侵行为告警等 KMS的引入可以让加密更加安全。 安全新技术 人工智能 人工智能AI可以学习、完善安全防护规则或执行辅助防御AI WAFAI Webshell 检测等。 人脸识别用于身份认证 还可用于风控系统 大数据 大数据不仅可以用于事件挖掘与审计还可以用于为黑产、诈骗、僵尸网络、傀儡肉机、盗版源建立数据作为风控系统的决策依据用于访问控制。 云计算 云计算自身也面临着一些安全问题如Overlay虚拟网云上主机所在网络环境和Underlay底层承载网络的隔离、租户的隔离、安全域、云上防御以及它们与传统数据中心的路由与访问控制关系等。
安全体系架构的二维模型
安全技术体系架构就是安全技术体系的主要组成部分及组成部分之间的关系。各种基础设施与安全产品包括安全防御基础设施、安全工具和技术、安全组件与支持系统等共同构建了安全技术体系。
如果只用一个维度首选核心5要素
身份认证Authentication授权Authorization访问控制Access Control可审计Auditable资产保护Asset Protection
另一网络分层维度
应用和数据层设备和主机层网络和通讯层物理和环境层 风险管理的“三道防线”
第一道防线业务部门对安全风险负主要责任需要考虑从源头控制风险第二道防线风险管理部门作为专业能力中心提供整体的风险控制方案第三道防线独立的审计 第一道防线就是业务自身风险管理。业务主管是业务风险第一责任人出了事件后首先应该问责的就是业务主管。
第二道防线安全技术体系领域通常包含如下工作
建立和完善数据安全政策文件体系。制定其所在领域内的政策总纲、管理规定、标准、规范供各业务遵循提供专业性风险评估和指导并对各业务风险现状进行度量和监督整体把控风险。管理内外安全合规、认证评测、渗透测试。协助建立/完善通用的基础设施包括但不限于较少的网络完全域划分与简洁的访问控制策略借鉴无边界网络理念、CMDB、统一接入网关等。建立并完善安全相关的防御基础设施抗DDoS/HIDS/WAF等、安全运维基础设施跳板机/运维平台/数据传输平台等、安全支撑系统SSO/日志/应用网关、风险识别工具扫描器、运营工具风险度量等。建立并完善安全组件和支撑系统包括但不限于SSO、权限管理、KMS、日志系统等。完善各种安全工具和技术包括但不限于扫描、大数据分析网关可作为流量输入等。考虑建设数据中台将数据作为生产力并统一执行安全管理。例行开展扫描、检测活动为风险数据化运营提供数据执行风险规避措施。风险管理、事件管理与应急响应。
第三道防线就是承担审计职责的部门以及外部审计机构、测评机构等。审计工作是独立的不受第一道和第二道防线所在部门制约会独立履行职责识别第一道防线、第二道防线中包括战略、管理政策、流程、人员、技术等各领域的风险。不仅包括业务自身风险对管理文件、技术规范、控制措施覆盖不到的地方也会提出改进意见促进安全防御体系的不断完善。
安全技术体系强化产品安全 网络部署架构 产品在发布或部署时一个良好的网络安全域、接入基础设施及访问控制策略可以为产品提供额外的安全防御能力降低产品面临的各种风险。 针对互联网数据中心IDC原则上建议大部分服务器都不配置外网网卡而是统一接入应用网关反向代理防止误将高危服务器开放到互联网。 接入网关可以跟安全防御基础设施如WAF集成为产品提供安全防御能力。 业务网关不直接对外提供服务避免了高危服务直接对外开放的风险。 主机层安全 端口扫码关闭非必要端口统一接入网关充当所有业务的前置反向代理可加入安全特性比如WAF开源组件需要使用来源可信、版本安全、经过评估的开源组件需要内部源将通用组件云化并构建自动化运维能力通过浏览器来执行日常运维操作而不是直接登录到服务器。部署HIDS 应用层安全 认证方面在SSO的具体实现上推荐不上传用户的原始口令而是使用前端慢速加盐散列强化口令隐私保护与防撞库能力。授权方面首选在业务自身做好权限最小化控制以及合理的职责分离防止出现越权操作。访问控制方面通常需要应用接口具备防止批量拉取的监控、告警或阻断能力。可以跟防止CC攻击结合起来在接入网关集成WAF上统一配置或者在API网关上统一配置审计方面可以通过应用层接口将敏感信息的操作日志实时上传到业务外的日志系统。 数据层安全 数据层建议将数据库视为“应当统一管理的基础设施”尽量封装为数据服务构建数据中台基于HTTPS提供JSON API或者自定义端口的二进制RPC而不是直接提供原始数据库。加密存储强化密钥安全借助KMS来实现加解密操作机密传输全站HTTPS统一管理证书操作及证书采购不采用有安全漏洞的协议才是TLS1.2. 因该在统一接入网关集中管理。脱敏一方面业务应用自身完成脱敏另一方面也可以借助娃不基础设施能力执行脱敏。这就使用到了API网关了采用定制化脱敏策略并按照脱敏标准脱敏涉及隐私还需要遵从隐私保护领域所有适用的外部法律合规要求如下 不能直接对第三方提供包含用户个人隐私的数据集如业务必需应确保用户知情尽到告知义务个人信息被收集和处理的目的、使用的业务及产品范围、存储期限、用户权利等并获取用户有效同意不采用一揽子式同意及隐私政策既不能采用这种模式只要用户狗眼一个同意选项就视为用户同意该公司的任意产品/服务均可以收集和处理个人数据。不要提用户默认勾选同意选线。
网络和通信层安全架构
网络安全域网络接入身份认证网络接入授权网络层访问控制网络层流量审计网络层资产保护DDoS缓解
简介
安全技术体系架构包括通用基础设施、安全防御基础设施、安全运维基础设施、安全工具和技术、安全组件与支持系统等。
聚焦到网络和通信层通用基础设施包括
网络安全域或者网络分区防火墙及配套的防火墙管理策略管理系统四层网关可选用于受控的任意协议的NAT转发等用途
防御基础设施包括
抗DDoS系统用于缓解DDoS攻击网络准入控制NAC确保只有符合安全政策的设备在员工身份认证通过的情况下才能接入网络。
其他方面还包括
运维通道网络流量统计 这里没有提网络层IPS入侵检测系统主要是由于HTTPS或加密传输的普及这些基于明文协议的工作产品使用范围大大受限。 网络安全域
企业的网络架构涉及各个安全域以及安全域之间的访问控制。
安全域是具有相同安全边界的网络分区是由路由、交换机ACL访问控制表、防火墙等封闭起来的一个逻辑上的区域可以跨地域存在这个区域内所有主机具有相同的安全等级内部网络自由可达。各个安全域之间的访问控制即网络访问控制策略由于路由、交换机ACL不会经常变更所以网络访问控制策略管理的日常工作重点是防火墙的策略管理。
n个安全域需要n*n-1套规则集
最简单的安全域适用于小型创业企业使用。 本地办公网络用于办公电脑、打印机等远程业务网络使用外网IP地址同时向办公网络和外部网络提供服务。 最简单的网络安全域改进 使用统一接入网关业务网络可以仅保留内网IP地址不再使用外网IP地址。 推荐的网络安全域改进 使用统一的网关接入业务罗网络仅保留内网IP地址不再使用外网IP地址。生产网络分为普通区和敏感区PCI-DSS认可的设计模式。 从有边界网络到无边界网络 过去安全体系以网络为中心是有边界的网络人们认为外网是不可信任的内网时刻信任的DMZ就是这种理念的产物。互联网兴起后DMZ这种模式组件被无防火墙的IDC模式所虚拟化IDC模式的外网网卡模式可视为虚拟化的DMZ。多网卡隐患可以采用统一接入网关解决。随着各种内网渗透事件发生这种假设内网是安全的也是站不脚了。 网络安全域小结 简单、逻辑清晰的网络架构对公司治理至关重要它们是网络访问控制策略防火墙等落地的基础设施。不用为跳板机单设安全域减少一个安全域减少防火墙安全策略的数量扩展性也更好。
网络接入身份认证
网络层也需要身份认证
创业企业可以跳过认证部分等条件成熟时再来考虑中等规模企业无线网络部分对人的身份认证是必备的需要识别出员工和访客。大型企业无论是有线还是无线除了具备对人的身份认证还具备办公网设备的认证机制检查接入设备是公司资产还是个人设备领先企业除了具备以上对人的认证和对办公设备的认证机制外对服务器也实施了设备身份认证。
在设备认证方面会配合NACNetwork Admission Control网络准入控制机制共享使用。
简单方式在资产库记录设备IDMAC地址只要是已登机的设备且MAC一致即可认证通过。再严格要求的网络环境可以通过颁发设备数字证书来执行设备认证。
网络接入授权 网络层访问控制
设备和主机安全架构
身份认证与账号安全最典型的是SSH登录安全授权与访问控制谁有权可以登录、登录来源限制、端口开放限制主机资产保护防止恶意软件破坏主机计算环境如防病毒主机入侵检测等主机运维审计和入侵检测
简介
主机层的基础设施主要包括
主机统一认证管理跳板机、运维平台、数据传输平台操作系统母盘景象Docker容器基础镜像补丁管理保障主机操作系统及组件完整性防病毒管理防止病毒、木马、WebShell等有害程序危害安全HIDS基于主机的入侵检测系统检测主机入侵行为并触发告警及应急响应
身份认证与账号安全
对linux服务器来说一般指SSH登录对于Windows服务器是远程桌面RDP对于网络设备来说除了SSH一些旧设备还支持传统的Telnet。 设备/主机认证的主要风险 使用非实名账号rootadministrator在运维审计时候很难定位到具体的人员且黑客也可以使用这些账号登录。冗余的账号这些多出来的账号有可能是黑客留下的或者是员工创建的通用口令即多台服务器使用同一个口令弱口令口令强度太低很容易被猜出的口令历史上已泄露的命令如员工通过博客、开源等泄露出去的口令 动态口令 静态口令容易被黑客利用不安全所以安全的做法是对SSH启用实名关联和动态口令Linux下面有一个PAM模块Pluggable Authentication Modules身份认证插件可用于替换系统默认的静态口令认证机制自行开发与企业SSO关联。业界也有公开的解决方案如Google AuthenticatorTOTPTime-Based One-Time Password。 https://www.lxlinux.net/1281.html 一次一密认证方案 一次一密指的是每一次登录服务器时候都使用不同的服务器口令。这种方案必须具备口令的修改机制如变更时间窗关闭的事哦呼修改口令运维工具还需执行相应的权限校验和运维审计仍存在泄漏口令风险 私有协议后台认证方案 服务器上部署Agent代理程序采用私有协议向其下发指令由agent代理执行运维指令可避免指令泄漏风险。所谓私有协议是相对于通用协议。私有协议是指采用自定义协议格式且不公开该格式仅在自身业务专门使用的协议通过后台认证机制以及对协议格式的保密提高攻击者的研究门槛可以采用RPC机制。后台认证可基于共享密钥的AES-GCM机制基于证书的认证机制。
授权与访问控制 主机授权与账号的访问控制 通常在企业的CMDBConfiguration Management Database配置管理数据库中每一台服务器主机都有一个运维责任人也许还有备份责任人字段。 可基于ABAC基于属性的访问控制原则只允许主机的两个责任人登录而拒绝其他账号登录。 主机服务监听地址 sshd的配置文件/etc/ssh/sshd_config 配置指定IP 跳板机与登录来源控制 https://github.com/jumpserver/jumpserver 自动化运维 通过Web化的平台来执行日常运维操作例如文件管理、文件编辑、脚本发布、任务发布、内容发布等甚至可以直接提供基于Web的实时命令窗口优点 使用Web化界面方便、效率高、体验好可屏蔽高危操作如rm -rf避免误操作方便跟SSO集成用于员工实名认真方便执行权限管控、运维审计。 自动化程度组件实现云化数据库web服务器等不需要自行部署按需申请。最简单实现登录SSO后通过Web Console控制台页面开源的GateOne构建相关功能Web Console作为自动化运维平台建设的起步随着将例行工作应用化打造真正的自动化运维逐步减少Web Console直至不用。云端运维所有操作在云端虚拟化应用或者云桌面技术来实现 数据传输 使用跳板机用的最多的指令就是rz和sz只适用于小文件速度慢经常出错文件跨区传输也可以借鉴应用网关统一接入方案扩展应用网关的功能将其升级为统一的访问代理执行受控的TCP端口转发。SFTP 设备的访问控制 网络设备如路由器、交换机、防火墙等也面临风险 不正确的开放范围运维端口或后台管理端口弱口令等。不安全协议老旧的Telnet固件漏洞 安全建议 淘汰老旧只能使用telnet的老旧设备管理网和业务网分离让两张路由不同及时升级存在漏洞的固件
运维审计与主机资产保护
运维审计就是对运维操作进行记录、分析从中找出恶意的行为或者攻击线索。
打补丁与防病毒软件 在办公网络防毒软件是必选的而不是可有可无的选择。 防毒软件可以保护主机免遭常规的病毒、木马、蠕虫的感染同时最大化降低内部IT的人力支持成本。在生产网络针对Window服务器的防毒软件是必选的对Linux来说选择非常有限HIDS建立典型的恶意软件的Hash值数据库常用于比对检测第一时间发现恶意程序人工或者自动方式清理。 母盘镜像与容器镜像 高危功能裁剪将一些不常用的高危服务或功能裁剪掉避免业务误开或者被黑客利用比如禁用移动介质的使用防止移动介质引入病毒/木马禁用LKMLoadable Kernel modules可加载内核模块可以黑客植入rootkit等内核级后门。安全配置内核安全配置口令强度要求与锁定设置、日志开启等。预置安全防御能力如HIDS性能监控组件等。 开源镜像与软件供应链攻击防范两种流派 第一种不鼓励使用开源组件只有少量几种开源组件采用白名单式管理并且需要有团队对其管理和维护。第二种大量使用开源组件并对使用开源组件的行为加以违反和引导有“软件供应链攻击”风险在软件开发的各个环节包括开发、编译、测试、发布部署等过程中污染软件的行为 污染软件开发工具及编译过程添加后门、绑定恶意软件直接污染代码添加后门污染社区软件源误导用户下载恶意的开源组件并使用在生产环境入侵官方网站替换官方软件或升级包黑客向正常的开源组件或者贡献恶意代码寻求合入主分支或者尝试那些没有精力维护开源组件的原作者索取控制权。 内部开源镜像的作用 提供各种官方开发工具、软件的下载防止员工从外网人意下载来历不明的程序。提供经过过滤的各种开源组件可以对组件的名称、版本进行控制最基本的功能就是屏蔽有问题的组件。 基于主机的入侵检测系统 主机入侵检测就是主机上检测入侵行为并告警以便触发应急响应对应的系统名称HIDSHost-based Intrusion Detection System,基于主机的入侵检测系统属于主机层可选的额安全基础设施 账号风险检测如命名规则、弱口令防暴力破解授权风险检测访问控制风险检测主机资源完整性检测
应用和数据层安全架构
简介
通用基础设施 CMDB配置管理数据库、DNS提供服务器IP、域名等信息为安全扫描/检测、安全改进活动、安全质量数据分析等活动提供数据源接入网关或应用网关、通常指HTTPS统一接入网关可提供HTTPS安全传输保障。 应用及数据安全防御基础设施 WAF/CC防御助力业务免遭Web漏洞利用及CC攻击RASP运行时应用自我保护在应用内部贴身保护数据库防御系统数据库防火墙业务风控系统 组件与支持系统 SSO 单点登录为业务提供身份认证系统权限管理系统为业务提供权限管理、维护功能KMS 密钥管理系统为业务提供密钥托管、加密支持等统一的日志管理平台为业务提供一份不可从业务自身删除的日志副本用于分析内部开源镜像将经过筛选的开源组件提供给内部使用。
三层架构 B/S架构 建议将数据库作为底层基础设施统一管理起来对业务封装成数据服务以降低数据直接开放带来的风险。 C/S架构 应用和数据层身份认证
应用和数据层包括业务应用系统含数据服务以及数据库、缓存、NoSQL等存储系统 SSO身份认证系统 SSO单点登录系统是应用和数据层身份认证的支持系统。内部办公业务需要一套内部SSO系统且通常采用双因子认证动态口令如果存在ToC业务还需要一套面向用户的SSO系统。 不要上传用户的原始口令基于不信任任何人的原则内部员工有可能在应用册收集信息建议在用户侧先执行慢速加盐加密处理后再上传服务器侧。 https://cloud.tencent.com/developer/article/1009666 绝对不能上传用户用于身份认证的生物图像而只能上传不可逆的特征值一旦发生泄漏事件无论是黑客窃取还是内部泄露均涉嫌触犯网络安全法 无论用户侧是否对口令执行过散列操作服务器侧必须对接收到的口令执行单向的加盐散列。 业务系统的身份认证 对业务系统来说如果是面向外网的用户需要跟用户SSO系统集成如果是面向员工的内部业务则需要跟内部SSO系统集成。集成方式有两种 各个业务自身跟SSO集成认证通过后自行管理会话Session和有效期。接入网关统一执行身份认证。 存储系统的身份认证 底层存储系统往往使用静态口令而无法直接跟SSO系统集成需要防范弱口令建议数据库或其他存储系统仅作为底层的基础设施应加以封装以数据服务形式向业务提供服务针对ToC业务数据服务可以跟用户SSO系统集成统一身份认证针对ToB业务可以在数据服务这里建立基于后台的身份认证机制。 登录状态和超时管理
应用和数据层的授权管理
授权管理的两种思路
首选在应用内建立授权模块即产品自身的安全架构中建立授权作为访问控制的依据。使用应用外部的权限管理系统
权限管理系统权限管理系统的局限性不适合ToC业务ToC业务通常只能放在应用自身完成。
应用和数据层的访问控制 统一的应用网关接入 流量分析与审计访问统计安全防御身份认证权限控制 数据库实例的安全访问原则 数据库实例最多只有一个访问来源不能由多个访问来源数据库实例账号只能在一个地方存储且需要加密存储尽量不要直接向业务提供原始的数据服务提倡封装成应用层的数据服务让业务访问数据服务时不使用底层数据库的账号和口令而使用基于身份的后台身份的授权与访问控制 数据服务发布时可以通过统一的API网关将数据服务统一管理起来并通过API网关提供数据服务这样API网关以及后台的数据服务就构成了数据中台。
统一的日志管理平台
按照事先配置的保存期限自动清理过期日志对业务不提供删除接口也不向管理员提供人工删除接口使用应用层的身份认证如果是ToC业务可基于用户认证通过的票据其他业务可建立后台间的身份认证机制。
在审计方面如果日志涉及可能存储个人信息或个人隐私的时候就不能记录敏感信息的明文。
应用和数据层的资产保护 KMS与存储密钥 KMSKey Management System密钥管理系统的主要作用是让业务无法单独对数据解密这样黑客单独攻克一个系统是无法还原数据的。 DEKData Encryption Key数据加密密钥即对数据进行加密的密钥 每条记录均使用不同的DEK随机生成DEK不能明文存储需要使用KEK再次加密DEK在加密后建议随密文数据一起存储可用于大数据场景。但只有少量的DEK且预期不回赠长时才会考虑存储在KMS不推荐 KEKKey Encryption Key密钥加密密钥对DEK进行加密的密钥 每个应用或者每个用户应该使用不同的KEK正对用户KEK可建立专用的用户KMS或存入用户信息表并将用户信息表作为一个应用这个应用的KEK在KMS中加密存储在安全性要求更高的情况下可使用多级KMS来加强密钥保护没有KMS时候可以在应用系统代码中固定KEK不推荐 加密时使用随机生成的DEK对明文数据进行加密使用KEK对随机DEK加密最后加密后的数据和加密后的DEK一并写入数据库。 简单一点KMS KMS为每个业务生成唯一的KEK并加密保存在KMS中业务可在服务启动时向KMS申请获取KEK然后驻留内存不可写入任何文件申请KEK的过程需要执行后台间的身份认证可基于RSA或者AES-GCM加密时DEK随机生成使用DEK加密业务数据记录使用KEK加密DEK加密后的两部分一起保存在业务自身的数据库中KMS不保存DEK解密时使用KEK解密记录对应的DEK使用DEK解密对应的数据记录。 加密算法使用AES必要长度可选128192256首选256模式首选GCM这种方案的效率和可靠性高跟KMS交互少。不过当内存也成为可能的安全隐患时业务内存中的KEK可能泄露。改进方案在加密时DEK随机生成使用DEK加密业务数据记录将DEK安全传递给KMSKMS提取该业务的KEK对其加密向业务返回加密后的DEKKMS不保存DEK。可根据具体场景选择合适的方案。 应用网关与HTTPS 私钥需要加密存储统一接入应用网关负载均衡 WAFWeb应用网关 WAF的作用就是拦截针对Web应用的入侵行为如SQL注入、跨站脚本、文件遍历、WebShell上传或者通信等。 单机WAFModSecurity、Naxsi等开源WAF模块或者使用LUA扩展的web服务器功能直接部署在每一台目标的web服务器上并整合到web服务软件里面。比较适合个人站长使用服务器较少不太适合大中型企业的规模化部署。中小型企业自建扩展WAF采用扩展Web服务器功能配合云端管理政策模式如基于NignxLua扩展实现。云WAF使用云服务商或第三方的WAF服务工作在方向代理模式通常和CDN一起使用。严格HTTPS的话需要将自己的证书私钥交出去涉及管理政策、信任、私钥泄露等问题硬件WAF网关工作在网络层的硬件WAF一般串行或旁路接入网络直接对网络层IP包进行解包默认不支持HTTPS。随着HTTPS的流行硬件WAF网关用处已经不是太大。软件实现的WAF应用网关Application Gateway应用网关或称反向代理服务器。 最基本功能是可以对异常参数进行正则表达式匹配 CC攻击防御 CCChallenge Collapsar挑战黑洞攻击是早期围绕抗DDoS产品Collapsar而发展出来的一种攻击形式是模拟大并发用户量访问需要消耗过多资源的动态网页或者数据接口以达到耗尽目标主机资源的目的。也是DDoS攻击的一种。 在CC攻击过程中每一个请求看起来都是合法的因此基于参数特征的防御机制就对CC攻击失败了。 对付CC防御一般是基于访问频率和访问统计在设定的单位时间内同一来源的访问次数超过设定的阈值就触发拦截或验证码等机制。通常会集成在WAF应用网关、抗DDoS等产品中。 RASPRuntime Application Self-Protection运行时应用自我保护 RASP的控制点在应用程序里面PHP、Java直接将防护引擎嵌入到应用内部能够感知到应用的上下文可以先标记可疑行为将前后访问关联起来进行判断判定为高风险行为后加以阻断。也可以理解为运行在中间件内部的WAF。 OpenRASPhttps://rasp.baidu.com 业务风险控制 验证码 CAPTCHACompletely Automated Public Turing Test to tell Computers and Humans Apart全自动区分计算机和人类的图灵测试目的是区分出计算机和人类让人类很容易通过但计算机很难通过。 最简单的验证码是在服务器侧基于一串数字生成添加干扰的图频啊用户侧浏览器只能收到图片而不知道数字本身添加干扰的主要是为了增加黑客使用OCROptical Character Recognition光学字符识别进行识别的难度。 基于大数据的互联网风控系统 在没有具备黑产大数据之前我们需要建立相应的算法或者规则为黑产画像来构建黑产大数据。例如银行、信贷、保险等先基于用户行为建立信用档案然后用于业务决策。 基于人工智能的内容风控系统 视频黄赌毒的识别视频是由一帧一帧的图片构成所以可以一图片的识别和分类作为基础。以图片鉴黄为例就需要用到基于深度学习的分类算法。 反爬虫 防止专有数据被抓取如文学、动漫等内容。 在WAF中封杀相应的User-Agent很容易绕过在WAF中启动防CC保护限定指定时间的请求次数使用前端JavaScript执行解密或着解密动作提高爬取成本关键数据不固定其展示格式及HTML标签插入暗语 客户端数据安全 客户端是指包括手机APP、电脑客户端软件参与网络通信的客户端软件。 客户端敏感数据保护 客户端存储数据不要直接使用明文存储任何敏感数据口令、密钥、Cookie个人信息及隐私等。输出日志也不要输出敏感数据客户端不能展示基于身份认证的相关敏感数据包括口令、生物特征等。展示其他非认证用途的敏感数据姓名、地址、手机号码、银行卡号等应当脱敏处理。上传数据时不得上传用户基于身份认证目的的生物识别图像指纹图像、人脸图像等GDPR法律条款中指出原则上禁止收集个人的特别敏感的信息包括基因、生物建议特征、种族、儿童个人数据、政治观点、工会成员资格、宗教信仰、健康与性相关的个人数据。不建议上传用户原始口令建议现在用户侧执行慢速加盐散列后再使用。 安全传输与防劫持 采用HTTPS协议或者使用RPC加密通信使用HTTPS在建立与服务器通信会话前需要先验证证书的合法性防止用户流量劫持。浏览器会自动校验证书合法性app等不会自动校验需要主动校验 客户端发布 任何客户端程序发布都需要执行安全检查并在安全检查后执行数字签名。
安全架构案例与实战
零信任与无边界网络
2010年时任Forester的首席分析师John Kindervag提出“零信任”概念2017年Google基于零信任构建的BeyondCorp项目完工取消了办公网取消了VPN为零信任安全架构的实践提供了参考。 无边界网络概述 零信任架构以身份为中心员工能否访问响应的业务不是取决于他所接入的网络是否为公司办公网而是取决于他的身份是否具有访问对应业务的权限。因此可以取消办公网VPN。 对于生产网络采用了统一的接入网光GFEGoogle Front-End不再需要专门的防火墙网关后面的服务之需要配置内网地址天然无法直接对外提供服务而只能被接入网关托管。 对人的身份认证SSO及U2F 依靠企业的SSO系统需要具备防止钓鱼攻击能力采用动态口令机制TOTP如果外网使用TOTP仍有可能遭受实时的钓鱼攻击动态口令通常在30秒或60秒内有效采用更安全的双因子身份认证机制推荐使用U2FUniversal 2nd Factor通用双因子身份认证是由Google和Yubico共同推出的开发认证标准 对设备的身份认证 不信任企业内部和外部的任何设备就需要对设备进行认证和接入控制对设备主要采用数字证书设备的数字证书存储在硬件或者软件的TPM可信平台模块或操作系统证书管理器中。 最小授权原则 通过IAMIdentity Access Management身份与访问管理整合SSO、授权、审计几大功能。 设备准入控制 只允许公司配发的电脑注册登记只允许可信任的终端接入办公网否则进入修复区Google 采用了定制安全芯片的信任链传递机制其中安全芯片作为信任链的根依次对BIOS、BootLoader、操作系统内核进行签名确保它们未被篡改。也可以软件实现导入操作系统的自颁发证书、自定义安全组件、服务器设备MAC登机等都可以用于生产网络中设备的准入控制。 应用访问控制RBACABAC 借鉴与改进 零信任架构基于身份信任的架构从源头考虑安全要素是一种从根本上解决问题的思路非常值得借鉴。
同一HTTPS接入与安全防御
原理与架构 应用网关采用统一的HTTPS接入TLS加密通信统一管理证书和私钥安全防护网关内置Web应用防火墙、CC防护数据保护对私钥采取加密措施前端负载均衡与后端负载均衡Web化后台管理 应用网关与HTTPS 核心功能是反向代理Reverse ProxyWeb管理后台统一管理证书和私钥加密 WAF与CC防御 内置Google RE2正则引擎可拦截典型的Web漏洞如SQL注入、XSS、敏感心泄露、WebShell上传或链接动作、路径遍历等。CC防御基于访问频次和访问统计对统一来源在设定的单位时间内访问次数操作设定的阈值就拦截或者出验证码等机制。 统计周期statistic period最大请求数max request count锁定秒数block seconds动作action触发CC规则后可选择直接拒绝block或者出验证码CAPTHCA等动作。 私钥数据保护 私钥采用AES256加密后psql存储。 负载均衡 DNS轮询或者GSLBGlobal Server Load Balance全局负载均衡的DNS调度后端服务采用随机负载算法 编码实现 模块网关功能、Web化后台管理语言后端Golang前端Angular5 特点 多点检查恶意域名指向拦截HTTPS证书质量算法采用安全的TLS1.2任意后端Web服务器适配
存储加密 数据库字段加密 针对结构化数据产品自身需要考虑的事情原理是加解密需要KMS系统配合即使业务系统全部源码和数据丢失黑客也无法破解涉及用户敏感个人数据加密时KEK需要针对用户和业务特定的KEK不用的用不不能使用同一个KEK也不能一个用所有的业务都使用同一个KEK。这样在用户提出删除某个业务中的个人数据时删除该用户对应业务的KEK既可以满足合规要求。 数据库透明加密 MariaDB从10.1.7开始支持表加密、表空间加密、binlog加密其他数据也有类似特性。 磁盘文件加密方案探讨 网盘保存的用户个人文件属于UGC数据可能涉及隐私因此需要加密企业用户文件更是需要加强保护加密算法采用AES加密算法GCM模式密钥长度256位 网盘存储建议 文件切片或分块每个切片使用随机的DEK进行加密每个DEK均使用用户的业务KEK加密加密后随对应的密文切片一切存储。 配置文件口令加密 配置文件中对口令加密保护是一种较弱的保护机制 加密用于防止木马自动寻找口令、挡住ScriptBoy等技能不足的黑客。
数据安全与隐私保护治理
“数据安全治理”是在数据安全领域采取的战略、组织、政策框架的集合。
“数据安全管理”则是主要侧重于战术执行层面
数据安全治理
治理简介
治理与管理的区别
传统只能组织架构的上下级管理模式从高层开始就一个人分管一个或几个领域其他高管也不插手其领域内的任何事情。在这样的职能组织体系内权威的唯一来源是上级上级决策后下级执行。如果上级执行不到位上级可以利用自己的威慑力对下级进行打压或处罚如考核权、奖金分配权、提名权等方面进行压制。在上级面前下级人微言轻极少出现反对上级的情况。整个团队的能力瓶颈就受制于上级的视野和能力范围也就是常说的“兵熊熊一个将熊熊一窝”。实际上没有任何一个人是全能的这样的单一权威来源的管理模式有很大的弊端很可能让实际工作走偏。治理模式下不再指望每一个上级都是英明的领导也不再将上级作为唯一的权威而是童工一种分工协作而又相互制衡的矩阵型组织和制度设计让每个人都能发挥主观能动性但又都在政策框架下行动不至于便宜太远。决策上一般采用集体决策形式风险管理委员会、技术管理委员会、指导委员会
对比元素管理治理决策者职能部门最高级别主管董事会或各领域风险管理委员会集体决策角色定位被授权在决策框架内以及职能部门内执行战术层面的决策执法、业务合规、沟通与报告战略方向决策、制定政策、授权给合适的人选以及监督和问责改进方法面向目标使用技术手段、业务手段、团队激励与考核方法调整面向战略组织架构调整与全责的重新划分部门整合、裁撤等部门管理者调整轮岗、调岗等、跨部门流程
治理三要素 战略/使命 建立战略Strategy原指军队将领指挥作战的谋略现主要指为了实现长期目标而采取的全局性规划。解决”大家朝那个方向努力的“问题。 组织 组织架构设计与权责分配并建立相应的监督和问责机制。解决”谁做什么“”如何制衡“”如何监督的问题“。 政策总纲/框架 政策、规范、流程、框架以及合规边界解决“怎么做才能控制风险”以及“需要遵循的底线”等问题。
数据安全治理简介
数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的综合。数据安全治理的需求来自于企业的战略、所面临的法律合规或监管层面的合规要求、业务面临的风险等目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。
数据安全的目标是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、防止面感数据泄露并满足合规要求包括法律法规的要求、监管的要求、合同义务、认证/评测机构认可的行业最佳实践等。这一目标是我们的政策文件中明确的。
数据安全治理确定了边界、改进方向、以及朝着目标前进所进行的战略决策、组织架构设计、政策制定、监督等活动。 实践中数据安全治理的大部分工作通常是由第二道防线也就是风险管理部比如数据安全管理部规划方案然后在董事会或者风险管理委员会决策形成决议后生效的。 数据安全治理的要素 数据安全战略 第一“零损失”是一个非常不现实的目标浙江使得成本非常高昂最后也不一定能够达成目标。无差别的全面防御即重要性不同的业务都采用同样等级的防护措施对高敏感业务保护不足对普通业务保护措施过剩。建议先把敏感数据识别出来重点防护先把预算用在真正需要保护的资产上。数据安全战略 保护敏感数据安全与法律合规确保敏感数据不泄露数据作为生产力保护敏感数据安全保障业务发展 第二工作重心 重检测轻预防事前预防胜于事后补救将安全需求作为产品的基本需求纳入产品的设计开发过程。 第三数据安全是“产品为中心”还是以“数据为中心”。产品安全架构是“以产品为中心”。当产品边界模糊时复用数据时候要以“数据为中心”架构模式统一管理数据服务构成数据中台。在以数据为中心的架构模式下可以让数据作为生产力在此基础上可以快速构建出新的业务。 第四数据安全数据全生命周期保护。 数据安全组织 参与数据安全工作的不仅有专职的安全团队也有业务团队以及审计、法务、内控、合规、政府关系等团队参与在落地上全员都会参与。“三道防线” 第一道防线业务线理负责安全职能的团队构成向业务线领导汇报。第二道防线有专职的安全部门和团队构成主要向安全领域领导汇报。第三道防线独立的审计团队担任不向第一、二道防线领导汇报。 进一步展开还包括指导委员会、技术管理委员会等虚拟组织。职责与权利“数据控制者”担主要责任 政策总纲/框架 建立政策总纲建立数据分级和分类标准明确数据Owner的定义与权利、职责建立数据安全管理政策包括建立最小化权限以及权限分离的相关政策建立数据安全算法/协议标准、产品标准、开发规范、运维规范建立和完善数据生命周期管理制度从源头开始对数据保护覆盖数据生成、存储、使用、传输、共享审核、销毁等建立针对法律、监管/行管所需要合规要求网路安全法、PCI-DSS等可单独发文或整合到上述规范中去数据分级和分类清单的建立与例行维护并考虑建立/完善数据安全管理系统或者整合到数据管理中台所谓中台是相对于前台和后台而言的是统一的中间层基础设施风险管理与闭环基于分级管理例行开展指标化风险运营建立并完善风险的闭环跟进流程将安全要求融入到产品开发发布的流程中去。建立合适的DSL流程对关键控制点进行裁剪和取舍串行或并行开展安全质量保障、质量控制活动。 监督 内部监督外部监督外部认证、外部审计 数据安全治理与数据安全管理的关系 数据安全管理中几个较大的领域包括风险管理、项目管理、运营管理与安全治理三要素的关系。 项目管理是围绕数据安全战略开展的构建安全防御系统、检测能力、工具和技术。阶段包括项目规划、项目实施、效果检测、覆盖评估。运营管理是围绕组织开展的通常以部门为维度加以排名促进改进。包括运营指标、监督改进、报告/度量、绩效考核风险管理是围绕政策开展的以政策为依据开展风险识别、改进、度量等活动并用于政策改进。包括风险识别、风险改进、风险度量、残余风险等。 安全项目管理
本内容的安全项目管理是指Security Program Management是为了达到长期目标而采取一系列活动或者项目Project的集合。
基础设施
安全防御基础设施抗DDoS系统、HIDS系统、WAF等安全运维基础设施跳板机、自动化运维平台、数据传输系统等各种安全支持系统SSO、权限管理系统、密钥管理系统、日志管理平台等流程发布审核流程工具端口扫描工具、漏洞扫描工具
数据安全管理系统功能参考
提供数据分级分类信息、数据对应的CMDB、数据安全负责人、业务线安全接口人等信息登记数据的权限申请、含权限明细、有效期等数据流转的审批或登记数据生命周期状态的跟踪、直至数据销毁内外部合规要求与改进指引使用数据的业务登记将Security by Design的相关要求做成在线的检查表checklist使用数据的业务对照合规要求与改进指引执行自检并保存检查结果可以用于对业务进行设计合规性的度量风险数据技术安全团队提供的扫描或检测方法可视化展示各业务的风险改进计划与改进度量的展示和跟踪
简单的说数据安全管理系统可以视为数据安全的仪表盘dashboard
安全运营管理
安全运营主要是为了支撑组织履行职责以及为管理问责、团队绩效考核提供依据。促进安全从业人员提升主观能动行提高安全的效率和价值。 高层支持 不仅口头支持、在人力、财力、内部资源等方面实际支持、站台。安全管理委员会回报内容 法律合规、监管、合同的要求《网络安全法》明确规定了网络产品、服务提供者有修复漏洞或安全缺陷的义务GDPR要求数据控制者具有能够像监管机构证明自身合规的义务。违法的处罚比如违反《网络安全法》要求拒不修复漏洞最高可罚50W元导致严重个人信息泄露事件最高可罚100W元对主管个人最高可罚10W元违反GDPR要求罚款可达企业上一年度营业额的4%或2000w欧元风险现状的总结与分析含风险等级以及对公司的影响业界的实践经验参考主要是头部企业怎么做的下一步计划、对公司的意义 管理者当责中基层管理者负起责任 安全事件员工行为违规风险数量及风险等级 通过适当形式将此类问题暴露出来并同步给业务管理层 跨部门协作配合 主动输出培训、案例和解决方案分享及时提供技术支持分享利益 员工支持 风险 绕过流程不执行流程要求的规定动作CMDB登记上线扫描、安全配置等。绕过安全控制措施比如绕过跳板机日常行为中有意无意的数据泄露、违规操作等 教育 针对各种人为原因导致的安全风险、加强教育针对产品自身风险、建立针对各个风险指标的改进指引或解决方案介绍以业界的热点数据安全事件为契机结合业务实际宣传数据安全及改进走进业务通过培训、交流等形式推进数据安全的同时收集业务的反馈改进相关环节各种安全意识教育活动形成可以多种多样的比如视频、网课、海报、邮件、有奖活动等。 数据分析与绩效可视
合规与风险管理
合规及符合法律合规、监管的各项要求。与风险管理合在一起称为“数据安全合规与风险管理”其目的是支撑数据安全治理中的政策总纲与框架将政策总纲与框架中的原则和精神在日常产品开发与业务活动过程中落地。合规与风险管理可以概括为定政策、融流程、降风险。
“定政策”是指合规管理包括建立完善的内部政策使之符合符合法律的要求并作为内部风险改进的依据以及合规认证与测评促进合规政策改进业务改进。“融流程”是指将安全活动在流程中落地是管控风险的最佳手段。将安全要素融入产品开发与发布相关流程可保障产品全生命周期的安全性。“降风险”是指风险管理就以内部政策为依据在流程中以及日常活动中评估、识别、检测各业务的数据所面临的风险根据严重程度对其定级确定风险处置的优先级并采取风险防治措施降低风险以及对风险进行度量提升整体的数据安全能力。
安全开发生命周期管理SDL
SDLSecurity Development Lifecycle安全开发生命周期将安全要素与安全检查点融入产品的项目阶段以及开发过程从流程上控制风险管理模式。 防止SQL注入 根本原因是SQL语句的拼接建议传参查询将指令和数据分开 代码审计通过采购或者自研代码审计工具在代码提交时发现代码开发上的错误以及可能的安全漏洞给出提示和告警。 安全自检 规范 需要带入SWL查询语句的查询只能采用参数话查询机制将指令和参数分开不能采用字符串拼接SQL语句形式未能提供参数化查询机制的应用用与编译Prepare和绑定变量Bind的机制实现SQL指令和参数的分离。 流程checklist抽检 安全扫描或安全测试 漏洞扫描器进行安全测试。渗透测试在发布前消除大部分漏洞。 安全配置 执行通用的安全配置脚本关闭不需要的端口指定应用运行的身份通常来说不要使用root账号对互联网屏蔽后台管理配置静态解析用户上传的资源统一接入安全网关或部署WAF 安全验收 确认安全部署结果确认备份及恢复演练确保备份数据能够用于恢复业务对于执行SOD权限分离的业务回收各种账号 SDL关键检查点与检查项 可以考虑在数据分级的基础上将SDL的关注重点收缩到敏感业务上。 需求阶段 纳入安全需求 方案阶段 安全自检安全评审 开发阶段 安全自检代码审计 测试阶段 安全扫描安全测试 运行阶段 安全配置与验收安全防御安全检测与应急响应 SDL的核心工作 安全培训 宣传、培训、推广 安全评估 方案设计的评估同行评审、自检等方式代码漏洞的主动发现通过代码审计工具安全测试扫描、测试用例、渗透测试等方式合规性评估如隐私保护是否符合所有适用的法律法规的要求
风险管理 风险识别与评估 风险数据库 5A方法论来审视产品架构的安全性 风险度量或成熟度分析 风险度量 首先选取用于的度量的风险指标。 身份认证方面未接入SSO、登录超时不达标、弱口令、未使用动态口令授权方面可设置越权访问自检指标访问控制未接入安全网关审计方面可选用用未接入日志平台的比例资产保护方面可选明文传输推行HTTPS 安全能力分级 级别能力描述数据安全能力钙素5最佳实践持续改进安全架构实践符合最佳实践并具备持续改进的流程机制4增加安全量化安全安全措施接近最佳实践并具备风险量化与闭关管理跟进机制3充分定义与合规已按内外部合规要求执行所有必要的安全改进并重复执行2计划跟踪仅具备针对典型高危风险的改进计划和跟进措施1非正式执行数据安全工作来自于被动需求尚未主动开展数据安全合规与改进工作 阿里巴巴公司牵头拟订了国家标准《信息安全技术数据安全能力成熟度模型》 Data Security Maturity ModelDSMM可以作为整个数据全体系的参考 身份认证能力 授权能力 访问控制能力 审计能力 资产保护能力 风险处置与收敛风险 实时或准实时的风险列表展示 序号风险描述风险等级负责部门/负责人改进建议1XX业务服务对外网开发高XX/XX修改监听地址2XX业务存在弱口令高XX/YY修改口令 风险处置流程 办公系统我的代办流程中需要有确认完成闭环。 风险运营工具和技术 风险总览直观图线饼图、直方图、趋势图例外事项备案登记漏洞或事件报告系统风险或问题跟进系统代码审计工具 Checkmarx CxSuiteFortify SCACoverityRIPS 项目管理系统
PDCA方法论及数据安全治理
PDCA是指计划Plan、执行Do、检查Check、处理Action的缩写是一个循环改进过程最早由美国质量管理专家休哈特博士提出的有戴明采纳并发扬光大又称戴明环。
计划 了解现状识别问题所在对主要风险进行原因分析 主要风险 数据泄漏黑客攻击 根本原因 设计不安全缺乏防御人为原因 解决方案 管理手段技术方案流程意识教育风险度量与考核 设定目标并为此制定整体的解决方案与计划 执行 项目建设安全防御基础设施(抗DDoSHIDSWAF安全支持系统SSOKMS日志平台流程见色工具建设扫描器安全运营包括教育、培训、宣传合规与风险管理包括政策、标准、规范等文件体系建设 检查 检车业务对内部文件的复合性及改进情况风险度量数据描述发起扫描或渗透测试发起专项审计 处理 复盘下次迭代修正
数据安全政策文件体系
四层文件体系数据安全政策总纲、管理政策、安全标准、技术规范。
数据安全文件体系
安全数据文件体系即一系列管理、标准与规范、流程、指南、模版等文件的文档化记录。
当企业规模尚小的时候也许根本用不上建立政策文件当企业开始规范化运作的时候特别是需要通过外部的认证、测评的时候文档化的文件体系就不可少了如等级保护三级认证。 各种能力成熟度通常分为五级 第一级为临时的或不可重复的实践做法 第二级为可重复的实践做饭 第三级为充分定义的政策、流程、控制措施、并文档化发布及格线 第四级可量化可度量 第五级基于度量、定期审计的反馈与持续改进。 四层文件体系架构简介 第一层政策总纲/实践框架属于该领域内的顶层文件包括该领域工作的目标、范围、基本原则政策方针组织与职责等授权各级组织按着设定的角色和职责动用组织资源为目标服务。第二层管理规定和技术标准/规范第三层操作指南/指引/流程第四层交付文件模板、checklist 数据安全的四层文件体系 标准、规范与管理规定的关系 外部法规转为内部文件 往往采用的方法拿着外部的法规、业界最佳实践、外部标准等对内部现有文件的查漏补缺。 ISO 27001网络安全法PCI-DSS等级保护
数据安全政策总纲
数据安全目标数据安全范围强调对数据分级与分类管理数据安全组织与职责授权原则数据保护原则数据安全外部合规要求对人为原因导致的数据安全事件问责要求 数据安全的目标和范围 数据安全以数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪为目标防止敏感数据泄露并满足合规要求。数据安全保护的范围 各种结构化的数据包括存放于数据、缓存系统中的数据非结构化数据是指数据结构不规则没有预定义的数据模型不偏于用二维表来表现的数据主要包括各类文件如办公文档、文本、图片、音频、视频等。资源网络资源、计算资源、存储资源、进程、产品功能、网络服务、系统文件等。 数据安全涉及的组织范围全体。 数据安全组织与职责 数据安全组织/角色职责描述建议团队数据安全政策的制定者负责建立、解释、持续优化企业内数据安全相关的管理政策、标准、规范要求等作为业务数据安全改进的依据对业务数据安全改进提供必要的支持包括但不限于运营宣传、改进指引、数据安全解决方案的风险平贵及合规判定等有负责企业整体安全的安全团队担任数据安全改进的推动者负责推动数据安全政策在所负责业务领域的落地作为政策制定者和政策执行者之间的桥梁收集业务反馈意见并参与与数据安全政策优化评估来自业务的安全团队担任数据安全改进的执行者负责数据安全解决方案的实际落地包括但不限于自行开发、整合现有的数据安全解决方案业务团队数据安全解决方案的提供者为共性的数据安全问题提供通用的解决方案避免各业务重复造轮子安全建设团队数据Owner数据安全负责人数据安全管理负责人等负责数据安全权利主张、数据流转的审批、数据安全风险的决策等对所负责业务线的数据安全负责。业务管理团队 授权原则 这里的授权是指对角色或人员的授权。通常来说授权的原则有以下几点供参考 仅授权相关角色或人员以完成业务工作所需的最小权限。在涉及敏感数据的权限时需要考虑权限分离SODSeperation of Duty在一人承担多个角色时往往可能导致权限漏洞发生最典型的是会计和出纳如果由一人担任会出现腐败现象开发人员和运维人员分离可在一定程度上防止随意变更、数据无意中泄露的情况。操作系统管理员、数据库管理员、业务后台管理员由不同的员工担任授权与行权分离负责审批权限的人不能执行即不能审批自己提交的业务单据。 数据保护原则 明确责任人应确定每个业务领域的数据安全责任人基于身份的信任原则默认不信任企业内部和外部的任何人/设备/系统需要基于身份认证和授权执行以身份为中心的数据访问控制和资产保护数据流转原则数据流转包括但不限于数据共享给其他业务、数据流出当前安全域应经过负责人审批加密传输原则外网Web业务应采取全站HTTPS加密内瓦过对重要数据加密传输加密存储原则对敏感的个人信息、个人隐私、UGC数据、身份鉴别数据采取加密存储脱敏展示原则当展示个人信息时应当采取脱敏措施业务连续性建立备份和恢复机制 数据安全外部合规要求 法律法规《网络安全法》《个人信息安全规范》认证/测评要求等级保护适用于CII关键信息资产审计要求如适用于美国上市公司的SOX审计监管要求来自特定行业金融、支付、证券、保险等的监管要求
数据安全管理政策 数据分级与分类 数据分级通常是按照数据的价值、敏感程度、泄露之后的影响等因素进行分级通常数据分级一旦涉及基本不再变化 数据分类通常是按着数据用途、内容、业务领域等因素进行分类数据分类可随着业务变化而动态变化。 业界没有统一的标准企业可根据实际需要进行分级。一般二到五级如 “公开”、“内部使用”、“秘密”、“机密”、“绝密”“公开”、“内部使用”、“敏感”“普通”、“敏感” 数据分级数据分类说明数据保护要点敏感数据敏感个人数据如证件号码生物特征、银行卡号、手机号、地址等以及儿童个人信息各种交易/通信/医疗/运动/出行/住宿/、财务/征信/健康状况、关系链、生物基因、种族血统、宗教信仰、性、一斤敏感的UGC内容用户创建的不便于公开的内容如相册、文档、日记等加密、脱敏、去标识化、隐私法律合规等敏感数据身份鉴别数据如用户口令、系统口令、密钥加密敏感数据敏感业务数据如预算、计划、命案业务文档水印、流转跟踪加密可选等。普通数据一般个人数据姓名、出生日期等脱敏普通数据一般业务数据可以在内部公开的数据安全使用公开数据公开数据如新闻、公关、博客、自媒体数据合规审核 风险评估与定基指南
ISO 27001ISO 13335信息安全评估指南等包含风险评估内容。
风险发生概率可能性简记为P即Probability
风险后产生的影响简记为I即Impact
风险等级高、中、低 风险管理要求 风险Owner 风险Owner风险所有者是有责任、有义务管理业务风险的业务管理者。有管理者担任、有上级委派给下级解决也符合安全工作自上而下推动的原则。 风险指标 各种风险等级、各种风险类型的风险数量风险收敛的比例和速度 团队弱口令越权明文传输高危漏洞取经团队8432念经团队6611 风险处置与闭环 如果风险处理不及时则风险可能酿成安全事件。 事件管理要求 基本原则“以快速恢复业务降低风险影响为主要目的”。入侵事件发生后启动应急响应包括 应急团队统筹协调联系业务事件定级并视严重程度及时同步到相关人员如业务管理层、公关、法务、社交媒体官方运营负责人等入侵检测与防御团队提取关键日志定位受损业务实施拦截策略业务团队采取应急措施中断入侵行为。 事件分级 分级定位分类典型场景一级可给企业或广大用户带来重大影响或经济损失批量敏感数据泄露如个人数据可定位到自然人包含敏感数据库被拖走、API数据接口由于没有认证等机制被批量查询窃取、通过SQL注入窃取批量敏感数据一级敏感业务不可用敏感业务遭遇DDoS时无能力缓解系统宕机、网络故障一级敏感业务内容被篡改门户网站首页被篡改二级可给企业或用户带来中等影响或干扰批量普通数据泄露或者敏感记录小于n条。普通数据库被拖走二级普通业务不可用普通业务遭遇DDoS二级普通业务内容被篡改普通业务首页被篡改三级首亮相普通数据泄露入侵事件不产生实质影响三级边缘业务不可用系统宕机、网络故障三级边缘业务内容被篡改边缘业务首页被篡改 人员管理要求
人员包括员工、访客、合作伙伴等需要遵循、配合相应的安全管理政策、流程。人员有意识或无意识的各种行为可能给业务带来风险、因此需要加以规范。 身份认证 禁止互相借用账号通过正规渠道申请 授权 授权与行权分离 访问控制 需要防止员工从事恶意行为如DDoS攻击外部第三方网站收集或破解口令、大量发送垃圾邮件、以及编写或发布后门程序等。 可审计 禁止破坏安全监控系统或安全工具的运作 资产保护 未经审核私自对外开源主动泄露内部信息到外部安全高危软件随意处置或者丢弃敏感文档个人持有生产环境的敏感数据副本未经授权使用其他业务敏感数据拒绝打补丁或修复漏洞 配置和运维管理 配置管理这里所说的配置管理不是指该如何设定业务系统的各种配置文件或加固措施而是CMDB配置管理数据库中登记与维护更新维护CMDB的及时性和准确性并将CMDB作为安全检测的数据源。 IP地址可以作为主机层安全扫描的数据源输入可以作为改地址是否存在敏感数据的标记使用的域名可以在发生安全事件后第一时间根据域名找到对应的业务团队。操作系统容器类型及版本可以在第一时间基于威胁情报统计出那些设备需要紧急打上系统安全补丁防止漏洞被外部利用服务端口没有等级的端口被视为可疑的行为来自黑客、木马等 运维管理即规范运维操作如使用自动化运维管理平台或跳板机只从内部源部署开源组件、执行安全加固等。这一领域应该将自动化运维能力的提升作为改进的方向 建立自动化运维的基础设施让日常的例行运维操作通过自动化运维平台来实现如批量脚本发布、文件发布、内容发布等建立通用的服务基础设施如统一接入、数据服务、让业务不在单独部署自己的web服务器或者数据库服务器等通用服务。引导业务尽可能将日常操作纳入自动化运维 运维管理还应包括 运维人员自制要求如仅限正式员工运维流程上的要求如经过安全扫描或代码审计无高危漏洞才能发布域名管理与登记特别是企业存在多个顶级域名的情况下需要对域名用途进行限定部署区域要求对使用开源组件的要求只能从内部源下载按照已发布的安全配置规范进行加固包括补丁以及病毒防护要求是否启用WAFHIDS等安全防御措施。 业务连续性管理 业务连续性管理BCMBusiness Continuity Management是为了应对各种天灾人祸等异常而采取的防御性管理与技术管理。常见的做法 异地热备高可用方案应急预案 卷入相关业务团队共同应对止损切断入侵路径、封禁相关IP通知用户修改口令、回滚恶意的操作或交易等溯源与风险评估事件总结与改进优化改进业务缺陷、优化安全防御策略等 数据备份与恢复演练
数据安全标准 算法与协议标准 在安全的工程实践中“不要自行设计加密算法”已是大家的共识使用经过时间检验的、成熟的加密算法是最佳的选择。 对称加密算法 除非法律或监管层有单独的规定如国内金融行业使用SM系列加密算法的要求推荐默认选用AESAdvanced Encryption Standard机密算法AES支持三种密钥长度目前均是安全的推荐首选256除非清楚各个模式的区别推荐首选GCM模式Galois/Counter Mode及默认的首选AES-GCM-256加密算法 GCM是在加密算法中采用的一种计数器模式带有GMAC消息认证码。AES的GCM模式属于AEADAuthenticated Encryption with Associated Data算法同时实现了加密、认证和完整性保证功能而其他不带认证码的模式无法实现消息的认证。 对称加密的典型使用场景 数据存储加密后台各节点间、客户端到服务器之间的认证加密同时实现身份认证、传输加密。 SSO系统的身份认证通过之后用户可以在会话有效期内不再执行身份认证与SSO系统不同认证加密机制对每一次交互都需要身份认证。 非对称加密算法 如果选用RSA首选RSA 2048如果虚选用ECC首选ECC-224 适用场景 协商/交换对称加密密钥身份认证数字签名即使用私钥加密传输的内容 由于非对称加密算法的效率不高不适用于对大量内容进行加密因此真正对大量数据进行加密的部分还是需要对称加密算法来完成非对称加密算法仅用于安全的传递对称加密密钥。 单向散列 常规的单向散列如SHA256SHA384SHA512SHA-3首选SHA256慢速散列如bcryptscryptPBKDF2等如果选用PBKDF2推荐配置HMAC-SHA256使用。 口令存储时推荐做法 用户侧不传递原始口令在用户侧使用任何一种慢速加盐散列处理后再发送给服务器侧服务器侧收到用户侧发送过来的慢速加盐散列结果推荐选用SHA256加盐散列继续处理。无论哪种一种散列算法都需要加盐。 消息认证 推荐使用HMAC-SHA256用途 身份认证确定消息是谁发的对约定的消息进行运算比如请求的参数以及当前时间戳完整性保障确定消息没有被修改HMAC运算结果不包含消息内容、通常和明文消息一起发送不能保证消息的保密性 密码学安全的随机数生成器 在无外部输入的情况下计算机本身无法产生真正的随机数最多只能产生密码学安全的伪随机数即CSPRNGCryptographically Secure Pseudo-Random Number Generator密码学安全的伪随机数生成器。通常数据函数库所提供的随机数函数基本都不是密码学安全的随机数应首选考虑使用操作系统提供的功能或加密库提供相关的函数。 平台推荐的随机数生成器不推荐使用Unix/Linux/dev/urandom-GoLangcrypt/randmath/randjavaSecureRandom()Math.random()javascriptwindow.crypto.getRandomValues()Math.random()c#System.Security.Cryptography.RNGCryptoService Provider-Pythonos.urandom()- 传输协议 推荐首选TLS1.2及以上版本完全不要使用SSL 1.0、SSL 2.0SSL 3.0 等版本TLS 1.0 也不安全不推荐使用 口令标准 服务侧静态口令标准 能够与SSO集成的场景均应使用SSO身份认证并配合动态口令或双因子认证验证员工身份。 不得使用默认初始口令不得使用通用口令即一个口令在多处使用口令长度不小于14位口令应包含大写字母、小写字母、数字、符号 员工口令标准 首选使用SSO口令长度不小于10位口令应包含大写字母、小写字母、数字、符号中的至少3种 用户口令标准 口令长度不小于10位口令应包含大写字母、小写字母、数字、符号中的至少3种建议不上传用户原始口令先在用户侧执行慢速加盐散列处理后再上传 产品与组件标准 操作系统标准包括服务侧、用户侧及主要版本Web服务器标准Nginx NodeJS主要版本数据库容器基础镜像用户侧标准 制定防毒软件配置制定的补丁更新地址入域或将神人认证模块替换为SSO身份认证模块安装/使用制定的网络准入控制欲策略检查客户端软件 限制使用的服务例外场景 数据脱敏标准 数据脱敏即按照一定的规则对数据进行变形、隐身或者部分隐藏处理让处理后的数据不会泄露原始的敏感数据实现对敏感数据的保护。 常用个人数据脱敏标准参考示例姓名只展示最后一个字**三身份证号只展示末位********5银行卡号只展示末4位***** ***** **** **** 1234手机号只展示前3位和后4位138 **** 3134地址只展示到区级深圳市南山区******Email名字部分只展示首位和末位z****dgmail.com 漏洞定级标准 五级严重、高危、中危、低危、可接受三级高危、中危、低危
数据安全技术规范
数据安全技术规范用于指导或者规范业务的安全架构设计、开发实现、部署实施、运维实践等目的包括 安全架构设计规范、从架构方案上保障产品的方案设计复合业界最佳实践 产品架构三层架构身份认证与敏感业务超时管理最小化授权访问控制审计资产保护部署架构统一网关接入 安全开发规范从编码上保障产品的各项安全要素得以落地 防止SQL注入参数化查询禁止SQL拼接 防止XSS启用转义及CSP策略缓解XSS攻击 防止路径遍历指定路径 防止SSRF避免URL作为参数 防止缓存溢出执行边界检查 隐藏内部信息异常信息不能直接暴露给用户 禁止高危功能包括以下 在web应用中提供任意操作系统命令执行功能在web应用中提供任意SQL执行功能在web应用中提供实时的代码编译功能 PHP中禁用 Eval(),可以接收一段PHP代码作为参数Exec(),可以执行外部命令cmd返回结果最后一行Passthru(),可以执行外部命令并回显System(),可以执行外部命令并回显Shell_exec(),可以执行外部命令并回显 安全运维规范规范产品的发布流程以及上线后的运维要求等 发布条件发布审核经过安全扫描或检测基础数据登记CMDB系统及组件安装安全加固安全防护事件响应 安全配置规范针对操作系统或者具体中间件的加固规范。 安全配置规范用来指导业务对常用的操作系统和常用组件进行加固防止默认或错误的配置引入风险。常见的风险有弱口令、误将高危服务端口直接外网开放、使用含有高危漏洞的开源组件等。 安全配置规范至少应覆盖如下产品 操作系统Web服务器同茶馆使用非root不可登录账号数据库 应该从架构5A出发探讨应该包含哪些内容
外部合规认证与测评 CII与等级保护 《关键信息基础设施安全保护条例》规定发生安全事件后可能造成严重后果危害国家安全、国计民生、公共利益等的设施属于CIICritical Information Infrastructures关键信息基础设施。等级保护根据信息的重要程度由低到高划分为5各等级目前广泛认证的是等级保护三级金融、支付等业务还会涉及四级认证。 需要纳入CII的产品和服务包括但不限于 通信、能源、交通、水利、金融、电子政务等领域的信息系统和工业控制系统包括但不限于网站、即时通讯、购物、网银、支付、搜索、邮件、地图、电视传播、调度系统、通讯网、物联网等互联网信息网络、云计算、大数据、大型公共信息网络平台或服务。 PCI-DSS 虽然不属于法律但只要涉及支付卡处理就需要履行合同义务执行PCI-DSS合规。 CSA STAR 云安全国际认证CSA-STAR以ISO/IEC27001认证为基础增强版本结合云端安全控制矩阵CCMCloud Control Matrix的要求运用BSIBritish Standards Institution英国标准协会提供的成熟度模型和评估方法为提供和使用云计算的组织从5个维度综合评估组织在云端的安全管理和技术能力 沟通和利益相关者的参与政策、计划、流程和系统性方法技术和能力所有权、领导力和管理监督和测量 ISO 27001 ISO 27001信息安全管理体系认证是针对安全管理体系的认证以风险管理为核心通过定期评估风险和控制措施的有效性来保证体系的持续运行通过整体规划的信息安全解决方案来确保企业信息系统和业务的安全性和连续性。体系分为两部分 信息安全管理体系规范建立、实施和文件化信息安全管理体系ISMS的要求信息安全管理实施规则该部分对信息安全管理给出细则建议提供安全管理团队启动、实施或维护安全管理体系。 ISO 29151 ISO 29151 提供了针对个人身份信息PIIPersonally Identifiable Information的保护实践指南覆盖26个控制域181条控制措施旨在控制个人身份信息相关风险满足隐私影响评估的要求确保个人身份信息全生命周期的安全。 其他隐私框架标准还有 GAPPGenerally Accepted Privacy Principles公认隐私准则OECD Privacy FrameworkOrganization for Economic Co-operation and Development,经济合作与发展组织隐私框架 https://www.iso.org/standard/62726.html ISO 27018 ISO 27018 用于保护云上个人可识别信息Personally Identifiable InformationPII https://www.iso.org/standard/61498.html ISO 27701
