◆張昌斌

中小企業(yè)網(wǎng)絡(luò)應(yīng)用安全防護體系建設(shè)探討

◆張昌斌

（寧波張力網(wǎng)絡(luò)股份有限公司 浙江 315600）

當(dāng)前，企業(yè)信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，如何建設(shè)有效合理的企業(yè)信息網(wǎng)絡(luò)安全防護體系，始終是困擾CIO的難題。本文分析了中小企業(yè)面臨的網(wǎng)絡(luò)應(yīng)用安全威脅與風(fēng)險，從應(yīng)用產(chǎn)品安全體系和安全服務(wù)體系兩大維度，探討面向中小企業(yè)網(wǎng)絡(luò)應(yīng)用安全防護體系的建設(shè)思想。

信息技術(shù)；網(wǎng)絡(luò)安全；信息安全；應(yīng)用安全；安全防護體系

0 前言

當(dāng)前，企業(yè)信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，如何建設(shè)有效合理的企業(yè)信息網(wǎng)絡(luò)安全防護體系，始終是困擾CIO的難題。尤其是在《網(wǎng)絡(luò)安全法》全面施行的時代背景下，企業(yè)的網(wǎng)絡(luò)安全責(zé)任日益重大。而中央網(wǎng)信辦、公安部、工信部等政府主管部門頒布實施的系列法律法規(guī)，又給企業(yè)的網(wǎng)絡(luò)安全保護提出更高的要求。

近年來，傳統(tǒng)網(wǎng)絡(luò)安全防御手段主要依賴硬件防火墻、單向隔離網(wǎng)閘等邊界防御設(shè)備，或是通過入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等檢測設(shè)備，甚至依賴于殺毒軟件從而阻攔一部分攻擊。然而，隨著大數(shù)據(jù)、云計算、AI技術(shù)的突發(fā)猛進，黑客入侵攻擊手段發(fā)展迅速且手法新穎，他們可以輕松繞過邊界防御的方式登錄內(nèi)網(wǎng)，或是直接突破邊界防御設(shè)備入侵系統(tǒng)。大量的案例分析證明，傳統(tǒng)的安全防御辦法并不能阻止全部入侵攻擊行為。把希望寄托在安全防御產(chǎn)品去阻攔攻擊不再可行，企業(yè)必須要在安全防御產(chǎn)品的基礎(chǔ)上，增加安全服務(wù)體系的雙重保護，信息安全才能得到更好的保障。

對于廣大的中小企業(yè)而言，昂貴的安全防御產(chǎn)品和緊缺的安全運維人才，是建立安全防護體系面臨的最大問題。況且，大部分中小企業(yè)并無足夠的資金采購符合網(wǎng)絡(luò)安全等級保護要求的產(chǎn)品和服務(wù)。如何以相對合理的投入，達到較好的防護效果，而不是注重硬件上或者形式上的安全保護措施，是目前廣大中小企業(yè)亟需解決的問題。

黑客攻擊防不勝防，配置不當(dāng)，程序漏洞，安全意識匱乏，都將成為企業(yè)中招的原因。而大多數(shù)時候，企業(yè)從安全咨詢報告中拿到的只是存在問題的列表。至于如何分辨漏洞危害，如何修復(fù)問題，以及從哪兒開始，企業(yè)卻無從得知。除了防守之外，企業(yè)如何避免成為自身漏洞的生產(chǎn)者，不給攻擊者留下可乘之機，一旦遭遇攻擊，怎樣有效應(yīng)對。企業(yè)洞察安全問題背后的邏輯：在復(fù)雜的攻擊行為中呈現(xiàn)完整的攻擊線路圖；從黑客的視角解讀網(wǎng)絡(luò)環(huán)境中風(fēng)險評估的實踐；任何類型的安全管理手段對企業(yè)都是有效的。根據(jù)這個基本邏輯，繪制中小企業(yè)網(wǎng)絡(luò)應(yīng)用安全防護體系建設(shè)圖如圖1所示：

1 網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品體系設(shè)計

在企業(yè)網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品體系設(shè)計中，建議做好四個方面的工作。

（1）企業(yè)要部署Web應(yīng)用防護系統(tǒng)（WAF）。Web應(yīng)用防火墻通過執(zhí)行針對HTTP/HTTPS的安全策略為Web應(yīng)用提供保護。無規(guī)則WAF作為最新信息安全技術(shù)，用來解決防火墻等傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護具有先天的技術(shù)優(yōu)勢?；趯eb應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類Web應(yīng)用進行有效防護。

圖1 安全防護體系建設(shè)示意圖

（2）企業(yè)要部署內(nèi)網(wǎng)威脅感知系統(tǒng)（Honeypot Technology）。蜜罐技術(shù)作為情報收集系統(tǒng)，本質(zhì)上是一種對攻擊者進行欺騙的技術(shù)，通過布置高仿真誘餌主機、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊者對它們實施攻擊，從而可以對攻擊行為進行捕捉和分析，掌握攻擊者使用的工具和方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解所面對的安全威脅，并通過技術(shù)和管理手段來增強系統(tǒng)的安全防護能力。內(nèi)網(wǎng)威脅感知系統(tǒng)成功引誘攻擊者入侵后，就可以了解對方針對服務(wù)器發(fā)動的最新攻擊和漏洞，并對攻擊者進行畫像。

（3）企業(yè)要應(yīng)用安全評估系統(tǒng)（Safety assessment），這是一款以漏洞掃描技術(shù)為核心安全工具。企業(yè)信息系統(tǒng)經(jīng)常會面臨內(nèi)部和外部威脅的風(fēng)險。隨著攻擊者技術(shù)的日趨先進，只有掌握這些攻擊者技術(shù)的經(jīng)驗與知識，才能充分保護系統(tǒng)安全。安全評估系統(tǒng)利用大量行業(yè)經(jīng)驗和漏洞掃描的先進技術(shù)，從內(nèi)部和外部兩個角度，對企業(yè)信息系統(tǒng)進行全面的風(fēng)險評估。由于各種平臺、應(yīng)用、連接與變更的速度和有限的資源組合在一起，因此采取措施保護組織的資產(chǎn)比以往任何時候都困難。網(wǎng)絡(luò)環(huán)境越復(fù)雜，就越需要這種措施和控制來保證組織業(yè)務(wù)流程的連續(xù)性。因此，在企業(yè)安全項目評估階段，為了充分了解企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全隱患，需要對網(wǎng)絡(luò)系統(tǒng)進行安全狀況分析。安全評估系統(tǒng)和防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。該工具集資產(chǎn)管理、Web 掃描與主機掃描為一體，幫助企業(yè)全面封堵因漏洞帶來的安全風(fēng)險，做到防患于未然。

（4）企業(yè)應(yīng)搭建服務(wù)器安全平臺。企業(yè)多層架構(gòu)的工作負載服務(wù)器環(huán)境不可避免的復(fù)雜，隨之產(chǎn)生的風(fēng)控及合規(guī)等安全問題亟需解決。通過研究梳理發(fā)現(xiàn)，從服務(wù)器內(nèi)部發(fā)現(xiàn)安全問題，核心應(yīng)抓住三個維度：一是管理維度，通過服務(wù)器的用戶、進程、端口以及連接狀態(tài)等信息，觀察存在的異常情況；二是排查維度，根據(jù)服務(wù)器上安裝的程序和服務(wù)器的配置定位，通過基線檢查和異常檢測分析可能存在的安全風(fēng)險；三是監(jiān)控維度，在服務(wù)器已經(jīng)被入侵的情況下，通過對反彈Shell、后門排查、暴力破解、異常登錄等各種行為進行監(jiān)控，快速尋找和清理被植入的后門程序。當(dāng)前，基于Agent技術(shù)的深度服務(wù)器工作負載安全平臺，在龐雜的混合云環(huán)境下，可以無間斷監(jiān)控攻擊者的攻擊行為，發(fā)現(xiàn)自身系統(tǒng)潛在風(fēng)險觸發(fā)的異常變化，并進行快速處理，提升企業(yè)資產(chǎn)能見度并有效防御入侵。

2 網(wǎng)絡(luò)安全服務(wù)體系設(shè)計

在企業(yè)網(wǎng)絡(luò)安全服務(wù)體系設(shè)計中，建議從五個方面做好相關(guān)工作。

（1）選擇滲透測試服務(wù)，料敵機先。本人研究和服務(wù)項目的數(shù)據(jù)顯示，約60%企業(yè)存在丟失系統(tǒng)最高權(quán)限的風(fēng)險，超過70%存在信息泄露漏洞，超過50%存在越權(quán)漏洞，約30%存在越權(quán)以外的業(yè)務(wù)邏輯漏洞。由于企業(yè)線上業(yè)務(wù)的基礎(chǔ)架構(gòu)與網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜，導(dǎo)致安全漏洞經(jīng)常出現(xiàn)在缺乏關(guān)注的角落；隨著企業(yè)資產(chǎn)數(shù)據(jù)的增值，由惡意攻擊導(dǎo)致的信息泄露、業(yè)務(wù)宕機，甚至系統(tǒng)權(quán)限丟失，正在讓企業(yè)付出高昂的代價。為保障企業(yè)線上業(yè)務(wù)安全，需要先于攻擊者找到并解決問題。滲透測試是一種以黑客視角，通過模擬入侵識別IT基礎(chǔ)架構(gòu)中不安全因素的評估方法，能夠驗證目標系統(tǒng)的技術(shù)安全性，快速發(fā)現(xiàn)當(dāng)前亟待解決的關(guān)鍵問題。在滲透測試過程中，嚴格遵守授權(quán)許可范圍，并通過風(fēng)險規(guī)避和過程控制保證不妨礙正常業(yè)務(wù)的運轉(zhuǎn)。然后，通過修復(fù)漏洞，以領(lǐng)先攻擊者的方式，幫助企業(yè)實現(xiàn)業(yè)務(wù)安全。

（2）做好應(yīng)急響應(yīng)工作，提升自身防護能力。應(yīng)急響應(yīng)是指企業(yè)為應(yīng)對突發(fā)、重大的信息安全事件發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施，其目標是幫助企業(yè)合理應(yīng)對安全事件，最小化負面影響。分別從事件發(fā)生前的威脅檢測與攻擊發(fā)生時的應(yīng)急處置入手，幫助企業(yè)提升信息安全事件的發(fā)現(xiàn)能力和應(yīng)對能力，并在根除攻擊癥狀之后，針對問題根源提供加固建議，以避免同類事件再次發(fā)生。企業(yè)在攻防對抗演練的過程中，自身防護水平會不斷增強。雖然很多信息安全事件可以通過技術(shù)的、管理的、操作的方法予以消減，但沒有任何一種信息安全策略或防護措施能夠提供絕對的保護。

（3）選擇代碼審計服務(wù)，解決業(yè)務(wù)隱患。代碼審計是一種以發(fā)現(xiàn)程序錯誤、安全漏洞和違反程序規(guī)范為目標的源代碼分析。它是防御性編程范式的一部分，旨在檢測代碼中存在的安全缺陷，針對存在的缺陷提供解決方案，降低程序使用時的安全風(fēng)險。在軟件發(fā)布前進行代碼審計，可將不安全因素扼殺在萌芽狀態(tài)，極大縮減了后期修復(fù)所花費的成本。代碼安全審計能更深層地發(fā)現(xiàn)代碼中的隱患，測試過程不會對線上業(yè)務(wù)造成影響，不會導(dǎo)致諸如系統(tǒng)宕機、服務(wù)卡死、數(shù)據(jù)庫阻塞、業(yè)務(wù)數(shù)據(jù)丟失等風(fēng)險。但由于代碼審計需要深入理解代碼邏輯和業(yè)務(wù)結(jié)構(gòu)，因此對審計人員的能力素質(zhì)要求較高，需要花費的精力也更多。企業(yè)一般會選擇專業(yè)的網(wǎng)絡(luò)安全公司提供代碼審計服務(wù)，通過人工觀察、模擬執(zhí)行或半自動化工具掃描的方式，全面深入挖掘代碼中的通用Web漏洞、業(yè)務(wù)邏輯漏洞、應(yīng)用程序漏洞以及應(yīng)用程序配置文件中的不安全因素等，不僅解決現(xiàn)存隱患，更能通過針對性幫助企業(yè)整體提升編程安全水平。

（4）選擇基線檢查服務(wù)，補齊安全短板?；€檢查，又稱為基礎(chǔ)安全配置核查，旨在針對不同版本服務(wù)器系統(tǒng)、第三方應(yīng)用軟件、第三方網(wǎng)絡(luò)硬件設(shè)備、接入控制、惡意軟件對抗等進行基礎(chǔ)安全配置檢查。基線檢查的目標在于補齊安全短板，提升企業(yè)的安全系數(shù)。在企業(yè)日常網(wǎng)絡(luò)安全工作中，基線檢查可以有效解決以下實際問題：正確配置和管理企業(yè)業(yè)務(wù)系統(tǒng)，檢查攻擊者是否已進入系統(tǒng)或網(wǎng)絡(luò)，明確現(xiàn)行系統(tǒng)安全設(shè)置的更改行為，并對企圖繞過安全設(shè)置的惡意操作加以阻止。目前網(wǎng)絡(luò)安全環(huán)境不斷變化，許多企業(yè)面臨著新技術(shù)與新問題的威脅困局。大部分企業(yè)的安全人員對于復(fù)雜、變化的安全威脅無計可施，面對不清晰的規(guī)則與復(fù)雜的要求無所適從。因此，邀請專業(yè)安全廠商的技術(shù)專家，對企業(yè)進行有效、全面的基線檢查安全服務(wù)，能幫助企業(yè)的數(shù)據(jù)免受已知的網(wǎng)絡(luò)攻擊，是提高安全短板的最佳選擇。

（5）不斷學(xué)習(xí)，請專家提升企業(yè)安全能力。網(wǎng)絡(luò)安全的本質(zhì)是人與人之間的攻防對抗。因此人才是企業(yè)網(wǎng)絡(luò)安全的最后一道防線！企業(yè)可以不定期組織和參加網(wǎng)絡(luò)安全專題培訓(xùn)，根據(jù)所在行業(yè)針對性地學(xué)習(xí)本行業(yè)漏洞案例、行業(yè)安全問題、安全防護手段等專業(yè)課程，包括 CTF 比賽中常見的 Web、Pwn、Reverse、Crypto、Misc、Stego、Forensics 等題型培訓(xùn)，從網(wǎng)絡(luò)安全基礎(chǔ)理論到漏洞缺陷等，幫助企業(yè)安全團隊迅速掌握攻防實戰(zhàn)技能。也可以組織員工參加攻防實訓(xùn)，邀請安全專家定制出題，提供 Web 安全、二進制安全、移動安全、密碼學(xué)、隱寫與取證技術(shù)等多個安全技術(shù)方向的課程，快速提升網(wǎng)絡(luò)安全人才素質(zhì)，全面提升企業(yè)網(wǎng)絡(luò)安全防護水平。

3 結(jié)束語

筆者根據(jù)多年真實攻防經(jīng)驗，梳理以上安全服務(wù)核心環(huán)節(jié)，分別從攻擊視角、防守視角和攻防視角提供安全體系建設(shè)思路。本文分析了中小企業(yè)面臨的網(wǎng)絡(luò)應(yīng)用安全威脅與風(fēng)險，從應(yīng)用產(chǎn)品安全體系和安全服務(wù)體系兩大維度，探討面向中小企業(yè)網(wǎng)絡(luò)應(yīng)用安全防護體系的建設(shè)構(gòu)想?？傊?，企業(yè)應(yīng)該在安全防御產(chǎn)品的基礎(chǔ)上，增加安全技術(shù)服務(wù)項目，讓企業(yè)的信息網(wǎng)絡(luò)安全得到雙重保護。

[1]長亭科技官方網(wǎng)站（www.chaitin.cn）、長亭安全服務(wù)白皮書（2018版），2018.