如何建立有效的网络安全防御体系

发布时间：2019-07-13 10:37:17 所属栏目：建站来源：踏实君

导读：副标题#e# 踏实实验室推出万字长篇文章，踏实君结合十年团队经验和二十年从业经验深度整理和剖析了网络安全防御体系如何有效建立，推荐阅读预计20分钟。这个夏天就想睡个好觉己亥年庚午月，睡个好觉是安全这个行业大部分人的奢望，除了国际形势、明星分手

说起数据安全，先说一个概念两个维度两个热点，一个概念就是数据的基本分类( 国家级、行业级、城市级、企业级、群体级、个体级)，个人数据有可能也是国家级别的防护，国家级的数据也有可能之采取个人级别的防护。

两个维度，一个是站在数据的价值维度看重要性(数据资源级别—保安级、数据资产级别—保镖级、数据资本(流通)级别—武警级、数据托管(交易)级别—银行级)的新思维(海关刘处的思想)，一个是站在数据全生命周期维度看重要性(采集、传输、加工、处理、存储、销毁)的传统思维。

两个热点，一个是各地大数据局政府机构的成立，数据共享、交换、流通，2014年我的硕士毕业论文提到的现在政务的“盲数据、死数据”未来都会随着数据的流动起来产生价值。一个是公共平台隐私数据的保护，数字时代APP和网站以及其他公共设施收集的每个人的身份信息、手机信息、地址信息、人脸信息、支付习惯信息、吃穿住行信息….想起来就恐怖，这个环节基本上还没有啥政策要求，其实这个也是个大市场，当然需要监管的来临，商人自发花钱保护客户信息的可能几乎没有。

总之，数据安全这个范畴可研究和讨论的很多，数据成为有价的资产肯定的确定的，数据有价值肯定是要流动的，不流动就不会产生价值了。所以未来大部分场景都会有数据的提供者、数据的运用者、数据的管理者、数据的使用者、但更重要的是数据合理合法使用的监管者，数据流动安全监管就成为数字时代的重大命题，应用安全能力者不同的安全能力在数据流动的不同场景进行有序和安全的管理就是我们和PCSA联盟和某地大数据局和某行业沟通现在正在做的事情。全程可视，状态可查，权益可管、权限可控、流动可溯、易用扩展。

图8：数据流动安全监管

前几年出国游学和参观时通过朋友参观了几家美国大的云和互联网公司，其中重点是参观安全管理和运营管理，庞大的规模和监控和运营中心由于不能拍照无法描述。在整个参观的过程中给我最大的感触就是几个关键词、事多、人少、全程可视、自动化。这几年在国内信息化建设过程中看到的场景基本上也是这样，没有良好的大安全管理中心和运营中心，任何系统想要长久的安全运行保障基本不可能。2005年开始国内开始有了安全管理中心和平台1.0雏形现在已经被淘汰，2009年安全管理进入2.0，在CC某V和某关、某社我们看到的和审计多个项目，钱花了不少，事情也干了不少，但确实也没起到相应的效果体现价值，收集大量基础数据进行关联分析这个思路，在基本上没有标准、没有生态、没有深度检测能力等等必要的保障。安全管理2.0只能活在PPT和情怀里，这10年我和团队接触过国内99%的安全管理平台，也帮助客户建设了数百个所谓的安全管理平台，实话说我没有看到一个高效的和有高价值的。16年开始，我们的网络防御服务接受了挑战，考虑到未来进入数字时代，安全管理是重中之重，我们给很多生态伙伴提供了思路和想要的安全管理中心的样子，比如围绕保护对象与运维合力成为保障能力中心，管理和建立四大体系，要有深度检测。例如关键业务数据和安全与流量精密关联，让ID和IP清晰自如的展示、让访问路径实时动态可视等等，形成企业级、行业级、城市级的安全管理和运营等等，很庆幸，2017年以来我们理想的安全管理逐步实现了。态势感知逐步实现，这个领域落地的案例已经很多了，也获得了工信部的试点示范，在HW中也有很好的表现，没有白费力气，浪费我的白头发，未来我们会和生态伙伴一起迭代好这个平台，力争成为未来网络防御体系的主力军。

图9：安全管理及运营

从Struts2的漏洞爆出和coremail的0day,主流应用框架的选择，尤其是对外提供服务的Web和mail，一旦底层出大的安全问题了，会导致整个系统都需要重新构建了。由于很多开发者不回去考虑安全性的问题，往往从易用和易构建的角度去考虑，系统和底层架构是紧耦合的不可轻易分离，严重漏洞的出现，不能修补，勉强弄弄安全运行也有问题，不修补也不能再上线了。这个问题出现后只能重新架构和开发了，经济损失极大，这也是我们12年经历的血淋淋的教训。

这个点也是几个案例的体现，主要提醒大家IT主流品牌一定是APT攻击者的重点，因为发现一个0DAY，基本上和挖到金矿一样，我们经常在网络安全防御体系建设中看到品牌一致性的要求。从统一管理的角度上来说也是对的，但一旦出现0day或者被攻破，基本上就是全军覆没，充其量就是个马奇诺防线，而且大厂的OEM产品太多，其实每个安全厂商真正的安全能力不会超过3-5个，其他都是非重点能力。一个安全能力没有3-5年的研究研发，不可能成功的。这些年我们总结经验就是大众品牌选择部署可以在外围，解决复杂管理和高性能、高可靠性，在核心数据区或者关键管理区选择小众的品牌，或者多层异构。例如：在新**全国大网的设计上，纵深防御选择了6个品牌(非OEM)的红、黄、蓝区、数据、管理、业务在不同层，有解决性能为主的，也有解决高安全性为主的、也有解决高策略最小原则稳住的，可能都是防火墙，设计时也会有不同的侧重点。管理和安全性一定是平衡使用的。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

8/12

首页

尾页