日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

最近都在談?wù)摪踩w系架構(gòu)，我也有一些觀點想與諸位分享，主題圍繞著如何搭建企業(yè)級安全體系架構(gòu)來進(jìn)行，本期重點是搭建安全體系架構(gòu)的先決條件，全主題不以投入資金來定安全體系，安全體系架構(gòu)不是安全設(shè)備的堆積，這一點是重點想要分享的。

一套好的安全架構(gòu)離不開以下幾點支撐：

• 企業(yè)的重視
• 業(yè)務(wù)的特性分析
• 成本
• 架構(gòu)的高可用性+保密性+完整性分析
• 專業(yè)的團(tuán)隊

邏輯圖

其中談到的企業(yè)重視是最重要的一點，它決定著架構(gòu)的策略側(cè)重點、投入的成本、團(tuán)隊的組建等等，如果企業(yè)高層不重視安全架構(gòu)的設(shè)計，那么從戰(zhàn)略角度來講安全的投入也不會很大，同樣安全團(tuán)隊的專業(yè)程度也不會很高，這是戰(zhàn)略意義決定的。

一般設(shè)計架構(gòu)都是按照業(yè)務(wù)需求和特性來設(shè)計的，這里舉個例子，我需要一套HTTP對接的業(yè)務(wù)，那么相應(yīng)安全需求就是購買HTTPS證書、WAF、抗DDOS等等，以及開發(fā)方向會選用什么開發(fā)架構(gòu)，使用什么語言進(jìn)行應(yīng)用開發(fā)，要關(guān)注相關(guān)框架以及語言漏洞。如果我的業(yè)務(wù)僅需要FTP對接，那么上述WAF、HTTPS證書等就不需要涉及了，根據(jù)業(yè)務(wù)特性和需求來設(shè)計企業(yè)的安全架構(gòu)也是一大重點。

[[269270]]

之后是投入的成本，上圖中我說投入成本與安全程度從某種意義上來講是成正比的，但不是說沒有投入成本的架構(gòu)就一定是不安全的，這句話不太好理解，在這里重點解釋一下，安全產(chǎn)品所帶來的安全力度的確很大，這里就以WAF來舉例，它可以代替我們阻斷很多攻擊，比如SQL注入，比如struts2、比如java反序列等等，它可以最大程度的保證HTTP層面的安全性，但是最強(qiáng)大的往往是自身，須知如果企業(yè)的開發(fā)架構(gòu)完善，WAF便只是錦上添花的產(chǎn)品，很多開發(fā)架構(gòu)都帶有過濾、轉(zhuǎn)義，這也是為什么基礎(chǔ)攻擊手段越來越不好使的原因之一。一套好的安全體系架構(gòu)一定不是用錢堆出來的，這個概念大家要了解。

關(guān)于高可用性，這里一般分為網(wǎng)絡(luò)的高可用和數(shù)據(jù)的高可用以及應(yīng)用的高可用，網(wǎng)絡(luò)高可用顧名思義，當(dāng)一個網(wǎng)絡(luò)接口down了，切換到另一個接口不影響正常訪問，數(shù)據(jù)高可用應(yīng)用高可用也是同理，高可用的設(shè)計是在一個架構(gòu)設(shè)計的最初就必須要考慮的，這里包括系統(tǒng)架構(gòu)、安全架構(gòu)和開發(fā)架構(gòu)，都需要考慮這個問題。

隨著國家對于數(shù)據(jù)保密性要求越來越高，以及業(yè)務(wù)數(shù)據(jù)的私密性特點，保證數(shù)據(jù)的保密性需求也是越來越大，此處保密性架構(gòu)設(shè)計也需要更全面的加密，包括軟件加密、硬件加密、邏輯加密等等，國密算法的推行隨著時間的發(fā)展也會越來越完善，在這里建議架構(gòu)設(shè)計的時候推行國密算法兼容 RSA雙重算法，保證國產(chǎn)化的同時保證業(yè)務(wù)的兼容性。

數(shù)據(jù)完整性一般體現(xiàn)在包校驗上，防篡改的設(shè)計也是需要架構(gòu)師著重費心的地方之一。

以上要有一支專業(yè)團(tuán)隊，包括密碼學(xué)、應(yīng)用安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等多個方面的人才組建的安全團(tuán)隊，需要彼此之間配合搭建一套完整的安全體系架構(gòu)，管理制度也不能少，如此一套完善的安全體系架構(gòu)就算是有了基礎(chǔ)的建設(shè)能力，后篇會講述具體架構(gòu)設(shè)計以及落地。

[[269272]]

首先從管理層面的角度來講，要有健全的管理體制，一般由安全工程師負(fù)責(zé)日常安全巡檢以及加固，包括日志巡檢、物理巡檢等等，由應(yīng)急響應(yīng)工程師來負(fù)責(zé)突發(fā)事件的安全補(bǔ)救，由安全研究員來負(fù)責(zé)安全資訊傳遞以及安全漏洞復(fù)現(xiàn)，由安全滲透工程師來負(fù)責(zé)對全網(wǎng)范圍的公司財產(chǎn)進(jìn)行滲透測試保證財產(chǎn)安全。由安全開發(fā)工程師來開發(fā)安全產(chǎn)品供同僚們使用。當(dāng)然以上也可以由一人身兼眾職。并且需要高層建立監(jiān)督小組以及出臺監(jiān)管機(jī)制，監(jiān)督各個崗位的安全負(fù)責(zé)人來完成日常工作，這保證了安全職責(zé)確實向下執(zhí)行，建立工作獎懲機(jī)制，來保證各個崗位負(fù)責(zé)人的工作積極性。

其中每個崗位又會細(xì)分為以下工作：

安全開發(fā)工程師開發(fā)安全產(chǎn)品，大致有：IPS/IDS、HIDS/HIPS、WAF、漏掃、代碼審計、堡壘機(jī)、VPN、加解密系統(tǒng)、日志審計、數(shù)據(jù)庫審計、防病毒、報警體系、監(jiān)控體系等產(chǎn)品。

安全研究員主要熟知公司開發(fā)所用的架構(gòu)，每個業(yè)務(wù)所用的框架和語言、包括接口、對接協(xié)議等都需要了解、關(guān)注相關(guān)漏洞，尤其是開源架構(gòu)的使用，首先要確保架構(gòu)本身的穩(wěn)定性、安全性、保密性，綜合評估可用性后再進(jìn)行部署與使用。

安全工程師需要隨時進(jìn)行日志分析，最好能與開發(fā)進(jìn)行溝通，實現(xiàn)自動日志分析的功能，這樣會過濾大量日志，人工日志分析量會降低很多，提高效率。

安全滲透工程師需要熟知網(wǎng)絡(luò)架構(gòu)、應(yīng)用架構(gòu)、業(yè)務(wù)架構(gòu)，做出相應(yīng)重點的滲透測試，側(cè)重點在于不影響業(yè)務(wù)，最好不產(chǎn)生垃圾數(shù)據(jù)。

應(yīng)急響應(yīng)工程師要隨時隨地觀察系統(tǒng)是否出現(xiàn)異常情況，最好能與開發(fā)進(jìn)行溝通，實現(xiàn)自動化監(jiān)控報警，以降低工作量提升工作效率，并且提升準(zhǔn)確率。

其實安全團(tuán)隊每一個人都應(yīng)該是安全開發(fā)，不論是大到成熟的體系化產(chǎn)品開發(fā)還是小到一個安全腳本的開發(fā)，安全團(tuán)隊的每個人都能勝任，有這樣的團(tuán)隊基本上安全無憂。

網(wǎng)站題目：企業(yè)安全體系架構(gòu)分析：安全體系架構(gòu)概述
分享鏈接：http://m.5511xx.com/article/cdhspsg.html