本文是WOT2016互聯網運維與開發者大會的現場干貨，  新一屆主題為WOT2016企業安全技術峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

【嘉賓簡介】

吳建強，搜狐高級經理，超過10年的信息安全從業經驗，曾就職于國內多家知名安全公司，目前主要負責搜狐安全團隊的管理。

WOT2016互聯網運維與開發者大會的運維安全專場的演講中，吳建強做了主題為《企業信息安全實踐》的精彩演講，他從不斷演繹的安全威脅進行分析，分享了在工作中對于企業安全體系建設思路及實踐，以及新技術驅動下的挑戰和機會。

隨著數字通信和移動互聯網技術的發展，越來越多的設備可以聯網，在給人們提供便利優質智能生活的同時，安全威脅也隨之越來越多，復雜多樣，黑客攻擊手段也變得多樣化。在網絡安全攻防對抗中，安全產業也在不斷的晉級。從最初的被動防御演進至主動防御，關注重點從通信安全和網絡安全，轉至應用安全、操作系統安全，然后慢慢的隨著移動互聯網的發展，移動安全也備受關注。

企業安全體系的建設思路與整體架構

吳老師表示，每個公司的業務特點不同，以上是僅是他根據自己的工作以及所在公司的業務所總結的建設思路，并一定適合于所有的公司。企業安全建設主要有以下兩個重點：一是，要很清楚的明白公司的業務是在做什么的，安全關注的業務是在哪幾個方面。二是，技術體系建設。技術體系主要是有幾個方面：PDR、DID、SAS以及流程保證，還有包括組織體系、管理體系，意思就是人、技術、流程。就是通過這幾個方面，如果你能做的比較好，能夠把這幾個方面貫徹的比較好，你的企業安全應該會做的不錯。

上圖這個整體技術架構，相信大部分互聯網公司，稍微上一定規模的公司，可能都會有類似的架構。吳老師介紹到：“首先看底層，就是公司的基礎服務平臺，現在對于基礎服務平臺大家也都在做源，包括像SDN之類。第二層，是包括Paas服務平臺。Paas服務平臺主要是給應用提供一個運行時的環境，大家可以業務線或者應用產品更多的聚焦于產品的開發、業務的實現，不再關心這種運維的實現了。所以我們一直還在做這種Paas服務。雖然現在做公有云的Paas服務不多了，可能有幾家現在自己也不做了，就是因為覺得面向客戶或者面向乙方提供產品或者服務的時候，很難有收益或者很難達到很好的效果。但是在內部系統，我們一直還在做就是因為通過這幾年的實踐，覺得這個平臺是有價值的。對于我們來講，無論是從節約資源和降低運維成本以及規范我們的應用發布及管理方面，是有很大的好處的。當然我們在做Paas的時候，已經把各個其他的，像數據的服務、緩存的服務，還有存儲的服務，還有類似的一些其他的服務，能夠兼容進來，這樣實際上我們能夠做到很好的兼容性和降低我們的開發成本。因為我們不是所有的產品都能做，所以實際上我們會兼容一些其他的產品進來。最上層就是支撐了一些我們公司現在主要的一些應用，包括像新聞、媒體的業務，包括像視頻的業務，包括像支付，還有我們的APP的服務。最前端，在所有應用的如后，也就是訪問的入口，就是我們全網加速的服務?，F在搜狐的全網大概有幾十個節點，覆蓋了全國所有的省市。”

此外，他表示在這個整體架構之中，實際上搜狐無一例外的，都貫穿了信息安全的概念。他們一直在強調的就是希望能夠把信息安全能力，或者說這種功能打入到現有的產品當中，不會產生其他系統與安全脫節的情況，將安全實現的功能做在產品當中。

安全對于小公司來說有些奢侈，不像大公司已盈利。所以小公司們該如何考慮做安全呢?其實，無論是大公司還是小公司，做安全都要考慮哪些業務對公司來說是至關重要的，那這些業務就是安全防護的重點，需要優先給予安全保障。因此，這時公司就需要做一個業務分析。對此，吳老師建議對公司業務做如上圖所示的整體業務分析，或者稱為業務定級，定級的過程就是依據我們業務的安全的幾個屬性，加業務的依賴性。

介紹完整體架構之后，吳老師又對技術體系里幾個重要環節進行了分析。

◆PDR和DID

關于PDR和DID的概念，PDR做安全的，對這個模型都有一定的理解，其實它是基于時間軸的模型，就是強調你的防御的時間和監測的時間，能夠通過防御和監測的時間，去降低攻擊的結果。就是在那個時間段，及時發現攻擊，并且把它攔住。換個角度來講，可能我會把這個架構，把這個模型重新劃分一下，就是我把技術架構劃成幾點：第一個就是防御類的技術產品，監測類的技術產品，還有響應的技術產品。除了PDR，還有一個DID，就是縱深防御的模型?？v深防御的模型強調的是我從網絡層到主機層、到應用層，到數據層，各個階段都有一定的監控、保護，或者響應的技術方案或者技術體系，所以我用了一個類似于餅圖的方式去實現這種架構。我們會把做一些無論是安全技術的項目、安全產品類似的技術手段，能夠分分類，都可以劃到這個里面去。包括比如說像掃描的，或者是監控的，實際上我們在各個層次上，比如說我們在外網，網絡層有監控，這種監控也會涉及到應用的監控、流量的監控。掃描會涉及到主機的掃描、數據庫的掃描、應用的掃描，都可以把這些技術手段劃做我們的PDR里面的一類，但是在各個層面上都要覆蓋到。

◆DDOS解決方案

吳老師表示首先他們會對DDoS進行分級，就是十級以下公司自己處理，十級以上協調運營商，或者請求其他外部資源的支持，因為公司的資源始終是有限的。在DDOS解決方案中，主要包括主動牽引和被動牽引兩種方案。主動牽引就是在模擬現在市面上比較成熟的產品解決方案，通過bgp，netfilter模塊和nginx實現，無論做流量的反向代理，或者做流量的清洗，都可以通過這些方式去做。而被動牽引首先在被攻擊服務器實施網絡層牽引，然后在防護設備實施清洗，最后再代理到被攻擊服務器。

◆監控

這個監控實際上是在我們所有大的節點的DIC入口的一個監控。這個監控主要是監控幾個方面，第一個就是關于應用層的攻擊，關于web的攻擊，第二個關于流量的攻擊，就是DDOS或者是流量異常的攻擊。監控通過分光器的方式來實現，把流量通過分光器，通過交換機下面接一些服務器，這樣實現了流量的負載。

◆掃描

掃描的進化是一個很有意思的過程。首先是系統層面的，主要針對系統的安全漏洞。然后，進入web2.0時代后，針對應用層面的掃描較多。還有一個，就是關于這種被動式的掃描，被動的掃描主要是給產品測試人員，通過提供一個代理的方式，它把瀏覽器的代理，或者一些開發軟件的代理，設置到我們的掃描接口來，掃描AI上或者接口上，我們能夠抓到所有的鏈接之后，并且能夠獲得他的，如果你登陸了就有一些授權信息，那這些授權信息去做這種被動掃描。

◆SAS 安全即服務

什么叫安全即服務呢?將安全能力安全產品輸出出去，服務給公司。比如把掃描的API接口開放給業務線。那業務線實際上在開發產品過程中，就直接可以使用這個API了。如果你在做監控，你監控已經累積了大量的原始數據，包括攻擊的數據，惡意用戶、惡意IP，這些都可以輸出出去。既然你在做安全，你有這個優勢，你為什么不能把這個東西當做一個服務提供出去呢?

◆SAS 服務即安全

為什么說服務即安全呢?吳老師表示，就是希望把產品做的更安全一些，就是把一些安全能力加入到我們現有的技術架構當中。比如說現在其實像安全CDN這個東西，也不是一個非常新鮮的概念了，前兩年已經非常成熟了，我要把第一層的防御放在我的入口處，要放在CDN處。為什么要做在這兒呢?因為在web前端的，CDN或者應用層的監控或者保護，可能沒有及時的發現這個攻擊。但是你會在越接近數據的地方，越容易發現攻擊，因為它沒有什么特別多的語法或者詞法的解析了，也不存在規則的問題。更多的就在于數據層，是不是注入，在這個地方，它會起碼很全面，當然你的規則就取決于你的規則實現了。如果你的規則，誤報太多了，就需要做優化了，但是不會有漏報，所以你只會有誤報，不會有漏報。

至此，前面介紹的基本上就是大整體的一個技術架構，主要是PDR和DID，實現的就是在多層次去做這種保護、監控和響應。

安全開發流程SSDL

這個安全開發流程，估計絕大多數公司會有。但是怎么去貫徹，怎么去實行，吳老師認為這其實是一個很難的事。安全開發流程主要有以下幾個部分：

組織體系

組織體系中的主體就是人。公司中每個與安全有關的聯系人，包括部門領導都應參與到企業安全防護的過程中。普通的公司職員也應增強安全意識。安全領導組要做決策，控制安全防護的成本等。在策略的執行過程中，需要有流程保障，需要技術保證。另外，可通過安全月報的形式，讓部門領導和安全聯系人清楚，過去一個月中，公司的整體安全現狀，哪個部門的安全事件較多，發生了哪些安全事件，攻擊趨勢發生了怎樣的變化。

新技術驅動下的挑戰和機會

云計算和大數據時代的到來，給安全防護工作帶來了新的挑戰和機會。吳老師總結如下：

演講視頻：http://edu.51cto.com/lesson/id-100718.html