踏實實驗室推出萬字長篇文章，踏實君結(jié)合十年團隊經(jīng)驗和二十年從業(yè)經(jīng)驗深度整理和剖析了網(wǎng)絡(luò)安全防御體系如何有效建立，推薦閱讀預(yù)計20分鐘。

[[270461]]

這個夏天就想睡個好覺

己亥年庚午月，睡個好覺是安全這個行業(yè)大部分人的奢望，除了國際形勢、明星分手、網(wǎng)絡(luò)安全也是熱門的話題之一了。

世界走向數(shù)字化，現(xiàn)在的世界空間已經(jīng)完全可以按照物理(Physical)和非物理的(cyber)來劃分了，6月20日美國對伊朗部分目標(biāo)明確發(fā)動網(wǎng)絡(luò)戰(zhàn)，這是第一次公開作為攻擊主力投入戰(zhàn)場，網(wǎng)絡(luò)攻擊成為重要軍事工具直接服務(wù)于美國的對外政策。也讓波斯灣成為首次數(shù)字世界沖突的舞臺，網(wǎng)絡(luò)超限實戰(zhàn)正在成為整體政治戰(zhàn)略的重要組成部分，值得紀(jì)念MARK 一下。

圖1：數(shù)字時代是由物理的和非物理組成的

1999年-2019年干了20年網(wǎng)絡(luò)安全防御體系，形形色色的見多了，直到今年6月才感覺有點兒網(wǎng)絡(luò)安全大眾化的意思了。具體表現(xiàn)在人們覺得這是個事兒了，原來不問的開始問了，不干的開始干了，虛干的實干了，嗯，理解萬歲，意識的轉(zhuǎn)變確實需要很長一段時間，就像每個國家政策出臺落地都需要3-5年。

中興華為事件、委內(nèi)瑞拉大面積停電、美國對伊朗的網(wǎng)絡(luò)戰(zhàn)已經(jīng)不斷觸動了人們神經(jīng)，又經(jīng)歷了有實戰(zhàn)有價值的攻防演練。例如HW，確實促進了很多行業(yè)組織各層面安全意識的提升,促進了實實在在安全防御策略的落地,多個視角(攻擊者紅方和防御者藍(lán)方)看問題總是好的。只有經(jīng)歷了疼才知道痛是啥滋味，尤其是HW排名靠后的……以攻促防推動做好安全防御是個極好的方法，數(shù)字時代真安全價值才大，這次同樣也是打假的過程，安全圈不大，這幾年快成了娛樂圈了，300億的市場再這么折騰下去變200億了。

進入5月開始，安服事務(wù)應(yīng)急的事兒多了，主要是因為HW，6月白天晚上的電話多了，好像急救中心電話一樣，中招的多了就不會消停，每個電話都是急茬，我和團隊就像大夫，總是先建議電話那頭冷靜冷靜請他敘述癥狀。然后就是聽到各種各樣的“病情”，VPN被滲透，郵箱被暴力破解，內(nèi)網(wǎng)被拿下，更有嚴(yán)重者業(yè)務(wù)數(shù)據(jù)被勒索軟件鎖定(這一定是混水摸魚的)，聽完后大體診斷，開藥方安排人抓藥……總體感覺，好多問題其實完全可以提前做好工作，不用這麼著急的手足無措的睡不好覺。這些年一直想寫些東西(安全情懷安全落地)，也沒時間，現(xiàn)在突然感覺大家意識可能真的到了。這個文章根據(jù)多年網(wǎng)絡(luò)安全防御服務(wù)經(jīng)驗和經(jīng)歷，寫個如何建立能睡個安穩(wěn)覺的網(wǎng)絡(luò)安全防御體系思路吧，供大家參考。

意識意識意識，意識第一位，意識第一位，其他第二位，有問題的，有大問題，有嚴(yán)重問題的基本都是意識出問題了，不是技術(shù)出了問題。某國家單位首次被攻破被通報要求盡快整改，由于意識問題領(lǐng)導(dǎo)沒重視資源沒到位。第二天馬上又被攻破領(lǐng)導(dǎo)急了開始重視了，每天開始抓工作清點防護體系，工具，組織，策略，發(fā)現(xiàn)了大量的沒有的安全防護工具沒有啟用，策略沒落地，問中層領(lǐng)導(dǎo)，中層才意識到好多文件下達的都是空的，眼前的寶貝沒使用也沒落實。第三天再次被攻破，問題又在基層技術(shù)管理人員重視邊界，忽視內(nèi)網(wǎng)域策略和管理員密碼。甲方邀請我們一起做了復(fù)盤，總結(jié)的第一點就是這個，意識，意識，意識，不痛不長心啊。

不僅僅是這個案例，他只是一個代表，我和團隊經(jīng)歷的這樣案例太多了，今年轉(zhuǎn)變的特別的多，很欣慰大家都正常的接受了。這兩年我們的匯報對象已經(jīng)從原來的處長主任們逐步匯報到部長層面了也確實體現(xiàn)了這一點。

三人是個概念的代表，第一人是領(lǐng)導(dǎo)(組織中網(wǎng)絡(luò)安全第一責(zé)任人)，第二人是CSO首席安全管理者(總體安全策略計劃制定者)，第三人是一線的網(wǎng)絡(luò)安全防御團隊(PDCA執(zhí)行安全策略落地和運行)。

三者缺一就會有坑，缺的多坑多，被攻擊后就一定會死，只是死的快慢的問題。不重視肯定不行，重視且有文件沒執(zhí)行不行，有執(zhí)行方向不對也不行。安全就是不斷的填坑，完善這個其實就是很難的過程。

國內(nèi)具備網(wǎng)絡(luò)安全防御體系經(jīng)驗和實戰(zhàn)的人才本來就很稀缺，所以坑多也是自然的，網(wǎng)絡(luò)安全防御體系龐大而復(fù)雜，能洞悉全貌者也很少，格局，眼界，層次。單槍匹馬獨擋一面的大俠也不少，但更多需要的是三人綜合體系，這些年見到的有些決策者的格局真不行，水平一般還限制下面人員的發(fā)展，例如(某某組織的某某領(lǐng)導(dǎo)，呵呵)，有些領(lǐng)導(dǎo)者看問題水平真高，就是中層執(zhí)行力就一直太差。例如(某行業(yè)單位的網(wǎng)絡(luò)安全負(fù)責(zé)人，估計HW結(jié)束就被拿下了)…一線干活的安服人員其實很多還是挺好的樸實踏實，但也怕好經(jīng)壞和尚，政府機關(guān)有時候就這體制沒辦法人也換不了，形形色色確實很難見到很好有效三人體系。

1999年剛考完MCSE被推薦到一家提供互聯(lián)網(wǎng)服務(wù)的公司，服務(wù)的客戶就是現(xiàn)在阿里巴巴的客戶。在中美兩地進行網(wǎng)上商業(yè)貿(mào)易和宣傳的(幾百K的帶寬哪個慢啊)，我們小組的工作就是幾百臺服務(wù)器群的大網(wǎng)管，確保服務(wù)器(NT和FreeBSD)運行穩(wěn)定防止被黑。剛?cè)胨綜TO吳先生就給我們小組一本厚厚的手冊，從服務(wù)器OS，WEB, FTP，遠(yuǎn)程管理軟件等的標(biāo)準(zhǔn)安裝，每一步每一層的安全策略設(shè)置，每一個系統(tǒng)軟件服務(wù)的關(guān)停判斷，每一個多余端口的關(guān)閉，每一個賬戶的謹(jǐn)慎開啟，每一個系統(tǒng)和應(yīng)用的補丁，每一個Admin/ ROOT的更名，權(quán)限，強密碼，一臺服務(wù)器基本安全設(shè)置完成，基本是一天……回憶當(dāng)年做純粹技術(shù)的美好日子，一轉(zhuǎn)眼原來小組成員只有我還在干安全，直到現(xiàn)在仍然感謝吳先生和安全小組帶給我最原始最體系化的防御手段和原理，就是安全策略落地。在當(dāng)年的安全攻防戰(zhàn)中我們防御的確實不錯，估計現(xiàn)在已經(jīng)沒有人記得2000年還有一波互聯(lián)網(wǎng)的高潮，懷念和E國一小時、人人、當(dāng)當(dāng)、易趣等戰(zhàn)斗的故事，當(dāng)年我的QQ號應(yīng)該還是5位數(shù)。

20年來，持續(xù)走在網(wǎng)絡(luò)安全防御的路上，體會到不同的領(lǐng)域和境界，技術(shù)無敵到技術(shù)都不在是問題的時候，看到的往往是其他問題。數(shù)字時代需要考慮的內(nèi)容是綜合的，頂層設(shè)計和系統(tǒng)的梳理和體系化落地等包羅萬象。網(wǎng)絡(luò)安全防御體系方法論隨著時代的發(fā)展我們已經(jīng)更新了第四版(2019版)，網(wǎng)絡(luò)安全防御體系建立的核心目標(biāo)就是風(fēng)險可控，大家參考用吧。

圖2：網(wǎng)絡(luò)安全防御體系方法論V2019版

官話不說了，核心就是當(dāng)領(lǐng)導(dǎo)的要知道本組織的信息系統(tǒng)(資產(chǎn))的重要性，服務(wù)的場景對象是啥，組織要明確需要保護的對象(安全方針就是掂量掂量重要不重要)。投入持續(xù)人、財、物、服務(wù)和必要的合規(guī)工具和安全管理及運營工具(安全策略就是組織建立不建立、啥線路、掂量掂量投多少銀子)，這層做好了方向不會出大問題，基本可以打30分了。原理能這樣想網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)不多，經(jīng)過HW的檢驗，估計未來慢慢會多起來了。

按照管理層明確的保護對象方向等級，給予人、財物、資源制定具體的工作計劃，沒有規(guī)矩不成方圓，制度要有，要建立可靠的安全組織(自己人十安全服務(wù)資源池)。制定安全執(zhí)行策略，具體制度落地策略，建設(shè)，運行，持續(xù)稽核，這層做好了，至少40分了(提醒：好多地方都是空制度，現(xiàn)在的經(jīng)驗制度十平臺結(jié)合是可落地的)。一個明白道理的高情商的安全處處長基本上可以走上正確的方向了，知道如何承上啟下，和領(lǐng)導(dǎo)說明白和一線的團隊做好策略的去落地，隨著發(fā)展信息安全首席安全官未來應(yīng)該是個炙手可熱的職位。

有了上兩層的基礎(chǔ)，接下來開展工作就好辦多了，如果沒有上面兩層的支持這個階段基本是不可行的，網(wǎng)絡(luò)安全保障體系建設(shè)一定是圍繞業(yè)務(wù)和數(shù)據(jù)的，俗稱“業(yè)務(wù)+數(shù)據(jù)定義安全戰(zhàn)略”確定好保護對象和級別，需要協(xié)同，需要按照三同步原則(同步規(guī)劃設(shè)計、同步建設(shè)、同步運行)，選擇好規(guī)劃服務(wù)商、建設(shè)服務(wù)商，踏實規(guī)劃，體系逐步實現(xiàn)。說的簡單，其實這些個環(huán)節(jié)一個出問題，就是坑坑相連，能按照這些環(huán)節(jié)都下來順利的不多。

這些年看到最大的坑有兩個，一個是不了解業(yè)務(wù)和數(shù)據(jù)掄起來就瞎設(shè)計(可恨，比如國家級的某一體化平臺)，一個是生搬硬套的安全合規(guī)標(biāo)準(zhǔn)(可憐，比如某啥啥潮的)，多維的業(yè)務(wù)需要多維的防護，設(shè)計不好就會導(dǎo)致降維防護，做不好就是個豆腐渣工程。 HW打癱的目標(biāo)對象基本上一種是不合規(guī)的，另一種是假合規(guī)或者階段合規(guī)持續(xù)不合規(guī)。

圖3：意識不統(tǒng)一導(dǎo)致的防御體系的降維防護

除了上面的坑，要考慮安全已經(jīng)是體系化大安全的概念了，尤其是現(xiàn)在以及未來的系統(tǒng)建設(shè)已經(jīng)是按照“大系統(tǒng)、大平臺、大數(shù)據(jù)”建設(shè)的了，涉及到方方面面。所以不管是自建安全體系還是采用安全服務(wù)商承建，網(wǎng)絡(luò)安全防御體系需要思考的邊界已經(jīng)擴大到供應(yīng)鏈安全了(包含這些內(nèi)容也不僅僅這些內(nèi)容，軟件開發(fā)的源代碼檢測、 提供鏈路服務(wù)、托管服務(wù)、DNS服務(wù)、CDN服務(wù)、安全運維服務(wù)、IT運維服務(wù)、以及合規(guī)要求的管理、技術(shù)、運維、測評的各項要求)。盡量可控可信，扎實先把合規(guī)扎實了(少看PPT，多看實際效果和系統(tǒng)，從剛需出發(fā)到合規(guī)，不要僅僅從合規(guī)出發(fā)，花架子沒用，基礎(chǔ)安全還是挺重要的，不要被新技術(shù)忽悠了)。這些做好了可以是50分了，還沒有開始建設(shè)就要考慮這么多，磨刀不誤砍柴工，謀定而后動才是正道。

啰嗦了這么多才開始準(zhǔn)備如何建設(shè)了，網(wǎng)絡(luò)安全防御體系的建設(shè)是個大工程，不同的人理解不同。匯總起來就是一個風(fēng)險控制目標(biāo)、兩個視角(國內(nèi)合規(guī)、國外自適應(yīng))、三個領(lǐng)域策略融合(管理、技術(shù)、運維)、 四個體系獨立而融合(防御體系、檢測體系、響應(yīng)體系、預(yù)測體系)的建立可視、可管、可控、可調(diào)度、可持續(xù)的彈性擴展的一個很NB的安全管理及運營中心 (簡稱“12341)。

一個風(fēng)險控制目標(biāo)：評估保護對象當(dāng)下的防御成熟度，制定防御成熟度目標(biāo)，持續(xù)動態(tài)評估完善程度和風(fēng)險程度。

圖4：網(wǎng)絡(luò)安全防御成熟度階段與目標(biāo)

兩個視角之一：國外的自適應(yīng)安全體系包含四個子體系建設(shè)。防御體系、檢測體系、響應(yīng)體系、預(yù)測體系，四個子體系分下來又是很多。例如網(wǎng)絡(luò)層檢測，傳統(tǒng)都在用IDS IPS ，其實對于新型攻擊都已經(jīng)失效，2014年以后我們的檢測方案已經(jīng)采用全流量層檢測分析了，網(wǎng)絡(luò)層的IDSIPS其實已經(jīng)過了價值周期.又如主機層檢測，高級馬都已經(jīng)免殺了，傳統(tǒng)的安全檢測只能防住小賊了，呵呵不說了說多了得罪人。總結(jié)一下檢測體系的建設(shè)一定要由淺到深，由點到面，由特征到全面。國外的安全行業(yè)特別側(cè)重檢測體系和響應(yīng)體系的建設(shè)，近三屆的國際信息安全RSA大會主流也是這個為重點，縱深防御體系的理念也影響了國內(nèi)安全若干年，其實態(tài)勢感知預(yù)測體系國外也沒有落地，還在概念階段。Norse用假數(shù)據(jù)欺騙了大家，到2017年倒閉了，國內(nèi)的安全忽悠們還在用“地圖炮”忽悠行業(yè)外，態(tài)勢感知是個大命題，PPT和大屏版的假數(shù)據(jù)基本把這個領(lǐng)域帶入一個坑，一個安全大會滿天飛(假數(shù)據(jù))已經(jīng)引起這個行業(yè)大多數(shù)人的反感。

兩個視角之二：國內(nèi)的等級保護1.0– 2.0的合規(guī)體系，一個中心， 三重防護的落地。等級保護1.0從04年–14年10年歷程不容易，確實要感謝為中國信息安全和等級保護做出貢獻的這代人，從安全一個點做到完整的基本防御體系，為中國信息化和信息安全的發(fā)展奠定了一個基礎(chǔ)。讓大家有了一定的安全防御體系的概念，我們很有幸?guī)ш犠隽藷o數(shù)的等級保護和FJ保護的項目。這個領(lǐng)域我們要說第二，估計第一確實要空缺，經(jīng)驗給了我們方法論又應(yīng)用在實踐，實話說等級保護1.0做好了就已經(jīng)很好了，關(guān)鍵是應(yīng)付的多落地的少。2014年，云開始規(guī)模落地了，數(shù)據(jù)匯聚了，應(yīng)用一體化了，物聯(lián)網(wǎng)、移動互聯(lián)……，1.0確實不再適用了，14-19年5年的歷程，2.0的出臺也不容易，仔細(xì)看看和研讀，按照標(biāo)準(zhǔn)做好了，落地了就踏實了。合規(guī)還是基礎(chǔ)，三重防護(計算、區(qū)域邊界、通信網(wǎng)絡(luò))是重點的基礎(chǔ)性防護建設(shè);然后重點分層保護，資源再多也是有限的，大門和每個門是最關(guān)鍵的，核心保護對象和邊緣保護對象的防御，檢測，響應(yīng)，預(yù)測體系逐步完成，安全策略一點點上。最小原則開始逐步放寬，到平衡后劃個基線，就不要隨便動了，關(guān)于安全管理中心的坑，這是也個大命題，后面講吧一些老前輩的思路已經(jīng)不適合未來了。

其實這兩個視角都還不錯，哪個做扎實了，都可以打70分了。面對甲方層次不同的要求和理解，根據(jù)實戰(zhàn)經(jīng)驗我們把國內(nèi)外理念疊加匯總形成網(wǎng)絡(luò)安全防御體系建設(shè)落地的框架供大家參考。

圖5：網(wǎng)絡(luò)安全防御體系建設(shè)落地的框架

這個階段原來的理念是七分建設(shè)，三分管理和運行，現(xiàn)在的實踐表明更合理的是三分建設(shè)七分管理和運行， 網(wǎng)絡(luò)安全防御體系最后一關(guān)就是體系合成和運轉(zhuǎn)。合規(guī)是基礎(chǔ)，策略很關(guān)鍵，落地良運行，保障成體系。我們服務(wù)過國內(nèi)和國外兩種客戶，最大的不同就是國外企業(yè)ITIL+安全管理貫穿可以落地，國內(nèi)很難，分析了很久可能是文化或者體制的問題，很多的部門設(shè)置，運維處和安全處是分開的無法協(xié)同，其實ITIL原理和國內(nèi)的ITSS都還不錯，那個落地了都可以確保運維運行階段的安全策略落地。安全策略這個詞從安全戰(zhàn)略制定一直貫穿到運維，這個是一條線的，叫法不同但核心意思就是將戰(zhàn)略、制度、流程、人員、工具、安全管理和運營平臺一體化運轉(zhuǎn)起來。這樣的方式做好了運維運行階段就成功一大半了。其次，安全管理和運行的大平臺的建立是關(guān)鍵，其實安全和運維是分不開了，現(xiàn)在運維工具是運維、安全管理是安全，孤立的系統(tǒng)永遠(yuǎn)不成體系，人員或者崗位一變動就出問題。HW當(dāng)中防御體系暴露出來的主要問題其實就在這個關(guān)鍵環(huán)節(jié)，完成這個環(huán)節(jié)，可以打90分了。

要想做好網(wǎng)絡(luò)安全防御，就要站在攻擊方的視角看問題，網(wǎng)絡(luò)空間HK惦記的就是你所守護的，沈院士描述的霸權(quán)國家、敵對勢力、黑客組織和你所守護的對象防御程度成正比。

其實攻擊者也很累，如果攻下來的目標(biāo)價值不大甚至被反制，攻擊者也會很郁悶，浪費時間和心血也是很耗功力的，初學(xué)者會因為興奮而攻擊，老炮們要是沒有激勵和內(nèi)在動力。其實也不愿意熬夜了，拿下目標(biāo)的瞬間荷爾蒙飆升、圈子里的揚名、財富以及為組織增光是主要激勵，所以尋找合適的有價值的目標(biāo)是攻擊者的前提。

對于防御者來講，就是了解自己保護的對象對黑客的吸引力，盡量減少暴露面，IP,端口，服務(wù)，主機名，操作系統(tǒng)、支撐軟件，web服務(wù)，不是自己必要直接外露的，能減少就減少，能在深宅大院，就不要在街口開門。

對于攻擊方來講，目標(biāo)確定后會通過各種方式進行信息的收集，可以采用社工的方法收集關(guān)鍵人的互聯(lián)網(wǎng)喜好和慣用的工具等等，也可以僅僅是IT信息，信息越多攻擊者就可以結(jié)合使用，對于高級目標(biāo)，幾個月到半年甚至更長的時間，一點點收集。

對于防御者來講，自身個人的信息，守護對象的信息、外包商服務(wù)商的信息、采用的IT系統(tǒng)的信息、暴露面的信息，入侵監(jiān)控的信息，都是需要保護的和提高警惕的。

對于攻擊方來講找弱點的方式，最簡單最暴力最直接的就是采用大型掃描器，分布式掃描器，一個目標(biāo)的地址段暴露面都是弱點集中的地方，往往一次大規(guī)模的漏洞爆出，就是找到弱點最簡單的辦法。不管是網(wǎng)絡(luò)層的、系統(tǒng)層的、應(yīng)用層的還是弱口令的。這些簡單弱點就是入門第一選擇，當(dāng)然，Oday另外再說。

對于防御方來講如果平時的弱點管理的好，及時更新，動態(tài)監(jiān)控做的好還可以，往往弱點的爆出沒有及時的采取措施，很可能在這個時間差就已經(jīng)被侵入了，實踐經(jīng)驗中弱點的管理需要交叉異構(gòu)。我們做了一個站在甲方視角的弱點管理平臺，效果確實還是不錯，曾經(jīng)出現(xiàn)的一起事件，某盟的弱點管理發(fā)現(xiàn)了問題，但由于操作系統(tǒng)廠商已經(jīng)沒有了，雖然也發(fā)現(xiàn)了但沒有預(yù)警，其實甲方還在大量的使用此操作系統(tǒng)，交叉使用的弱點管理平臺起到了很好的效果，預(yù)防了一次較高級別的APT攻擊事件(兩會期間)。

DDOS用的越來越少了， 主要是太野蠻也暴露的太快，現(xiàn)在的云服務(wù)商、運營商都已經(jīng)有很好的防護了，加上監(jiān)管單位打擊，這種方式確實實用效果一般。現(xiàn)在強盜式攻擊反而采用字典爆破成為主流的，驗證碼繞過的也不少，12306經(jīng)受了多少次的洗禮，特色的驗證碼就是證明，這個領(lǐng)域的防護說起來一點都不難，但這個領(lǐng)域出問題的也是最多的，可以說無知者無畏。總結(jié)幾點線守則，對外服務(wù)的系統(tǒng)甚至內(nèi)網(wǎng)的系統(tǒng)，多重驗證是非常必要的，安全策略加大強制弱口令不得生存，關(guān)閉不必要的服務(wù)、端口和清理root賬號。軟件開發(fā)商稍微懂點按照安全軟件編程開發(fā)和防范，其實就這些，一個系統(tǒng)這里的投入不會超過幾十萬就基本可以安心了。

靜默型攻擊從08年以后就是主流了，大規(guī)模的炫耀式的病毒攻擊基本消聲覓跡了，都已經(jīng)悄悄地進入打槍的不要，APT、APT、APT是我們天天防護的重點。就如我上文所說，攻擊者也很累，現(xiàn)在沒有人愿意敲鑼打鼓的去說我要攻擊你，更多的就是低調(diào)低調(diào)低調(diào)，第一道防線被撕開口子的概率是比較大的，一但進來如果防御者做的好，攻擊者就是進入深淵的開始，每個不合適的內(nèi)網(wǎng)嗅探，試圖提權(quán)，異常行為，其實很好抓。我們現(xiàn)在總結(jié)出來經(jīng)驗，基本上進來的APT跑不了，要不不敢動，一動就會發(fā)現(xiàn)?？偨Y(jié)幾個關(guān)鍵點，全網(wǎng)全流量監(jiān)控，全網(wǎng)主機系統(tǒng)監(jiān)控，控制好有限的特權(quán)用戶/普通用戶賬戶并進行行為監(jiān)控，安全域策略最小化原則并動態(tài)可視監(jiān)控，在核心主機和數(shù)據(jù)系統(tǒng)里做好黑白名單的可信驗證。一點也不高深特簡單，不用PPT吹NB，做好落地了基本保證第二道防線沒問題。我們把這些統(tǒng)合起來做了個系統(tǒng)，稱為防御平臺核心檢測功能，現(xiàn)在用了的客戶都沒有被HW干掉，實施一個滿意一個，我們也特別有成就感。這個估計未來會成為主流的趨勢，實干簡單清晰化防御體系里的檢測系統(tǒng)，感謝PCSA聯(lián)盟的KL,QT,ZX,SBR,ABT，CT,ZR，kx (科來、青藤、中新、圣博潤、安博通、長亭、中睿、可信….)安全能力者們。你們做的探針真的很NB，也確實是未來的安全中間力量，和品牌沒關(guān)系，要看能力，真安全未來大浪淘沙。

等級保護2.0已經(jīng)頒布，關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)的細(xì)化標(biāo)準(zhǔn)政策估計也會很快出臺，數(shù)字時代這些內(nèi)容都會在網(wǎng)絡(luò)空間承載。

按照方院士的定義網(wǎng)絡(luò)空間是一種人造的電磁空間，其以終端、計算機、網(wǎng)絡(luò)設(shè)備等為平臺，人類通過在其上對數(shù)據(jù)進行計算、通信，來實現(xiàn)特定的活動。

在這個空間中，人、機、物可以被有機地連接在一起進行互動，可以產(chǎn)生相應(yīng)的內(nèi)容、商務(wù)、控制等影響人們生活的各類信息，數(shù)字中國萬云時代，萬種場景、萬物互聯(lián)，所以討論關(guān)鍵信息基礎(chǔ)設(shè)施防護需要聚焦落在幾個領(lǐng)域為好……

圖6：承載國家關(guān)鍵信息基礎(chǔ)設(shè)施之關(guān)鍵要素

宏觀的平臺概念太大，具體細(xì)化在我們微觀的理解中數(shù)字中國的特征未來會有無數(shù)的平臺，例如城市大腦的泛在感知物聯(lián)平臺，支撐工業(yè)制造的工業(yè)互聯(lián)網(wǎng)平臺、支撐政務(wù)云的政務(wù)云平臺、支撐數(shù)據(jù)的數(shù)據(jù)中臺，支撐應(yīng)用的支撐平臺，支撐12306的客票平臺、支撐電網(wǎng)的調(diào)度平臺、支撐中小企業(yè)的公有云平臺(租戶+云)，支撐大家吃穿住行的電商平臺、政務(wù)服務(wù)的一體化平臺、行政監(jiān)管的一體化平臺，每個平臺承載的都是一個區(qū)域、一個行業(yè)、一個場景，現(xiàn)在網(wǎng)絡(luò)安全行業(yè)在每個層面都有新的安全從業(yè)者在研究和探討，概念太龐大。我們已經(jīng)在研究的就是企業(yè)級、行業(yè)級、城市級、國家級關(guān)鍵信息基礎(chǔ)設(shè)施平臺防護的要點，2018-2019年，踏實實驗室和PCSA聯(lián)盟和CETE也溝通落地了上海嘉定新一代基礎(chǔ)設(shè)施的城市及安全管理平臺，還是需要很多專門地方需要探討，隨著新一代信息基礎(chǔ)設(shè)施的前進而前進。

圖7：城市級平臺安全管理及運營

說起數(shù)據(jù)安全，先說一個概念兩個維度兩個熱點，一個概念就是數(shù)據(jù)的基本分類( 國家級、行業(yè)級、城市級、企業(yè)級、群體級、個體級)，個人數(shù)據(jù)有可能也是國家級別的防護，國家級的數(shù)據(jù)也有可能之采取個人級別的防護。

兩個維度，一個是站在數(shù)據(jù)的價值維度看重要性(數(shù)據(jù)資源級別—保安級、數(shù)據(jù)資產(chǎn)級別—保鏢級、數(shù)據(jù)資本(流通)級別—武警級、數(shù)據(jù)托管(交易)級別—銀行級)的新思維(海關(guān)劉處的思想)，一個是站在數(shù)據(jù)全生命周期維度看重要性(采集、傳輸、加工、處理、存儲、銷毀)的傳統(tǒng)思維。

兩個熱點，一個是各地大數(shù)據(jù)局政府機構(gòu)的成立，數(shù)據(jù)共享、交換、流通，2014年我的碩士畢業(yè)論文提到的現(xiàn)在政務(wù)的“盲數(shù)據(jù)、死數(shù)據(jù)”未來都會隨著數(shù)據(jù)的流動起來產(chǎn)生價值。一個是公共平臺隱私數(shù)據(jù)的保護，數(shù)字時代APP和網(wǎng)站以及其他公共設(shè)施收集的每個人的身份信息、手機信息、地址信息、人臉信息、支付習(xí)慣信息、吃穿住行信息….想起來就恐怖，這個環(huán)節(jié)基本上還沒有啥政策要求，其實這個也是個大市場，當(dāng)然需要監(jiān)管的來臨，商人自發(fā)花錢保護客戶信息的可能幾乎沒有。

總之，數(shù)據(jù)安全這個范疇可研究和討論的很多，數(shù)據(jù)成為有價的資產(chǎn)肯定的確定的，數(shù)據(jù)有價值肯定是要流動的，不流動就不會產(chǎn)生價值了。所以未來大部分場景都會有數(shù)據(jù)的提供者、數(shù)據(jù)的運用者、數(shù)據(jù)的管理者、數(shù)據(jù)的使用者、但更重要的是數(shù)據(jù)合理合法使用的監(jiān)管者，數(shù)據(jù)流動安全監(jiān)管就成為數(shù)字時代的重大命題，應(yīng)用安全能力者不同的安全能力在數(shù)據(jù)流動的不同場景進行有序和安全的管理就是我們和PCSA聯(lián)盟和某地大數(shù)據(jù)局和某行業(yè)溝通現(xiàn)在正在做的事情。全程可視，狀態(tài)可查，權(quán)益可管、權(quán)限可控、流動可溯、易用擴展。

圖8：數(shù)據(jù)流動安全監(jiān)管

前幾年出國游學(xué)和參觀時通過朋友參觀了幾家美國大的云和互聯(lián)網(wǎng)公司，其中重點是參觀安全管理和運營管理，龐大的規(guī)模和監(jiān)控和運營中心由于不能拍照無法描述。在整個參觀的過程中給我最大的感觸就是幾個關(guān)鍵詞、事多、人少、全程可視、自動化。這幾年在國內(nèi)信息化建設(shè)過程中看到的場景基本上也是這樣，沒有良好的大安全管理中心和運營中心，任何系統(tǒng)想要長久的安全運行保障基本不可能。2005年開始國內(nèi)開始有了安全管理中心和平臺1.0雛形現(xiàn)在已經(jīng)被淘汰，2009年安全管理進入2.0，在CC某V和某關(guān)、某社我們看到的和審計多個項目，錢花了不少，事情也干了不少，但確實也沒起到相應(yīng)的效果體現(xiàn)價值，收集大量基礎(chǔ)數(shù)據(jù)進行關(guān)聯(lián)分析這個思路，在基本上沒有標(biāo)準(zhǔn)、沒有生態(tài)、沒有深度檢測能力等等必要的保障。安全管理2.0只能活在PPT和情懷里，這10年我和團隊接觸過國內(nèi)99%的安全管理平臺，也幫助客戶建設(shè)了數(shù)百個所謂的安全管理平臺，實話說我沒有看到一個高效的和有高價值的。16年開始，我們的網(wǎng)絡(luò)防御服務(wù)接受了挑戰(zhàn)，考慮到未來進入數(shù)字時代，安全管理是重中之重，我們給很多生態(tài)伙伴提供了思路和想要的安全管理中心的樣子，比如圍繞保護對象與運維合力成為保障能力中心，管理和建立四大體系，要有深度檢測。例如關(guān)鍵業(yè)務(wù)數(shù)據(jù)和安全與流量精密關(guān)聯(lián)，讓ID和IP清晰自如的展示、讓訪問路徑實時動態(tài)可視等等，形成企業(yè)級、行業(yè)級、城市級的安全管理和運營等等，很慶幸，2017年以來我們理想的安全管理逐步實現(xiàn)了。態(tài)勢感知逐步實現(xiàn)，這個領(lǐng)域落地的案例已經(jīng)很多了，也獲得了工信部的試點示范，在HW中也有很好的表現(xiàn)，沒有白費力氣，浪費我的白頭發(fā)，未來我們會和生態(tài)伙伴一起迭代好這個平臺，力爭成為未來網(wǎng)絡(luò)防御體系的主力軍。

從Struts2的漏洞爆出和coremail的0day,主流應(yīng)用框架的選擇，尤其是對外提供服務(wù)的Web和mail，一旦底層出大的安全問題了，會導(dǎo)致整個系統(tǒng)都需要重新構(gòu)建了。由于很多開發(fā)者不回去考慮安全性的問題，往往從易用和易構(gòu)建的角度去考慮，系統(tǒng)和底層架構(gòu)是緊耦合的不可輕易分離，嚴(yán)重漏洞的出現(xiàn)，不能修補，勉強弄弄安全運行也有問題，不修補也不能再上線了。這個問題出現(xiàn)后只能重新架構(gòu)和開發(fā)了，經(jīng)濟損失極大，這也是我們12年經(jīng)歷的血淋淋的教訓(xùn)。

這個點也是幾個案例的體現(xiàn)，主要提醒大家IT主流品牌一定是APT攻擊者的重點，因為發(fā)現(xiàn)一個0DAY，基本上和挖到金礦一樣，我們經(jīng)常在網(wǎng)絡(luò)安全防御體系建設(shè)中看到品牌一致性的要求。從統(tǒng)一管理的角度上來說也是對的，但一旦出現(xiàn)0day或者被攻破，基本上就是全軍覆沒，充其量就是個馬奇諾防線，而且大廠的OEM產(chǎn)品太多，其實每個安全廠商真正的安全能力不會超過3-5個，其他都是非重點能力。一個安全能力沒有3-5年的研究研發(fā)，不可能成功的。這些年我們總結(jié)經(jīng)驗就是大眾品牌選擇部署可以在外圍，解決復(fù)雜管理和高性能、高可靠性，在核心數(shù)據(jù)區(qū)或者關(guān)鍵管理區(qū)選擇小眾的品牌，或者多層異構(gòu)。例如：在新**全國大網(wǎng)的設(shè)計上，縱深防御選擇了6個品牌(非OEM)的紅、黃、藍(lán)區(qū)、數(shù)據(jù)、管理、業(yè)務(wù)在不同層，有解決性能為主的，也有解決高安全性為主的、也有解決高策略最小原則穩(wěn)住的，可能都是防火墻，設(shè)計時也會有不同的側(cè)重點。管理和安全性一定是平衡使用的。

同類型功能不同能力者的異構(gòu)其實在管理者眼里是麻煩的，但在攻擊者眼里同樣也是麻煩的，如果做好落地，呵呵，累死Y的。例如防火墻多層異構(gòu)解決避免一網(wǎng)通殺、防護策略失效的問題，防病毒網(wǎng)關(guān)、桌面防病毒和沙箱郵件追溯異構(gòu)解決病毒木馬、釣魚郵件的交叉檢測和查殺，威脅情報和弱點管理不同供應(yīng)商的異構(gòu)解決風(fēng)險管理的全面化，多重身份認(rèn)證和特權(quán)賬號不同認(rèn)證異構(gòu)解決被輕易獲取權(quán)限一路暢通，陷阱和蜜罐的異構(gòu)設(shè)置可以讓攻擊到內(nèi)網(wǎng)的黑客一頭霧水。總之，不同的安全能力之間的多角度異構(gòu)的靈活應(yīng)用會給APT攻擊者一路障礙，這些花不了多少經(jīng)費，但確實有效，唯一的就是給管理者有一定難度，需要將統(tǒng)一管理的平臺做好。

無論你用的是多高級的病毒軟件和木馬查殺軟件，記住一點，任何高級貨制作出來的第一步就是跑一遍所有的主流病毒和木馬查殺軟件。一個好的馬，制作不容易，傳輸不容易，運行不容易，弄不好還被反控了，所以高級馬是不容易對付的，加上中國在EDR領(lǐng)域一家廣告公司獨大，其他基本被消滅，這幾年才出現(xiàn)一些新能力，所以，一家主流的免殺后，高級馬基本上解決了大部分的問題。

也許你沒聽說過的方法未來都會出現(xiàn)，一個外賣小哥、一個保潔阿姨，一個好久不聯(lián)系的朋友到了辦公區(qū)，他們離開的時候，會留下繼續(xù)進來的U盤狀的無線發(fā)射器當(dāng)作跳板，一個供應(yīng)商送入的一批服務(wù)器和交換機在芯片上有可能的后門。有個電視劇叫做“密戰(zhàn)”，建議大家看看，一個外包的軟件開發(fā)商交付的代碼中間有隱藏的不應(yīng)該的代碼，一個離職的安全管理員仍然可以撥入VPN，用root權(quán)限獲取數(shù)據(jù)……這些都是現(xiàn)在以及未來可以發(fā)生的。

網(wǎng)絡(luò)社會，EID的認(rèn)證和識別是關(guān)鍵中的關(guān)鍵，互聯(lián)網(wǎng)個人隱私泄密太多，通過社工的方式可以輕易獲取一個既定目標(biāo)的網(wǎng)絡(luò)行為方式(網(wǎng)絡(luò)習(xí)慣、網(wǎng)絡(luò)id、網(wǎng)絡(luò)密碼)。人的習(xí)慣是很難改變的，所有認(rèn)證的用戶名，密碼總是那么幾個，一但破解全網(wǎng)通吃，HW期間碰到的單認(rèn)證方式和特權(quán)用戶被拿下，其實還沒用到社工這種高級貨。說白了，我們現(xiàn)在的政府企業(yè)每個單位先檢查一遍全網(wǎng)的特權(quán)用戶管理就明白了，70%的特權(quán)用戶就是沒有被管理、被監(jiān)控，更別說其他的用戶了。

數(shù)字中國萬云時代，萬種場景、萬物互聯(lián)，大數(shù)據(jù)、大平臺、大系統(tǒng)的建設(shè)模式是中國現(xiàn)在以及未來的模式，政務(wù)服務(wù)一體化、行業(yè)監(jiān)管一體化、城市大腦運行一體化、工業(yè)智能一體化。不可否認(rèn)，數(shù)字中國急切需要打通數(shù)據(jù)孤島，公共服務(wù)更便捷、效率更高、更智能、更便捷、行政監(jiān)管更準(zhǔn)確、更有效，數(shù)據(jù)越聚合越重要，黑市價值越高，攻擊者越多，保障體系就越需要更緊密，不得不形成“大安全大運維”的合成能力保障體系，才能確保業(yè)務(wù)的安全穩(wěn)定運行。產(chǎn)品堆砌的時代以及過去了，服務(wù)才是真價值，安全服務(wù)高級人才稀缺會更大。聽說HW駐場的人有一天一萬的，恭喜安全人才價值提高了不少。

世界的安全，未來會是中國式的和非中國式的，看好數(shù)字中國的開啟模式，百花齊放，開源開放萬種場景、萬云時代、萬物互聯(lián)、(云、數(shù)據(jù)、應(yīng)用、智能、智能制造、泛在感知、小到一個人的吃穿住行，到一個城市的實時運行，到一個社會的公共安全、到一個行業(yè)的智能發(fā)展，離不開新模式、新技術(shù)、新應(yīng)用。同時一個十幾億人口的大國也必將走向自主可控，中國式網(wǎng)絡(luò)安全會走向和世界不同的方向，也會越來越務(wù)實。

中國網(wǎng)絡(luò)安全產(chǎn)業(yè)相比國際同行處于弱勢，在國家高度重視網(wǎng)絡(luò)安全的背景下依然難以依靠自身力量快速做大做強，持續(xù)下去將在國際網(wǎng)絡(luò)對抗中愈發(fā)落后，最終損害對關(guān)鍵信息基礎(chǔ)設(shè)施的有效保護能力。

當(dāng)前我們雖然也面臨資金不足、人才匱乏，但更需要有好的環(huán)境，好的平臺，好的政府扶持政策，通過網(wǎng)絡(luò)安全產(chǎn)業(yè)的供給側(cè)改革讓更多的創(chuàng)新者、創(chuàng)業(yè)者，通過統(tǒng)一窗口、統(tǒng)一平臺有機會展現(xiàn)創(chuàng)新能力，在網(wǎng)絡(luò)安全科技領(lǐng)域中不斷貢獻力量，通過基于實戰(zhàn)的靶場演練，不斷提升國家關(guān)鍵信息基礎(chǔ)設(shè)施防護水平。

2018、19年參加了幾次工信部和WXB關(guān)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的調(diào)研會，圈子里的專家其實共識度還是挺高的明白人不少，大部分觀點不說了就說創(chuàng)新這一件事情，把它做透了就需要很多方面的合力。比如國外的合作是A.B公司的能力疊加，在國內(nèi)就是大品牌的OEM，鼓勵小品牌，新能力的合作。比如國內(nèi)公共靶場的建立，讓大家創(chuàng)新能力有練兵之地，總不能違法亂紀(jì)，也不能閉門造車吧，比如建立國家級的生態(tài)化安全能力展示平臺和中心。讓大家都有露臉的秀肌肉的地方…..供給側(cè)的改革，確實需要百花齊放和有效的政策扶持。

現(xiàn)在的攻防大賽、武器庫、漏洞庫，不管是為了實戰(zhàn)還是演習(xí)，攻擊方現(xiàn)在已經(jīng)新型攻擊武器平臺化武器庫快速有效滲透，說白了已經(jīng)是集團軍作戰(zhàn)了，下圖示意一下，呵呵，不代表其他意思。

圖10：數(shù)字時代是由物理的和非物理組成的

現(xiàn)在我們看到的大部分行業(yè)、企業(yè)的網(wǎng)絡(luò)安全防御現(xiàn)狀基本上是民兵式的，沒有正規(guī)的組織建制、沒有持續(xù)的和合適的后勤保障，沒有先進的防御和反擊工具和武器，未來這種防御體系基本上都是炮灰，不信明年HW見。不多講了大家都懂見下圖：

[[270463]]

圖11：“民兵式”網(wǎng)絡(luò)安全防御體系

這個是我們最近對于未來5年的研究方向的框架確定，有些涉及到商業(yè)秘密不方便公開說了，有興趣的一起交流，也可以一起加入進來，為自己、為企業(yè)、為國家做些事情。

圖12：踏實實驗室研究成果網(wǎng)絡(luò)綜合防御平臺框架

列完提綱也陸陸續(xù)續(xù)的利用業(yè)余時間寫了20天，也算一氣呵成，不是寫書寫論文所以隨性了些，畢竟是網(wǎng)絡(luò)安全有些地方意會大于言傳。也確實還有好多的話也沒說完，比如云安全的誤區(qū)、比如數(shù)據(jù)流動安全監(jiān)管的未來、比如工業(yè)安全的坑，比如說信息安全、網(wǎng)絡(luò)安全、數(shù)字安全的區(qū)別……以后在和大家一起討論吧，文章中的案例和思考都是團隊這些年的經(jīng)歷，肯定也有很多不見得大家都認(rèn)同的地方，歡迎指正。期望未來中國網(wǎng)絡(luò)安全產(chǎn)業(yè)更好，畢竟我的青春獻給了這個產(chǎn)業(yè)20年，也想用本文紀(jì)念和致敬一下過去的20年。