技术干货 | 互联网企业安全全局视角（下）

本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

欢迎各位添加微信号：asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

互联网企业安全建设从规划到落地系列文章（已完成部分）：

一、写在前面

二、互联网企业面临安全挑战

三、如何理解安全与业务的关系

四、互联网企业安全全局视角（上）

通用安全

通用安全可以分为基础安全、业务安全、数据安全三大方向。下面我们来展开介绍：

一、基础安全

基础安全是一个相对的概念，并不意味着基础安全做的都是一些比较基础和低端的安全工作，恰恰相反，基础安全是一个企业整体安全建设的基石，如果基础安全做的不好，上层的数据安全和业务安全根本都无法有效落地和做好。就像建大楼一样，基础安全建设就好比是打地基，地基不牢，地动山摇。如果一个企业的基础安全做的不好，数据安全和业务安全自然也好不到哪儿去。

基础安全以攻防技术为主线，通过构建并持续运营纵深检测与防御体系来保持和提升企业的防黑客与反入侵能力。

基础安全可以分为基础设施安全、应用安全、供应链安全三大部分：

基础设施安全

基于网络环境，基础设施安全可以分为生产基础设施和办公基础设施两块：

生产基础设施

物理安全（省略）

网络安全（边界安全、流量安全、传输安全）

边界安全：

覆盖范围（主要做什么？）：

缩减攻击面、加强网络访问控制、提升边界安全风险主动感知、快速响应和闭环处置能力

主流安全威胁：

1、无必要端口/服务违规开放

2、网络隔离和访问控制缺失/不合理

3、边界安全管理策略失效

4、网络设备/服务安全漏洞

重点安全工作：

1、网络安全域划分+网络访问控制策略从设计至落地

2、网络端口/服务违规开放感知能力建设+闭环处置

3、边界安全管理策略失效感知能力建设+闭环处置

4、网络设备/服务安全漏洞全生命周期管理

5、网络设备/服务安全基线+安全加固

安全效果评价：

1、边界安全管控能力：

发现率、准确率、MTTD、MTTR

2、网络设备/服务安全漏洞管理能力：

漏洞检出率、准确率、漏洞修复率、漏洞修复及时率

3、网络设备/服务安全基线：

覆盖率、健康率

流量安全：

覆盖范围（主要做什么？）：

主动发现和防护恶意流量攻击

主流安全威胁：

1、DOOS攻击

2、网络扫描、攻击探测、恶意连接及其他类型恶意流量

重点安全工作：

1、DDOS攻击检测与缓解能力建设

2、DDOS攻击响应预案+定期演练

3、网络入侵检测能力建设+闭环处置

4、全流量镜像采集+安全分析

安全效果评价：

1、DDOS攻击防护能力：

MTTD、MTTR、防护成功率

2、网络入侵检测与防护能力：

检出率、误报率、覆盖率、MTTD、MTTR、流量纯净度

传输安全：

覆盖范围（主要做什么？）：

保障数据在网络链路传输过程中和网络传输链路中基础设施的安全

主流安全威胁：

1、数据在网络传输过程中被泄露、篡改

2、流量劫持（DNS劫持、TCP会话劫持）

3、网络传输链路中基础设施安全风险

重点安全工作：

1、全站全链路HTTPS

2、流量劫持感知能力建设+闭环处置

3、DNS安全方案从设计到落地

4、CDN安全方案从设计到落地

5、HTTPS安全方案从设计到落地

安全效果评价：

1、全站全链路HTTPS（互联网业务）：

发现率、覆盖率、完整度

主机安全（系统安全、容器安全）

系统安全：

覆盖范围（主要做什么？）：

覆盖操作系统以及运行其上的应用程序（系统+第三方）、中间件的安全

操作系统：Linux、Windows、其他

主流中间件：Nginx、Tomcat、ES、MQ、Mysql、其他

主流安全威胁：

1、黑客攻击、入侵

2、挖矿、勒索及其他蠕虫类病毒

3、远控木马、后门、僵尸网络及其他恶意程序

4、内部人员违规操作

重点安全工作：

1、主机资产管理+持续及时维护

2、安全基线+安全加固

3、主机端口扫描+服务识别

4、主机漏洞扫描+闭环处置

5、堡垒机+行为审计（实时+离线）闭环处置

6、主机安全感知与防护能力建设+闭环处置

7、主机安全漏洞全生命周期管理

安全效果评价：

1、资产管理：

发现率、准确率、发现时长

2、安全基线：

覆盖率、健康率

3、主机端口扫描+服务识别：

覆盖率、检出率、误报率、准确率、扫描效率

4、主机漏洞扫描：

覆盖率、检出率、误报率、准确率、扫描效率

5、堡垒机：

覆盖率、健康度

6、主机安全感知与防护能力：

HIDS类产品覆盖率、检出率、误报率、MTTD、MTTR

7、主机安全漏洞管理：

漏洞修复率、漏洞修复及时率

容器安全（省略）：

办公基础设施

物理安全（省略）

网络安全（边界安全、流量安全、准入安全）

边界安全

覆盖范围（主要做什么？）：

缩减攻击面、加强网络访问控制、提升边界安全风险主动感知、快速响应和闭环处置能力

主流安全威胁：

1、无必要端口/服务违规开放

2、网络隔离和访问控制缺失/不合理

3、边界安全管理策略失效

4、网络设备/服务安全漏洞

重点安全工作：

1、网络安全域划分+网络访问控制策略从设计至落地

2、端口/服务违规开放感知能力建设+闭环处置

3、边界安全管理策略失效感知能力建设+闭环处置

4、网络设备/服务安全漏洞生命周期管理

5、网络设备/服务安全基线+安全加固

安全效果评价：

1、边界安全管控能力：

发现率、准确率、MTTD、MTTR

2、网络设备/服务安全漏洞管理能力：

漏洞检出率、准确率、漏洞修复率、漏洞修复及时长

3、网络设备/服务安全基线：

覆盖率、健康率

流量安全

覆盖范围（主要做什么？）：

主动发现和防护恶意流量攻击

主流安全威胁：

1、DOOS攻击

2、网络扫描、攻击探测、恶意连接及其他类型恶意流量

重点安全工作：

1、DDOS攻击检测与缓解能力建设

2、DDOS攻击响应预案+定期演练

3、网络入侵检测能力建设+闭环处置

4、全流量镜像采集+安全分析

安全效果评价：

1、网络入侵检测与防护能力：

检出率、误报率、覆盖率、MTTD、MTTR、流量纯净度

准入安全

覆盖范围（主要做什么？）：

覆盖办公网所有设备的现场/远程入网管控、风险评估与处置以及准入设施的安全

主流安全威胁：

1、不可信/不安全设备随意接入办公网

重点安全工作：

1、网络准入（NAC）方案从设计到落地

2、远程接入办公网方案从设计到落地

3、WIFI安全

安全效果评价：

系统安全

覆盖范围（主要做什么？）：

办公基础设施系统安全

主流安全威胁：

1、安全漏洞

2、网络攻击、入侵

3、挖矿、勒索、木马以及其他类型的恶意程序

4、内部人员违规操作

重点安全工作：

1、资产管理

2、安全基线+安全加固

3、安全攻防对抗能力建设与提升+闭环处置

4、安全漏洞生生命周期管理

5、域控安全方案从设计到落地

6、DHCP、自建DNS安全方案从设计到落地

安全效果评价：

1、资产管理

覆盖率、准确率、发现时长

2、安全风险感知与处置能力：

发现率、MTTD、MTTR

终端安全（Windows终端、MAC终端、BYOD设备、其他）

Windows终端

覆盖范围（主要做什么？）：

Windows终端安全

主流安全威胁：

1、病毒、木马以及其他类型恶意程序

2、黑客入侵、定向攻击等

3、安全漏洞

重点安全工作：

1、Windows终端资产管理

2、Windows终端安全补丁

3、Windows终端接入域控+统一安全管控策略落地

4、Windows终端病毒防护+恶意行为/程序检测与防护

安全效果评价：

1、Windows终端资产管理：

覆盖率、准确率、发现时长

2、Windows终端安全能力：

安全补丁安装率、安全补丁平均安装时长、终端安全健康率

MAC终端

覆盖范围（主要做什么？）：

MAC终端安全

主流安全威胁：

1、病毒、木马以及其他类型恶意程序

2、黑客入侵、定向攻击等

3、安全漏洞

重点安全工作：

1、MAC终端资产管理

2、MAC终端病毒防护+恶意行为/程序检测与防护

安全效果评价：

1、MAC终端资产管理：

覆盖率、准确率、发现时长

2、MAC终端安全能力：

终端安全健康率

BYOD设备

覆盖范围（主要做什么？）：

BYOD设备安全

主流安全威胁：

1、病毒、木马以及其他类型恶意程序

2、黑客入侵、定向攻击等

3、安全漏洞

重点安全工作：

1、BYOD设备资产管理+安全管控

安全效果评价：

其他终端

覆盖范围（主要做什么？）：

除以上以外，其他类型终端设备安全

主流安全威胁：

1、病毒、木马以及其他类型恶意程序

2、黑客入侵、定向攻击等

3、安全漏洞

重点安全工作：

1、其他类型终端资产管理+安全管控

安全效果评价：

身份安全（身份认证、权限管理、行为审计）

身份认证：

覆盖范围（主要做什么？）：

企业内部统一的身份认证系统/服务建设

主流安全威胁：

1、弱口令

2、撞库、暴力破解

3、账号被盗、密码泄露

4、安全漏洞

5、共享账号

6、账号买卖

重点安全工作：

1、公司级统一的内部身份认证系统/服务建设

2、身份认证安全治理

安全效果评价：

1、SSO覆盖率

权限管理：

覆盖范围（主要做什么？）：

公司内部统一的权限管理系统/平台建设

主流安全威胁：

1、不合理/不合规的权限管理

2、越权漏洞

重点安全工作：

1、公司级统一权限管理系统/平台建设

2、权限治理

安全效果评价：

1、权限管理系统接入覆盖率

行为审计：

覆盖范围（主要做什么？）：

企业内部统一的身份认证与操作行为审计能力建设与提升

主流安全威胁：

1、异常行为没有审计日志，导致无法溯源

重点安全工作：

1、统一的行为审计平台建设+闭环处置

安全效果评价：

1、异常行为主动发现与处置能力：

发现率、MTTD、MTTR

应用安全（WEB安全、移动安全）

WEB安全

覆盖范围（主要做什么？）：

通过构建WEB安全体系全面保障WEB应用（代码、框架、组件、API等）全生命周期的安全，控制WEB安全风险

主流安全威胁：

1、WEB安全漏洞

2、WEB攻击、入侵

3、内部人员安全违规

重点安全工作：

1、SDL/DevSecOps流程建设与落地

2、SDL/DevSecOps安全工具链+自动化能力建设与提升

3、WEB安全漏洞全生命周期管理

4、WEB攻防对抗能力建设+闭环处置

安全效果评价：

1、SDL落地效果：

覆盖率、覆盖深度

2、WEB安全风险感知与处置能力：

MTTD、MTTR

3、WEB安全漏洞管理：

漏洞发现率、修复率、平均发现时长、平均修复时长

移动安全

覆盖范围（主要做什么？）：

1、通过构建移动安全体系全面保障移动应用（代码、框架、组件、API等）全生命周期的安全

主流安全威胁：

1、移动端安全漏洞

2、移动端攻击、入侵

重点安全工作：

1、MSDL流程建设与落地

2、MSDL安全工具链建设+自动化能力建设与提升

3、移动安全漏洞全生命周期管理

4、移动端攻防对抗能力建设+闭环处置

安全效果评价：

1、MSDL落地效果：

覆盖率、覆盖深度

2、移动安全风险感知与处置能力：

发现率、MTTD、MTTR

3、移动安全漏洞管理：

漏洞发现率、修复率、平均发现时长、平均修复时长

供应链安全（软件供应链安全、上下游合作安全）

软件供应链安全

覆盖范围（主要做什么？）：

企业使用的所有第三方开源/商业软件（包含但不限于开发框架、组件、代码库、开发工具、设备等）的安全

主流安全威胁：

1、自身安全漏洞

2、原生后门

3、被恶意篡改或植入恶意程序（挖矿、勒索类蠕虫病毒、木马以及其他类型的恶意程序等）

重点安全工作：

1、第三方开源/商业软件准入标准+全流程安全管控

2、软件供应链安全漏洞检测与分析能力建设与提升

3、软件供应链安全漏洞全生命周期管理

4、软件供应链安全风险感知+闭环处置能力建设

安全效果评价：

1、软件供应链资产管理：

覆盖率、准确率、发现时长

2、软件供应链安全风险感知与响应能力：

发现率、MTTD、MTTR

3、软件供应链安全漏洞管理：

漏洞发现率、修复率、平均发现时长、平均修复时长

上下游合作安全

覆盖范围（主要做什么？）：

企业上下游合作过程中的安全风险评估与闭环处置

主流安全威胁：

1、攻击者通过攻击目标企业的上下游合作方来达到影响目标企业业务的目的

2、攻击者通过将目标企业上下游合作方作为跳板，进而渗透进入目标企业达成攻击目的

重点安全工作：

1、企业上下游合作安全管理流程/制度的建设与落地

2、企业上下游合作方安全风险评估+感知+闭环处置能力建设与提升

安全效果评价：

二、业务安全

帐号安全

覆盖范围（主要做什么？）：

帐号安全体系建设与全流程风控（注册、登录、找回密码等）

主流安全威胁：

1、垃圾注册

2、暴力破解、撞库攻击

3、验证码（短信/邮箱/语音等）接口攻击

4、帐号安全相关逻辑漏洞

5、帐号被盗、密码泄露

重点安全工作：

1、帐号安全体系建设

2、帐号安全风险主动感知+闭环处置能力建设与提升

安全效果评价：

1、帐号安全风险发现率

2、帐号安全风险平均发现时长

3、帐号安全风险平均处置时长

4、帐号安全风险发现准确率

内容安全（省略）

业务风控

覆盖范围（主要做什么？）：

1、基于实际业务场景下的业务安全风控

2、风控系统建设与持续运营

主流安全威胁：

1、欺诈风险

2、用户、渠道作弊风险

3、灰黑产、黄牛党薅羊毛

重点安全工作：

1、风控系统/平台建设+风险闭环处置

2、基于业务场景下的业务安全风险评估与解决方案落地

安全效果评价：

1、止损率

2、业务安全风险发现率

3、业务安全风险平均发现时长

4、业务安全风险平均处置时长

5、业务安全风险发现误报率

三、数据安全

随着时代的变化。我们已经从IT时代进入DT时代，而且正在快速步入万物互联的物联网时代。现如今数据产生的速度越来越快，数据量也越来越大。同时，数据价值也越来越高。甚至之前一些看起来无用的数据经过关联分析和整合以后，都有可能会成为新的有价值的数据。在这样大的时代背景下，除了互联网行业，一些传统行业也纷纷将业务扩展至线上。数据成为公司资产，并且在流动中产生价值。越来越多的攻击者也将攻击目标锁定为窃取目标系统/企业的核心数据。如何保障数据全生命周期和在流动过程中的安全，成为企业安全团队面临的全新安全挑战。

与此同时，随着GDRP、《网络安全法》、《个人信息安全保护规范》等一系列法律法规的落地实施，无论是国内还是全球范围内，对于数据安全和隐私保护的合规和监管要求的趋势也是越来越严格。如果发生数据泄露事件，不仅会给企业带来经济损失，公司业务发展和商务合作都可能会受到影响。

而且现在用户对于个人信息和隐私保护的重视程度和维权意识也在不断提升和增强。另外，由于自媒体的发展，信息传播速度越来越快。一起信息泄露事件很有可能会在短时间内发展成为PR事件。

受整个大环境的影响，越来越多的企业开始意识到数据安全的重要性，虽然数据安全并非一个新的安全理念，但现如今数据安全的涵义和过去已大不相同。数据安全建设也被提升到了一个新的高度。但企业数据安全建设与传统攻防对抗的做法和对安全人员的技能要求有明显差异。为此，有一些互联网企业开始组建专职数据安全团队来负责公司整体数据安全工作。

互联网企业中的数据安全建设以数据为中心，通过构建并持续运营数据安全体系，控制数据安全风险可接受范围内，让数据使用更安全。

数据安全建设工作可以分为数据资产发现、数据资产打标、数据安全风控、数据安全合规&隐私保护四大块。

数据资产发现

覆盖范围（主要做什么？）：

建立数据资产发现策略，以人工和自动化方式发现数据资产类型（什么样）、分布（在哪儿）、数量（有多少）、访问关系（谁可以访问）、访问方式（怎么访问）等

主流安全威胁：

1、资产资产管理存在盲区

重点安全工作：

1、数据资产自动化发现能力建设与提升

安全效果评价：

1、数据资产发现率

2、数据资产发现时长

3、数据资产发现准确率

数据资产打标

覆盖范围（主要做什么？）：

基于数据安全分类分级制度，实现数据资产的自动化打标，为后续数据安全风控和流转审批提供基础信息

主流安全威胁：

1、因无法有效标识（没有、不准、不全）数据类型和敏感等级，给数据安全风险控制和流转审批造成困难

重点安全工作：

1、数据资产自动化打标

安全效果评价：

1、数据资产打标覆盖率

2、数据资产打标准确率

数据安全风控

覆盖范围（主要做什么？）：

数据安全风险控制：敏感数据全生命周期、重点业务场景、高风险人群、敏感数据生产关系链路与流转过程

主流安全威胁：

1、敏感数据泄露

重点安全工作：

1、敏感数据全生命周期数据安全风控

2、重点业务场景下的数据安全风控

3、高风险人群的数据安全风控

4、敏感数据生产关系链路与流转过程中的数据安全风控

安全效果评价：

1、数据安全风险发现率

2、数据安全风险发现时长

3、数据安全风险处置时长

数据安全合规&隐私保护

覆盖范围（主要做什么？）：

1、数据安全合规要求研究、解读与落地

2、用户隐私保护

主流安全威胁：

1、不满足数据安全合规要求被监管处罚

2、用户隐私数据泄露

重点安全工作：

1、数据安全合规标准/规范的研究、解读与落地

2、用户隐私保护研究与落地

安全效果评价：

特色安全

基于不同行业属性和业务场景下的安全挑战和安全建设，这部分后面单独成文分享。

持续安全运营

现在安全运营比较火，各大安全会议提的也比较多。整体上企业中的安全运营可以分为安全运营体系、安全系统/平台运营、安全品牌建设这三大块。展开详细内容也很多，放在后面单独分享。

专业安全团队

这部分放在后面的安全团队建设部分详细分享。

技术干货 | 互联网企业安全全局视角（上）

本文始发于微信公众号（安世加）：技术干货 | 互联网企业安全全局视角（下）