现今公司企业的业务开展,都离不开互联网的支持,随着移动互联网的不断发展,《中华人民共和国网络安全法》的实施,国家和企业逐渐把主要注意力转移到网络空间的安全上,所以网络安全成为当今企业商家关注的重点。
企业主要职责是要确保公司业务连续性,网络数据的保密性,保证企业数据客户信息的安全。
保证业务连续性的威胁一般来说,主要是DDOS攻击威胁业务连续性。
数据保密性面临的威胁主要是拖库、撞库等形式的威胁对业务的数据库保密性是一大挑战。
服务器主机底层安全,主要指放置后门、服务器提权等。
面对以上威胁,彩圣科技技术团队认为一般企业网络安全防御体系主要有以下5种:
1、边界防御体系
常见的防御体系为边界防护,从UTM到下一代防火墙、waf、流量清洗等一系列产物,要求将威胁挡在触发之前,解决网络边界的防御问题。
优点:部署简单,缺点:对已经到达内部的威胁没有效果,就是说只要突破waf等防护,就可以在内网做任何可以做到的操作。
2、纵深防御体系
纵深防御体系是基于边界防御的又一拓展,强调任何防御都不是万能的,存在被攻破的可能性,所以纵深防御本质是多层防御,即每一个访问流量都要经过多层安全检测,一定程度上增加安全检测能力和被攻破的成本。
在Web领域至少会包含下面几层,数据库端,服务器端,网络层,网络边界。
优点是每个产品功能定位清晰,允许不同品牌产品混用,攻击成本较高,安全性较好,不足之处是各个产品之间缺乏协同机制,如盲人摸象,各自为政,检测手段多是基于规则和黑白名单,对于抱有经济政治目的的专业黑客,攻克这种防御体系也只是时间问题。
3、河防体系
腾讯lake2同学提出的河防体系,概念来自”捻乱止于河防”,捻军是清末的反政府武装,主要战斗模式是游击,主力是马队,遇到正规军打得赢就打,打不赢就跑,马队跑得快,清军步兵、洋枪队根本追不上,搞得清政府很头痛。连当时刚刚打败了太平天国的天下无敌的湘军(湖南人打仗太厉害了,号称“无湘不成军”)也拿捻军没有办法。后来湘军参考明末将领孙传庭对付流寇的办法,以黄河为界,在重要位置步步设防,逐步推进,把捻军赶到一个包围圈里面,再集中优势兵力逼其决战歼灭之。最终捻军被河防策略消灭。
防方要赢就要靠一个字:“控”——把对手控制在一个可控范围,再用丰富的资源打败他。回到企业入侵防御上来,“控”的思路就是坚壁清野步步为营层层设防,让黑客即使入侵进来也是在可控的位置活动。具体落地就是要在隔离的基础上,严格控制办公网对生产网的访问,同时在生产网内部进行隔离的基础上进行边界防护以及检测。
河防体系的优点是特别适合数据中心用户,而且一开始业务规划就融入安全管控的公司,具有一定开发能力的公司如果打算自助建设安全体系可以参考,不过缺点也很明显,就是在完全云环境下,不好落地,管理成本较大,大多数互联网公司如果没有足够人力、财力投入很难搞定。
4、塔防体系
数字公司提过多次塔防体系,塔防体系我认为本质上也是纵深防御,不过比纵深防御进步的地方是强调了终端要纳入安全防御网络中并且具有自我防御能力,并且有了云的管控能力和威胁情报数据,即是后来数字公司主推的云+端+边界+联动的下一代安全体系。不过目前看数字公司主要产品还是集中在办公网领域,安全体系重点还是在办公网而不是web生产网。
5、下一代纵深防御
下一代web纵深防御系统是突破传统安全基于边界防护的设计理念,从网络、主机、数据库层面,依托人工智能技术以及虚拟机执行技术,结合大数据、威胁情报提供全方位的web纵深防护,保护企业核心web业务不被黑产网络攻击中断,保障企业核心业务数据不被黑产窃取。
帮助企业建立完整的web防护体系,从传统的边界防护过渡到新一代的基于预测、检测、协同、防御、响应、溯源理念的web纵深防御。威胁情报好比是积累的知识,大数据和人工智能好比是聪明的大脑,WAF、ADS、WAG好比是有效的武器,大家互相配合,实现了下一代的纵深防御,在对已知威胁有较好的防御能力外,对于未知威胁也具有一定防御能力。
彩圣科技拥有多位技术精湛、专业的网络安全工程师,从事信息安全行业10多年,并且提供7x24小时的全天候网络安全维护服务。网站安全维护、网站修改服务、服务器软件维护、网站二次开发,错误漏洞修复,以确保网站的24小时不间断正常运行。