IT系统安全方案导论
IT系统安全方案导论
DiffDay
纲要
狭义安全
- 数据安全
- 系统管理安全
广义安全
- 异常发现与系统高可用
- 灾备与恢复
- 质量流程
信息安全三要素
- 策略
- 管理
- 技术
狭义安全的本质
本质是信息(数据)的安全。
-
IT 系统运行在可被访问的设备上,通过开放一系列的交互接口提供系统管理、信息处理和查看服务。
-
信息=资源,一切信息互动的过程,都关联着操作角色(身份)的概念。只有合适的人面对和处理着合适的信息,才是信息安全的意义所在。
mindmap
Root[IT系统(数据+业务逻辑)]
A[生产]
B[查看]
C[分析]
狭义安全的体系建设分为两大部分
- 系统的信息角色体系划分和制度管控
- 防范信息角色体系被突破/误用(提升突破难度)的系统和机制
- 物理环境和软件平台的安全建设,隔离防护及漏洞修复响应
- 交互接口的鉴权
- 信息传输过程的防护
- 系统分层设计实施的健壮性
- 恶意行为的启发式发现和追踪机制
- and more…
IT系统的特征及网络时代的安全挑战
IT 系统特征是分层分级,每一层都要有相应的安全策略,一环薄弱就会导致糟糕的木桶效应,威胁整体系统的信息安全。
分层分级也是满足安全性这个非功能需求的诉求
block-beta columns 6 访问源:3 block:group6:3 DNS解析劫持 ...... end 信息传输:3 block:group5:3 流量劫持 数据窃听 M["......"] end Y["业务服务层
《面向C端服务》
《内部运营系统》"]:3 block:group2:3 columns 3 操作鉴权疏漏 账号密码泄露 跨站伪造请求 恶意输入 DDOS 机器请求 数据脱敏不当 RST复位攻击 M2["......"] end D["数据层
《面向C端数据》
《运营数据》
《代码/文档》"]:3 block:group3:3 columns 3 错误的赋权 A["账号密码泄露"] 误操作 敏感数据未加密 数据备份缺失 M3["......"] end I["信息/系统宿主环境
《操作系统运维》
《平台软件设置维护》"]:3 block:group4:3 columns 2 错误的赋权 A2["账号密码泄露"] 错误的账号赋权 错误的资源访问控制 M4["......"] end
[!NOTE]
信息层的数据窃听,可通过传输数据加密(如 https)来安全强化
业务服务层的 操作鉴权疏漏,可建设统一鉴权入口;跨站伪造请求 可强化请求来源验证;DDOS 可前置恶意流量清洗;机器请求可增加频率限制、验证码等措施
网络时代的安全挑战
- 来自黑产或黑帽子等的作恶行为,如分布式拒绝服务攻击(DDOS),流量窃听等等。
- 社会工程学导致角色体系依赖的密码机制更容易被攻破
选择云服务商的三大原因
- 构建和运维系统较低的成本支出「金钱成本、时间成本」
- 可靠的运维服务质量和快速的扩容响应能力
- 契合网络时代系统建设的安全防护特性(启发式防护和高频度攻击清洗能力)
==整体方案选型是综合成本和性能效率的产物==,例如防范 DDOS 攻击,需要投入较高的成本,云服务商的统一建设和免费防护是一大优势。
安全落地三要素
大量的环节可能因为人的因素(及团队人员水平不一致)引入风险,技术只能提升误操作和作恶的门槛,各层级配以安全策略还要结合管理控制。正所谓在安全和分控领域,三分技术,七分管理。
策略
- 信息访问来源筛查过滤业务 环境
- 系统接口级别统一鉴权业务
- 数据访问接口传输加密传输
- 敏感信息加密存储数据
- 业务系统外部输入不信任开发原则业务
- 云端及其仅支持密钥文件登陆环境
- 数据备份数据
- 管理员账号消除单点&禁止直接登录环境
管理
- 角色账号细分维护,管理账号开放给少量人员
- 普及提升全员安全意识和水平
- 重要资料(文档/代码)分级别访问控制
- 系统登陆行为日志记录
- 数据变更日志记录
- 人员退出时的账号注销机制
- 异常账户冻结机制
- 不引入不成熟的技术方案
技术
- 启发式恶意行为预警
- 恶意流量清洗
- 优选降低人工参与度的方案,充分发挥程序的客观高效性
广义安全的系统预案
异常发现与系统高可用
- 服务异常发现(监控预警)
- 架构 Design for failure
- 鸡蛋不放在一个篮子里
- 异常服务自动恢复
- 有损服务
灾备&恢复
- 数据热备
- 数据恢复演练
- 自动化部署
- 版本回滚
质量流程
- 发布审核和权限管控
- 版本质量跟踪系统
- 代码高危函数扫描
- 异常信息上报收集跟进
评论
匿名评论隐私政策
