搜狐吴建强：企业信息安全实践

本文是WOT2016互联网运维与开发者大会的现场干货，  新一届主题为WOT2016企业安全技术峰会将在2016年6月24日-25日于北京珠三角JW万豪酒店隆重召开！

【嘉宾简介】

吴建强，搜狐高级经理，超过10年的信息安全从业经验，曾就职于国内多家知名安全公司，目前主要负责搜狐安全团队的管理。

WOT2016互联网运维与开发者大会的运维安全专场的演讲中，吴建强做了主题为《企业信息安全实践》的精彩演讲，他从不断演绎的安全威胁进行分析，分享了在工作中对于企业安全体系建设思路及实践，以及新技术驱动下的挑战和机会。

随着数字通信和移动互联网技术的发展，越来越多的设备可以联网，在给人们提供便利优质智能生活的同时，安全威胁也随之越来越多，复杂多样，黑客攻击手段也变得多样化。在网络安全攻防对抗中，安全产业也在不断的晋级。从最初的被动防御演进至主动防御，关注重点从通信安全和网络安全，转至应用安全、操作系统安全，然后慢慢的随着移动互联网的发展，移动安全也备受关注。

企业安全体系的建设思路与整体架构

吴老师表示，每个公司的业务特点不同，以上是仅是他根据自己的工作以及所在公司的业务所总结的建设思路，并一定适合于所有的公司。企业安全建设主要有以下两个重点：一是，要很清楚的明白公司的业务是在做什么的，安全关注的业务是在哪几个方面。二是，技术体系建设。技术体系主要是有几个方面：PDR、DID、SAS以及流程保证，还有包括组织体系、管理体系，意思就是人、技术、流程。就是通过这几个方面，如果你能做的比较好，能够把这几个方面贯彻的比较好，你的企业安全应该会做的不错。

上图这个整体技术架构，相信大部分互联网公司，稍微上一定规模的公司，可能都会有类似的架构。吴老师介绍到：“首先看底层，就是公司的基础服务平台，现在对于基础服务平台大家也都在做源，包括像SDN之类。第二层，是包括Paas服务平台。Paas服务平台主要是给应用提供一个运行时的环境，大家可以业务线或者应用产品更多的聚焦于产品的开发、业务的实现，不再关心这种运维的实现了。所以我们一直还在做这种Paas服务。虽然现在做公有云的Paas服务不多了，可能有几家现在自己也不做了，就是因为觉得面向客户或者面向乙方提供产品或者服务的时候，很难有收益或者很难达到很好的效果。但是在内部系统，我们一直还在做就是因为通过这几年的实践，觉得这个平台是有价值的。对于我们来讲，无论是从节约资源和降低运维成本以及规范我们的应用发布及管理方面，是有很大的好处的。当然我们在做Paas的时候，已经把各个其他的，像数据的服务、缓存的服务，还有存储的服务，还有类似的一些其他的服务，能够兼容进来，这样实际上我们能够做到很好的兼容性和降低我们的开发成本。因为我们不是所有的产品都能做，所以实际上我们会兼容一些其他的产品进来。最上层就是支撑了一些我们公司现在主要的一些应用，包括像新闻、媒体的业务，包括像视频的业务，包括像支付，还有我们的APP的服务。最前端，在所有应用的如后，也就是访问的入口，就是我们全网加速的服务。现在搜狐的全网大概有几十个节点，覆盖了全国所有的省市。”

此外，他表示在这个整体架构之中，实际上搜狐无一例外的，都贯穿了信息安全的概念。他们一直在强调的就是希望能够把信息安全能力，或者说这种功能打入到现有的产品当中，不会产生其他系统与安全脱节的情况，将安全实现的功能做在产品当中。

安全对于小公司来说有些奢侈，不像大公司已盈利。所以小公司们该如何考虑做安全呢?其实，无论是大公司还是小公司，做安全都要考虑哪些业务对公司来说是至关重要的，那这些业务就是安全防护的重点，需要优先给予安全保障。因此，这时公司就需要做一个业务分析。对此，吴老师建议对公司业务做如上图所示的整体业务分析，或者称为业务定级，定级的过程就是依据我们业务的安全的几个属性，加业务的依赖性。

介绍完整体架构之后，吴老师又对技术体系里几个重要环节进行了分析。

◆PDR和DID

关于PDR和DID的概念，PDR做安全的，对这个模型都有一定的理解，其实它是基于时间轴的模型，就是强调你的防御的时间和监测的时间，能够通过防御和监测的时间，去降低攻击的结果。就是在那个时间段，及时发现攻击，并且把它拦住。换个角度来讲，可能我会把这个架构，把这个模型重新划分一下，就是我把技术架构划成几点：第一个就是防御类的技术产品，监测类的技术产品，还有响应的技术产品。除了PDR，还有一个DID，就是纵深防御的模型。纵深防御的模型强调的是我从网络层到主机层、到应用层，到数据层，各个阶段都有一定的监控、保护，或者响应的技术方案或者技术体系，所以我用了一个类似于饼图的方式去实现这种架构。我们会把做一些无论是安全技术的项目、安全产品类似的技术手段，能够分分类，都可以划到这个里面去。包括比如说像扫描的，或者是监控的，实际上我们在各个层次上，比如说我们在外网，网络层有监控，这种监控也会涉及到应用的监控、流量的监控。扫描会涉及到主机的扫描、数据库的扫描、应用的扫描，都可以把这些技术手段划做我们的PDR里面的一类，但是在各个层面上都要覆盖到。

◆DDOS解决方案

吴老师表示首先他们会对DDoS进行分级，就是十级以下公司自己处理，十级以上协调运营商，或者请求其他外部资源的支持，因为公司的资源始终是有限的。在DDOS解决方案中，主要包括主动牵引和被动牵引两种方案。主动牵引就是在模拟现在市面上比较成熟的产品解决方案，通过bgp，netfilter模块和nginx实现，无论做流量的反向代理，或者做流量的清洗，都可以通过这些方式去做。而被动牵引首先在被攻击服务器实施网络层牵引，然后在防护设备实施清洗，最后再代理到被攻击服务器。

◆监控

这个监控实际上是在我们所有大的节点的DIC入口的一个监控。这个监控主要是监控几个方面，第一个就是关于应用层的攻击，关于web的攻击，第二个关于流量的攻击，就是DDOS或者是流量异常的攻击。监控通过分光器的方式来实现，把流量通过分光器，通过交换机下面接一些服务器，这样实现了流量的负载。

◆扫描

扫描的进化是一个很有意思的过程。首先是系统层面的，主要针对系统的安全漏洞。然后，进入web2.0时代后，针对应用层面的扫描较多。还有一个，就是关于这种被动式的扫描，被动的扫描主要是给产品测试人员，通过提供一个代理的方式，它把浏览器的代理，或者一些开发软件的代理，设置到我们的扫描接口来，扫描AI上或者接口上，我们能够抓到所有的链接之后，并且能够获得他的，如果你登陆了就有一些授权信息，那这些授权信息去做这种被动扫描。

◆SAS 安全即服务

什么叫安全即服务呢?将安全能力安全产品输出出去，服务给公司。比如把扫描的API接口开放给业务线。那业务线实际上在开发产品过程中，就直接可以使用这个API了。如果你在做监控，你监控已经累积了大量的原始数据，包括攻击的数据，恶意用户、恶意IP，这些都可以输出出去。既然你在做安全，你有这个优势，你为什么不能把这个东西当做一个服务提供出去呢?

◆SAS 服务即安全

为什么说服务即安全呢?吴老师表示，就是希望把产品做的更安全一些，就是把一些安全能力加入到我们现有的技术架构当中。比如说现在其实像安全CDN这个东西，也不是一个非常新鲜的概念了，前两年已经非常成熟了，我要把第一层的防御放在我的入口处，要放在CDN处。为什么要做在这儿呢?因为在web前端的，CDN或者应用层的监控或者保护，可能没有及时的发现这个攻击。但是你会在越接近数据的地方，越容易发现攻击，因为它没有什么特别多的语法或者词法的解析了，也不存在规则的问题。更多的就在于数据层，是不是注入，在这个地方，它会起码很全面，当然你的规则就取决于你的规则实现了。如果你的规则，误报太多了，就需要做优化了，但是不会有漏报，所以你只会有误报，不会有漏报。

至此，前面介绍的基本上就是大整体的一个技术架构，主要是PDR和DID，实现的就是在多层次去做这种保护、监控和响应。

安全开发流程SSDL

这个安全开发流程，估计绝大多数公司会有。但是怎么去贯彻，怎么去实行，吴老师认为这其实是一个很难的事。安全开发流程主要有以下几个部分：

组织体系

组织体系中的主体就是人。公司中每个与安全有关的联系人，包括部门领导都应参与到企业安全防护的过程中。普通的公司职员也应增强安全意识。安全领导组要做决策，控制安全防护的成本等。在策略的执行过程中，需要有流程保障，需要技术保证。另外，可通过安全月报的形式，让部门领导和安全联系人清楚，过去一个月中，公司的整体安全现状，哪个部门的安全事件较多，发生了哪些安全事件，攻击趋势发生了怎样的变化。

新技术驱动下的挑战和机会

云计算和大数据时代的到来，给安全防护工作带来了新的挑战和机会。吴老师总结如下：

演讲视频：http://edu.51cto.com/lesson/id-100718.html 

作者：杜美洁

来源：51CTO