给客户做网络安全咨询设计网络安全架构时,我们比较常见的一种思路是三层。
图1:画了一个示意简图 这种思路从哪里来的呢? 是从实际的工作中总结出来的,这三层架构说起来很清晰,客户可以理解,做起来也容易,反正都能套到这三层里去。每层做细后,实际效果也还可以。 现在把这三层常见的措施说说。 1、防御层面 这一层第一步是梳理网络资产,把客户当前的资产暴露面梳理一下。要梳理的信息不是拍脑袋想的,是根据要做的监控工作来的。数量也可多可少,就看这些信息能不能满足你的监控颗粒度。颗粒度大,梳理的信息就少点,颗粒度细,梳理的信息就多点。 举个例子,我们要根据威胁情报监控网络安全风险,那么就要先把资产里的一些字段信息梳理一下。中间件版本、操作系统版本、数据库版本、开放端口等。这样,当我们遇到爆出操作系统版本漏洞时就能够直接定位到相应版本的操作系统,然后做打补丁加固的工作。 第二步就是建立防护能力,这个能力需要部署一些安全设备,比如: 下一代防火墙——用来抗DDoS,做网络层的病毒防御。 WAF——应用层的扫描攻击。 蜜罐——主动防御,部署一个财务系统啥的,吸引攻击者入侵蜜罐,提前预警。 2、监控层面 监控就是要定期做资产探测看看,资产有没有漏网之鱼、然后定期要做一些漏扫渗透、要对接威胁情况做告警。 有些安全设备的策略要配置好,及时更新特征库,这样安全设备会及时报警,我们根据报警情况来做操作,该打补丁打补丁,该杀毒杀毒,该改代码改代码。 监控也主要是从主机和网络两个层面去看的。 3、加固层面 加固这个层面内容比较繁杂。也可以分好几个方面。 安全意识方面:这块主要和业务开发层面去沟通,培训,推动安全意识的提升。还要给公司全员开展安全培训,通过这些培训和沟通,帮助业务团队了解安全的重要性,了解如何在日常工作中防范安全风险。 应用方面:通过之前做的资产梳理和渗透漏扫可以知晓应用系统当前的漏洞,要给出安全解决方案支持业务团队去修复漏洞。 这些就是三层架构的理论层面的内容,拿去给客户吹吹牛都是可以的,但是要指导落地还需要实施方法。 下面列表说一下方法和工具:
这样基本上就给客户设计好了基础架构,在这样的架构下,应对合规也是没有啥问题的。 然后,如果安全运维人员有了这样的架构思维,开展运维工作也会更加得心应手。 |
|