0x00前言

? ? 在工作過程中，有時也會從整體上思考一個系統(tǒng)或者一個網(wǎng)絡(luò)甚至一個企業(yè)的安全架構(gòu)。一個企業(yè)里面有著各類應(yīng)用及其環(huán)境，的信息安全問題也是不一一相同的。

0x01 威脅來源

1、云應(yīng)用安全
? ? 截止目前，越來越多的企業(yè)都開始或者有意向?qū)⑵髽I(yè)應(yīng)用遷移到云端（一般是公有云）。而與此同時，企業(yè)用戶也傾向使用更低成本的服務(wù)和資源來節(jié)省企業(yè)成本。例如公共郵箱服務(wù)、公有云盤、公共社交軟件在內(nèi)的公有云應(yīng)用來處理工作（QQ，微信，釘釘，百度云，網(wǎng)易郵箱等等）。但是非常明顯一點的是，企業(yè)安全防護系統(tǒng)一般無法保護這些云應(yīng)用的服務(wù)器。并且這些服務(wù)器隨時都可能因為網(wǎng)絡(luò)攻擊導致機密數(shù)據(jù)泄露。如何管理這些應(yīng)用并降低風險已經(jīng)成為信息安全最為關(guān)注的問題之一。當然也奧有一些簡要的解決方案：公有云自己本身提供的安全服務(wù)，安全廠商的云防護如啟明星辰的云子可信，綠盟云、創(chuàng)宇盾，BAT中阿里云、百度云、騰訊云云防護。至于價格方面，依據(jù)自己的需求來進行選擇，這里提示一下：適合夠用就好，沒有必要購買過大的服務(wù)，對企業(yè)造成經(jīng)濟負擔。

2、APT攻擊

? ? 高級可持：續(xù)性威脅攻擊是在企業(yè)面臨的所有的安全威脅之中最無奈的。一來是因為攻擊者常常瞄準信用卡信息等敏感的商業(yè)信息和個人數(shù)據(jù)，二來是因為APT攻擊往往針對特定的目標而定制，隱蔽性高、潛伏周期長，極難被企業(yè)的安全防護系統(tǒng)所及時攔截。帶來的威脅是企業(yè)用戶被迫勒索交費、企業(yè)系統(tǒng)癱瘓、企業(yè)正常業(yè)務(wù)終止等。當然也奧有一些簡要的解決方案：公有云自己本身提供的安全服務(wù)，安全廠商的云防護如綠盟云、創(chuàng)宇盾，BAT中阿里云、百度云、騰訊云云防護。至于價格方面，依據(jù)自己的需求來進行選擇，這里提示一下：適合夠用就好，沒有必要購買過大的服務(wù)，對企業(yè)造成經(jīng)濟負擔。

3、項目管理

? ? 一直以來，服務(wù)器日志審計、審計報告、安全項目管理都是我們信息安全工程師關(guān)注的工作重點，因為這些工作時代的發(fā)展增加了很多內(nèi)容諸如大數(shù)據(jù)的復雜性、物聯(lián)網(wǎng)的海量性。對于安全項目管理來說，單一的漏洞或者攻擊都無法顯示企業(yè)實際中存在的問題。同時，各大安全廠商推出的各種SOC確實有一定的項目管理作用如啟明星辰的泰合SOC3.0，同時安全廠商為各自的用戶（電信、移動、聯(lián)通等運營商和部分企業(yè)）提供了眾多的項目管理流程、方案、決策、實踐等等。

4、合規(guī)

? ? ?安全配置核查合規(guī)性是企業(yè)保護數(shù)字資產(chǎn)的重要依托，但確保IT流程符合安全規(guī)范卻是企業(yè)IT部門的巨大負擔。安全檢查過程達到自動化、標準化、持續(xù)化、可視化。它可以大大提高檢查結(jié)果的準確性和合規(guī)性，用以在企業(yè)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級檢查）、日常安全檢查和安全服務(wù)任務(wù)中，協(xié)助查找設(shè)備在安全配置中存在的差距，并與安全整改與安全建設(shè)相結(jié)合，提升各類業(yè)務(wù)系統(tǒng)的安全防護能力和達到整體合規(guī)要求.

0x02 解決思路

? ? 經(jīng)過一番研究，如果要解決這四個問題，重點在于重構(gòu)信息安全結(jié)構(gòu)。企業(yè)需要搭建一個可以融合安全硬件、軟件且在不同網(wǎng)絡(luò)分段能夠進行溝通的架構(gòu)，應(yīng)對來自云到IoT的不同平面的威脅與攻擊的無縫與全面的防御。

? ? ?云計算是企業(yè)網(wǎng)絡(luò)的延伸，需要被特別關(guān)注。企業(yè)應(yīng)該部署一個覆蓋整個網(wǎng)絡(luò)的安全檢測和管理策略，以洞悉網(wǎng)絡(luò)中數(shù)據(jù)的流動，而無論是私有化部署還是公共云，傳統(tǒng)IT架構(gòu)還是云架構(gòu)，有線還是無線接入。
? ? ?為了有效的應(yīng)對APT攻擊，企業(yè)的安全部署需要超越傳統(tǒng)的防火墻邊界，甚至超越傳統(tǒng)的多層防御措施。一個有效的APT防御框架最好在防火墻的內(nèi)部進行有效的隔離，其可以限制惡意程序從網(wǎng)絡(luò)之間流竄。當防火墻與實時、智能的威脅檢測方案(如沙盒和終端安全解決方案)結(jié)合時，APT攻擊就可以被及時的檢測并隔離。
? ? ?檢測APT攻擊的另一個方法是通過優(yōu)秀的全網(wǎng)流量捕捉日志機制——內(nèi)外結(jié)合——分析日志來實現(xiàn)。因此，一個能夠迅速對威脅進行預警，跨設(shè)備、用戶、內(nèi)容和數(shù)據(jù)，并且洞察網(wǎng)絡(luò)流量的安全模式將會非常實用。
? ? 此外，這樣的安全架構(gòu)可用于單一的合作政策，通過記錄每一次進程而不是多次進程來優(yōu)化記錄過程。這樣，記錄進程分析就變得更加簡單，可以幫助企業(yè)洞悉網(wǎng)絡(luò)流量的規(guī)律，并發(fā)現(xiàn)真正的威脅。
? ? ?在合規(guī)方面，信息安全人員遵循了某一種特定的方法(例如PCI , ISO27001/2 , NIST網(wǎng)絡(luò)安全架構(gòu))來減少網(wǎng)絡(luò)風險。理想的安全架構(gòu)應(yīng)該允許所有部署中的防火墻提供更完善的合規(guī)性狀態(tài)，以及安全成熟度評估，這有助于幫助 信息安全人員發(fā)現(xiàn)網(wǎng)絡(luò)安全的薄弱所在，并且采取相應(yīng)的措施來進行彌補。

? ?信息安全人員需要掌握什么用戶在什么時候連接到企業(yè)網(wǎng)絡(luò)，是理解企業(yè)安全態(tài)勢的關(guān)鍵。一個完善的安全架構(gòu)會幫助IT人員管理全部網(wǎng)絡(luò)資產(chǎn)，設(shè)定安全目標，然后審核所有節(jié)點上的安全政策。

歡迎大家分享更好的思路，熱切期待^^_^^ !

總結(jié)

以上是生活随笔為你收集整理的浅析安全架构中遇到的问题的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。