微信公众号: 网络安全生命周期

近日开通了个人维护的微信公众号: Security_SDL (网络安全生命周期),

主要分享甲方(企业)网络安全体系建设、SDL(安全开发生命周期、安全流程)方面的文章。欢迎关注,共同探讨企业网络安全体系建设~

网络安全生命周期
网络安全生命周期

部分文章目录:

[图文]保护用户口令的最高境界?

[图文]发现漏洞后怎么办?

[图文]2016,再看云安全

[图文]甲方安全都有哪些黑科技?

[图文]一个SQL Injection漏洞在SDL流程中的闯关历险记

[图文]快播前车之鉴与主动政策风险规避

[图文]“回顾你和微信的故事”劫持测试

[图文]安全开发生命周期(2)-如何实施和推行SDL?

[图文]安全开发生命周期(1)-从源头解决安全问题的SDL简介

[图文]域名数字证书安全漫谈(4)-假冒证书、DNS劫持、钓鱼攻击

[图文]域名数字证书安全漫谈(3)-您被证书服务机构忽悠了吗?

[图文]域名数字证书安全漫谈(2)-签名哈希算法与证书伪造

[图文]域名数字证书安全漫谈(1)-证书长什么样子?

[图文]企业网络安全体系建设(2): 安全组织

[图文]企业网络安全体系建设(1): 依法治国

[图文]如何给自己设个简单好记但又超级安全的口令?

[图文]另类识图猜字,新年猜图识字揭秘

[图文0]口令要消失了吗?指纹认证的普及还需要解决什么问题?

[图文1]互联网安全防御之WAF (Web应用防火墙) 实现方案分享

[图文2]安全架构师应当具备什么能力?

[图文4]企业为什么要建设网络安全体系

[图文]我为什么要使用弱口令?兼谈对用户口令的保护措施

 

密码生成器

还记得本月初的报道《11岁女孩用Diceware制高强度密码,每个2美元》吗?

dicegirl

一个来自纽约的11岁的女孩Mira Modi凭借对互联网与密码学高度的敏感性,使用掷骰子的方式并查找DiceWare密码表来生成密码,以每个2美元的价格进行销售。
操作方法是掷六个面的骰子来随机生成数字,数字会对应一串字符。这些字合并成一个无意义的字符串([email protected]@ssw0rd),因为是随机的所以非常难破解。不过这个口令对人们来说又很容易记住。
每次订单一来,Modi就用 Diceware 口令生成强化密码,然后在相应的Diceware字符单上找到对应的字符。她亲手把字符串写在纸上然后寄给顾客。业务好的时候她一直忙的话,每小时可以赚12美元,这比纽约市8.75美元/小时的最低工资标准高出1/3。
Diceware为何有较高的安全性?密码破译专家Micah Lee表示,Diceware生成密码的安全性是非常高的。就像每掷一次骰子的数字不同,对应的字符也非常随机。在密码学里有一个“熵值”的概念,可以简单粗暴地理解为随机性。即你设置的密码熵值越高,密码的随机性就越高,那么你的密码的安全性就越高。但是从现实情况来看,用户自行设计的密码很难有较高的随机性。调查显示,人的大脑更倾向于选择常用的成语或语法。放到密码里来说,可能你在设置密码时会不自觉地按照正文开头里写的那样找到规律的字符排列,便于记忆。然而这边降低了密码的随机性,也提高了黑客攻破的风险。
正如Edward Snowden在他写给Laura Poitras的第一份邮件中提到:“请确认没人复制过你的私人秘钥,它的功能相当于口令。哪怕你的对手可以在一秒钟里猜一万亿组密码。”

现在这一掷骰子生成密码的方式,已有在线的方式实现:

密码生成器 ,地址: http://saas.janusec.com/password/generator

它支持以诗词或掷骰子的方式来生成密码,当不输入任何内容时,会选择掷骰子的方式来生成,生成的密码举例:

  • [email protected]
  • [email protected]

当输入为诗词时,则自动提取诗词中的中文数字、拼音首字母,组合成一个高强度的密码。只需要记住这句诗词,即可轻易的输入这个密码。

(让密码满足强度要求,又变得有意义、有趣、好记!)

生成的密码举例:

  • 娉娉袅袅十三余,豆蔻梢头二月初。(Ppnn13yDkstFeb.c)
  • 飞流直下三千尺,疑似银河落九天。(Flzx3000cY4yhl9t)
  • 池上碧苔三四点,叶底黄鹂一两声。(Csbt34.Ydhl12s)
  • 一道残阳铺水中,半江瑟瑟半江红。(1dcypsz1/2jss1/2jh)
  • 停车坐爱枫林晚,霜叶红于二月花。([email protected]
  • 竹外桃花三两枝,春江水暖鸭先知。(Zwth32zCjsnyxz)
  • 毕竟西湖六月中,风光不与四时同。(BjxhJun.zFg!y4st)
  • 白发三千丈,缘愁似个长。(Bf3000zYc4gc)
  • 锄禾日当午,汗滴禾下土。(Chrd5Hdhxt)
  • 春眠不觉晓,处处闻啼鸟。(Cm!jxCcwtn)
  • 离离原上草,一岁一枯荣。(Llysc1s1kr)

推行SDL的传统做法与使用SDL SaaS服务的对比

安全组织方面,传统SDL需要建立项目管理、安全管理、安全架构、评审资源池等组织或部门;而SDL SaaS服务可以不用建立专职的项目管理、安全管理或其它流程化组织。
安全人员方面,传统SDL需要较多专职安全专业人员;而SDL SaaS服务没有专职安全人员也能开始使用(当然有安全专业人员更好),团队成员兼职投入。
安全流程方面,传统SDL自建项目管理平台;而SDL SaaS服务直接通过浏览器访问在线服务。
安全交付件方面,传统SDL需要单独拟制设计规范/开发规范/部署规范,并输出Checklist等交付件模板;而SDL SaaS服务直接以在线Checklist形式提供,在线保存检查结果,不使用附件和模板以提高效率。
推行成本方面,传统SDL昂贵(顾问费/员工人力资源投入/IT基础设施建设与维护) ;而SDL SaaS服务基本服务免费提供。

提供SDL SaaS服务是降低SDL实施门槛、推广SDL的必经之路

微软SDL水土不服,国产SDL走向何方?》中提到了SDL在国内难以推广的尴尬局面。

Janusec的安全研究员分析认为,造成SDL(安全开发周期)推广难的主要原因有:
首先,缺少专业的安全人员。SDL是一项系统性的工程,其推广和落地,在安全需求、安全设计、方案评审与风险评估、安全测试、安全部署各个环节均离不开安全人员的参与,均高度依赖于安全人员的专业水平。SDL的众多活动环节,需要不同的安全专业人员进行把关,而且需要建立相应的策略、标准、规范、模板或Checklist,以及建立相应的组织,明确角色和职责分工,这是一项比较浩大的工程。大型公司有较大的财力,能够聚集一批安全人才,逐步建立起适应各自业务的SDL体系;但中小公司往往聚焦在业务上,没有太多精力关注安全,也没有招募大批安全人才的意愿,难以建立起一个满足SDL基本要求的团队。SDL这套体系本身,也只有亲自实践过SDL的安全人员,才能有比较深的理解和体会。缺少这类人才,实施SDL的这道门槛就难以跨越过去。

其次,实施及运维成本太高。SDL的相关咨询服务,以及相关IT产品(包括项目管理类产品、IT服务管理类产品、SOC或安全应急响应类产品)的引入、改进、实施、运维,均需要较高的成本,以及维持团队的日常运作,对于中小型公司来说不是一笔小数目。

因此,要降低推广SDL的难度,就要降低对专业安全人员的过度依赖、降低实施的成本。Janusec认为,提供SDL SaaS(软件即服务,即直接提供基于SDL的在线安全开发周期管理平台)服务是降低SDL实施门槛、推广SDL的必经之路。使用SDL SaaS服务之后,可以降低对专业安全人员的依赖,也节省了采购SDL咨询服务,以及项目管理、IT服务管理等产品的费用。

鉴于此,Janusec决定简化SDL并提供免费的SDL SaaS服务,将”专业安全人员”这个角色和实施SDL所需的相关IT产品转移到SaaS服务提供方,直接提供安全最佳实践,以在线Checklist的形式提供,在流程中,直接创建本阶段对应的安全任务,使用Checklist自检 + 复核/风险评估 的模式,大幅降低安全落地的难度。它源于SDL(安全开发周期)方法论,但又不拘泥于SDL的限制,将它和国际/国内巨头公司的项目管理实践结合起来,从源头开始进行安全控制,通过规范的项目管理过程和关键任务的引入,确保开发设计及部署过程中遵从安全最佳实践,保障所交付产品在全生命周期过程中的安全性。

附件:
提供SDL SaaS服务是降低SDL实施门槛、推广SDL的必经之路

令狐冲的SDL(安全开发周期)引进手记

【事件背景】
话说令狐冲所在的华山剑派的信息技术部,最近又出事了!
原来,他所在的开发团队发布的一款名为“华山剑谱”的手机App被人发现含有木马,经过了解,原因是开发工具不是官方正版的,而是从网上下载了一个被植入木马的Xcode修改版。这谁能想到啊!
而就在前不久,“华山剑谱文化推广”网站也被入侵了好几次,内部电子资料被黑客悉数拿走,甚至连来网站购买纪念品的全部用户隐私资料也泄露了,这些资料包括姓名、手机号、地址等,如果被用于诈骗,那后果严重去了。
老大岳不群很生气,责成令狐冲想办法,不能再出事了!!!
能怎么办?
咱们华山派可不像少X派那么有钱,没办法花几百万去买个咨询服务帮忙规划一下,再花上几千万购买他们建议的设备、软件,还有每年的维护费也得几百万呢。招聘几个安全专家?令狐冲打算算一下可能需要多少钱,等等!老大会批安全预算?还是算了吧。令狐冲本想去找岳不群聊一下钱的问题,可按照对老大一贯的了解,又止步了,他没去都能想到答案:你们自己想办法搞定!因为前年购置办公设备的费用也是砍了又砍,最后购买的低配电脑,现在都卡成翔了!
没有专业的安全人员帮忙把关,只能自己学习摸索,照着开发教程做的开发,后来发现坑太多了,每发生一次入侵事件,就能发现一个或几个坑(不安全的编码),后面继续开发的时候,就提醒自己记得绕过这些坑。有时候遗忘了,这些坑还没有排查,新版本已经发布出去了。不断的有一些新的坑被发现,或者是老的坑没有检查又被人挖出来,所以,网站还是经常被黑客光顾。

【寻找解决方案】
好在混迹江湖这么多年,朋友不少,其中不乏一些安全圈的,有的供职于知名互联网企业,也有的专职安全服务,就打算了解一下他们是怎么做的。一通电话下来,总算摸清了一些门道:
 小公司基本没有自己的安全人员,安全方面基本不考虑,漏洞只能发现一个解决一个,业务上都忙不过来,哪里会关注安全呢,跟咱们自己的情况很像。
 中等规模的公司有自己的安全人员帮忙把关,有一些基本的规范和不是很完善的流程,即使被发现漏洞,也基本能够得到及时处理。
 大公司都有自己的安全团队和一套体系化的方法论、IT系统和流程来支撑,有安全内控管理体系,有流程化的作业方式,有人负责管理策略、有人负责技术标准、有人负责流程、有人负责评审、还有人负责实施,分工协作,各司其职。
看来,中小公司的做法基本没有什么参考价值了。
问了大公司的朋友,我们能否效仿?
得到的回答是,你这规模太小,我们光维持这套流程体系的正常运转就有好几百人呢,而且所用到的系统还是公司自己开发的,公司有版权,这个是不能给你的;不过,你可以看看外面的安全服务,有些做的还不错。
安全服务是个什么鬼?经过一番了解,有一些专门对外提供安全服务的公司,有做渗透测试为主的(咨询为辅)、有做众包测试(就是一群白帽子黑客帮你测试)的,目前流行的是众包测试。令狐冲心动了,经熟人推荐,找到一家众包测试公司,并找老大申请到少量预算,体验了一番,结果还真的很给力,白帽子帮他找到了几十个高危漏洞并给出了改进建议。
看到这些报告,令狐冲安排信息技术组的几个人,按照建议(过滤输入等),很快把这些漏洞中的大部分堵上了。入侵事件目前看来是消停了。
过了一个月,又有新版本上线,上线之后,你猜怎么着?
没错,又被入侵了!经人指点,这次黑客使用的还是老漏洞,只不过,手法稍微变化了一点。真是防不胜防啊!令狐冲感叹道。

后来,令狐冲慢慢了解到:
 做好安全是一项系统化的工程,就算是业界知名的安全产品或安全解决方案,也都是只能解决某些针对性的问题;
 没有任何一款产品能够解决目前面临的所有安全问题,没有一劳永逸的解决方案;
 大公司都有一套自我完善的安全体系,攻击方式层出不穷,应对策略也应逐步适应、随机应变!
 令狐冲武功再高,也斗不过一支军队!靠个人英雄的时代已经过去了,需要逐步建立一套适应自己业务的安全体系,并不断的去完善它;
 原来大公司里面用的那一套体系,名字叫做SDL,它是Security Development Cycle(安全开发周期)的缩写,从源头开始进行安全控制,通过规范的项目管理过程和关键安全任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品的安全性。

原来,大公司的秘密武器就是这个叫做SDL的东东!
那么,我们这么小的团队,可以实施SDL吗,我们根本没有经验,也没有人熟悉这个领域。如果有现成的网站提供SDL SaaS服务,我们不就可以立即开始搭建我们自己的安全体系了吗。后来,一个朋友悄悄告诉他,有个叫做Janusec的公司提供了一个免费的SDL SaaS服务平台。

【SDL SaaS试用体验】
令狐冲按照朋友的指引,找到了这个SDL SaaS服务平台(http://saas.janusec.com )。
按照网站上的说明,这是一个以强化安全内控为特色的在线项目管理平台,它源于安全开发周期方法论和国际/国内巨头公司的项目管理实践,从源头开始进行安全控制,通过规范的项目管理过程和KCP任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品在全生命周期过程中的安全性。
令狐冲注册了一个账号,并且把小伙伴岳灵珊、任盈盈、仪琳,还有师母宁中则、老前辈风清扬、江湖朋友东方不败等都拉了进去,开始体验:
首先,建立起自己的产品团队:
myteam
创建了自己的项目(按照产品的版本进行立项,一个版本就是一个项目):
projectlist
首页看起来是这个样子:
front
特色简介:
feature
其实,令狐冲发现最主要的特色是在这里(自动添加关键任务):
projectinfo
点击打开项目详情,可以看到全部的KCP任务:
kcplist
令狐冲看到项目中已经自动添加了好多任务,都是以KCP开头的,这个KCP是个什么鬼?到该平台的术语中一查,原来KCP就是这个:关键控制点(Key Control Point),或关键检查点(Key Check Point),属流程中可选的重要任务节点,如果该节点未通过审核或者未正常完成,则不能进入下一阶段。
devcheck1
而且,针对客户端的自检项和针对Web的自检项还有点不一样:
devcheck2
“咦,第一条就跟最近的安全事件有关耶”,令狐冲一拍大腿,然后喊旁边的岳灵珊过来看。开发的小伙伴听到了,一起围过来。
令狐冲趁机向大家介绍了SDL安全开发周期与流程管控的机制:
设计阶段有安全设计自检,规避方案设计上的安全风险;
开发阶段有安全开发自检,提前发现代码问题与纠正;
测试阶段有安全测试自检,提供安全测试用例,通过这些用例,高危漏洞基本就排除掉了;
上线后,有安全部署自检,看看有哪些措施还没有做,执行一条就确认一条,不制造低级的错误,如弱口令、不该对外网开放的端口对外公开、使用root权限运行业务逻辑或应用中使用数据库root账号等。
deploycheck
自检之后,还有一个复核环节,让在安全方面有经验的人员复核,可以提前规避大多数问题、低级错误等。
令狐冲当即决定,以后我们也实行SDL了,把手上的几个项目管理起来。

【后记】
自从使用了这套SDL安全管控平台以后,安全上不再手忙脚乱了。令狐冲已经做到了心中有数、处变不惊。
虽然,偶尔仍有漏洞报告过来,但是频度和次数已经远远小于从前,不断改进优化,最近他们已经2个月没有收到漏洞报告了。
令狐冲终于不再被无休止的入侵、APP漏洞等事件烦扰,他终于又可以和小伙伴们一起愉快的玩耍了,什么冲灵剑法、辟邪鞭法、竹林弹琴等。

附件:
令狐冲的SDL(安全开发周期)引进手记

安全架构师应当具备什么能力

1安全技术基础
(1)常见的身份认证机制(密码、SSO、OAuth2、AD/LDAP、802.1x、RSA Token、证书/U-Key/Smart Card、Google Authenticator、生物认证等),以及与认证相关的CAPTCHA机制、锁定/防撞库机制;
(2)常见的授权与访问控制措施(强制访问控制、自主访问控制、RBAC等);
(3)常见加密算法、特点及适用场景、用法;
(4)熟悉数字签名机制、证书的用法、证书的合法验证、签名的验证;
(5)基本的编程能力,能够自行搭建并编写攻防Demo演示,熟悉防范高危漏洞的最佳实践,能够向开发设计及测试人员输出培训;
(6)具有常见安全要素的全局视图,安全技术方案应当包含哪些安全技术要素(或基本单元,如身份认证、授权与访问控制、密码技术、审计与取证、完整性防护、业务安全 等),以及该安全要素所处哪一层级;比如:基于802.1x的认证是属于网络层的身份认证。
(7)熟悉安全要素与安全产品的关系,熟悉业界主流安全产品基本功能、覆盖哪些安全要素、解决什么问题。

2安全基线与安全流程改进
(1)能够建立与完善所在组织的安全基线:安全标准、安全设计规范、安全部署/配置规范;
(2)配合网络安全管理体系的建设,能够推动将安全基线嵌入组织流程并落地,特别是项目管理流程 和 IT服务管理流程。

3安全基础设施的架构规划与项目管理能力
(1)能够规划并逐步建立/完善安全防御体系的基础设施(立体防御体系),以达成主要的安全目标,覆盖业务面临的主要风险;例如大多数公司需要防止入侵或被DDOS攻击;在一些涉密的单位,还需要防止文档泄密(实施DLP及员工网络行为审计等);大型涉密企业还需要基于大数据建模,进行业务日志的安全威胁分析,挖掘APT攻击线索。
(2)规划立项,执行项目管理,外购安全产品或自研安全产品,并实施上线,安全运营+持续改进。

4业务安全实践经验
不同的公司有不同的业务,针对典型的跟资金相关的业务,能否从设计上就形成完整的证据链,能够防篡改、防抵赖、防重放,避免错误交易。
在实践的过程中,不断反思并改进上述提到的各个部分(PDCA)。
大多安全架构人员的能力提升就是在持续的与各业务打交道的实践过程中提高的。

某旅行网业务瘫痪事件与BCM

【事件回放】
2015年5月28日11:09开始,某旅行网全线业务瘫痪,直到晚上23:29基本恢复,服务不可用持续12个多小时。
5月29日晨,仍有用户通过社交渠道反馈异常(已支付未找到订单等)。
期间关于此次安全事件的原因众说纷纭,这些可能性包括:不明攻击、离职人员报复、自动批量删除目录等,但这些说法都未得到官方的确认。

该旅行网官方微博在5月29日凌晨4:15发布消息:
5月29日1:30分,经技术排查,确认此次事件是由于员工错误操作导致。由于涉及的业务、应用及服务繁多,验证应用与服务之间的功能是否正常运行,花了较长时间。官方网站及APP已于28日23:29全面恢复正常。对用户造成的不便,再次深表歉意。

本次事件发生后,【如果生产环境业务不可用,如何快速的恢复业务】,成为摆在大家面前的现实问题。

【技术背景】
该旅行网主要业务基于Windows和.Net技术开发,是基于SOA架构(面向服务的架构)组成的服务器集群,由上千个应用子系统以及上千个Web Service组成,而应用子系统和每个Web Service之间存在着相互调用的依赖关系。

【事件总结】
该旅行网历史就曾经出现过影响较大的安全事件,如2014年3月22日,乌云安全漏洞平台公布了关于“某旅行网安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,包括持卡人姓名、身份证号、持卡类别、卡号、CVV码等信息存在泄露可能;就在此次事件的前几天(5月25日),主动忽略了乌云上报告的另一个漏洞。从历次对安全事件的处置,反映出其公司层面对信息安全工作没有给予足够的重视,内部安全管理、授权存在严重漏洞。

【反思与改进】
业界的安全事件同样为我们自己敲响警钟。
比如很多中小企业在以下领域均存在风险:

变更管理
变更缺少纪录,且多为增量变更,时间长了没有人能够记住,如果出现服务器被删除的情况,如果备份过程存在瑕疵,难以恢复;

业务连续性管理(BCM)
1.备份协议缺失,备份协议是记录备份文件明细、备份频度等的文件,上线前应由业务、项目组与运维共同确认,并基于备份协议的内容进行恢复演练。
2.备份与恢复演练:备份基本都会做,但是恢复演练几乎从来没有做,备份的数据可能存在遗漏重要文件(如配置文件)的情况或者备份不需要的无用的海量数据的情况,如果不能根据备份恢复系统,则属于无效备份。
3.容灾体系的建设,考虑如何才能抵御光缆被挖断的风险,抵御电力故障的风险,是否需要建设异地多活数据中心(多活表示多个数据中心同时使用,同时发挥作用,而不是冷备)或异地热备数据中心;备份介质是否需要离线备份,均需要进行评估。
4.缺少配置管理。应为机房、服务器、操作系统、中间件、应用建立CMDB配置管理库。

账号与权限管理
权限没有按照角色进行严格的区分,系统管理权限和数据库管理权限往往是同一个人掌握,且存在开发人员长期持有生产环境服务器权限的情况。系统上线后,应当回收开发人员的权限。用于问题定位时,可临时授权几个小时。

【关键词】
这次事件的关键词是 业务连续性管理(Business Continuity Management,BCM),是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。
BCM规划与实施包括:企业信息系统的基础数据(就是各IT组件的配置管理库,以及变更管理所带来的相应修改纪录,与生产环境保持一致)、应用系统与业务的灾难备份与恢复计划。

设计一款SQL注入漏洞扫描器,要考虑哪些因素?

在知乎上看到有人询问:设计一款SQL注入漏洞扫描器,要考虑哪些因素?

备份一下当时的回答:

我写过一个带SQL注入检测及利用的漏洞扫描器(可搜索WebCruiser Web Vulnerability Scanner,包含SQL注入扫描引擎和POC工具,使用WAVSEP v1.5进行测评的成绩是100%通过SQL注入/XSS/LFI/RFI/Redirect/Backup 测试用例,0误报),起初设想比较简单,但是做着做着就发现简单只存在于最初的设想中,概念中的设计只能覆盖最基本的场景。

首先,数据模型,一个SQL注入漏洞应该是一个SQL注入漏洞类的实例,它应该包含哪些字段,最初可以比较少,后面需要补充很多;SQL注入漏洞如何分类,比如有基于错误显示的,有基于联合查询的,有基于逻辑判断的,还有基于时间的等等;参数也有不同的类型;数据库的类型不同,则相应的语句也有不同。能建立起一个清晰易懂的模型,则第一步就算成功了。
早期的版本,包含已经泄露的源码版本(1.x 、 2.x )都没有很好的模型化,如果需要参考,可从网站下载最新的免费版本进行体验, 3.x版本经过了模型的重新设计。

其次,扫描引擎的设计,如何设计才能用最少的用例检测出最多的漏洞;是否支持各种参数的变化而不是代码中写死的那些,比如参数中的关键词替换、空格的各种替换形式、注释的各种变种、头部参数的替换等;还有适配各种不同的数据库类型;如何组合这些众多的可变的因素,仁者见仁智者见智。

做好这两点就差不多成功一半了,剩下的就靠慢慢迭代了。

WAF (Web Application Firewall) 实现方案

WAF,即Web Application Firewall(Web应用防火墙),是一种作用在Web服务器上的访问控制措施,是立体防御体系的组成部分和一种辅助性防御手段。

【基本功能】: 拦截黑客入侵行为,包括但不限于:SQL注入、跨站脚本、路径操纵、上传/利用网页木马等。

waf上图是笔者在借鉴业界多款WAF架构的基础上,在XX公司实施落地的WAF方案。

Agent(安全模块)采用嵌入Web服务器Nginx的WAF模块(基于ngx_lua定制);
WAFCenter设立统一的规则库更新接口,用于防御规则更新。
规则库更新服务器如果宕机,不影响安全模块继续按照之前获取的规则进行服务。

主要特点:

  • 统一Web化云端管理,可视化安全运营:以前不知道黑客攻击的情况(因为缺少数据),WAF上线后,已部署agent的应用可直观看到攻击情况;
  • 自动更新防御规则:定时检查WAF Center上的规则版本,发现新版本就立即更新检测规则,自动即时生效;
  • 拦截日志上报:将非法请求的详细信息上报给WAF Center;
  • 自动连续记录黑客攻击行为 + 自我改进完善:黑客在入侵尝试时一般会至少触发多条规则,只要触发一次,就连续记录其随后一段指定时间内的所有访问请求,可供人工分析改进。

网络安全管理体系之文件体系

笔者在负责互联网企业网络安全管理体系的建设过程中,将“依法治国”的理念贯穿始终,为网络安全立法、普法、执法。
纪录发布的部分文件清单:

01 【XXX-NS-M100】关于构建网络安全体系的宣言
以公司决议发起安全体系建设

02 【XXX-NS-M101】 网络安全管理策略总纲
公司网络安全体系建设的总原则,纲领性文件

03 【XXX-NS-M201】 网络安全奖惩管理规定
行为定级原则及奖励/处罚标准

04 【XXX-NS-M202】 员工网络安全管理规定
员工日常安全行为管理

05 【XXX-NS-T201】 网络安全技术标准与规范
开发设计过程中遵从的技术标准与规范

06 【XXX-NS-T211】 服务器安全配置规范
上线后实施的安全配置规范

07 【XXX-NS-M301】 网络安全风险评估指南
风险评估与定级

08 【XXX-NS-M302】 网络安全风险处置办法
风险处置与风险接受决策

09 【XXX-NS-M31X】 网络安全组织、职责及接口人
网络安全组织、职责
网络安全团队接口人
部门网络安全接口人
产品安全责任人公示

10 【XXX-NS-T301】 网络安全自检表
流程过程中的交付件模板

11 【XXX-NS-T302】 网络安全测试操作指导及测试用例
流程过程中的测试用例