这里的企业安全主要还是针对传统的企业安全。
企业安全建设是企业发展的必要任务,它会伴随业务发展的整个生命周期,并且它的必要性在业务发展壮大之后显得尤为突出。
特别是对于现在而言的快速发展的企业越来越多,比如说现在的互联网的行业客户,还有就是大量高密集形高智力的客户群体,比如说部分的科技企业在发展的过程之中遇到的问题,互联网行业的.........
我们的企业,在创业初期一般都不太会考虑安全建设。当公司发展到一定规模,业务线扩张,公司营收激增以至于被黑客觊觎的时候,公司领导者开始关注和重视安全,这是常态,它是由安全本身的属性决定的。当我们开始重视安全,试图着手做点什么的时候。
安全属性的本身决定了组织关系的存在状态,注意这里是组织关系的形态的问题,目前来看的话,不如说基层的管理人员扛着很大的压力,但是目前的没有太大的效果,高层的管理人员又不重视安全带来的实际的产出。
企业安全建设是保障业务正常运行,保护用户数据不被窃取,保全企业资产的首要任务。
做安全建设一定是围绕:业务、用户、企业这三个方面来进行的。
——安全建设的本质上来看的话,是围绕着业务的进行来着,其中的主要的业务的用户的,,,,但是在大多数的企业之中是围绕着用户技术来进行设计师是安全设计的基础。
抗击DDoS对于大多数公司来说都是一件特别奢侈的事情。过去的十几年,大多数公司可能会选择购买ADS设备,而现在有一部分公司会选择云上的解决方案。有点类似于购买保险,我们不确定一年会不会遭受一次DDoS攻击,但是如果遭受一次DDoS攻击给公司带来的损伤可能是灾难性的,所以我们需要抗DDoS。(部分区域的抗DDOS 的产品是不一样,在很多的区域其中的没有太多的需求的.....所以存在这样的一种解决的方案,或者说安全保险,)
相对于抗DDoS来说反入侵的工作就十分复杂了。首先,需要在网络层部署防火墙防护,其次需要在主机层部署入侵检测和防病毒。另外,还需要对网站的做定期测试和扫描。最后,网络服务器、数据库服务器、中间层等软件版本需要及时地更新和打补丁,做到以上这些才能抵抗得住一般程度的脚本小子(脚本小子:指的是并没有太多的计算机和网络知识,只是能拿已经公开的漏洞利用工具或高度集成的自动化扫描工具进行攻击的人)。
(相对来说安全始终是失衡的状态,为什么是失衡的状态,因为目前来看的话,安全建设始终是短板的问题,安全攻击始终是点的问题,所以现在来看的话,防护是面的问题) 只是使用高度自动化集中工具,就可以实现其中的攻击的方法与手段的,这种简单的脚本小子是可以做的事情。
一般来说,互联网公司主要的盈利来源就是用户,用户在体验业务时不可避免地会将自己的隐私数据上传到服务器,而公司也有义务保护用户的数据不被外部窃取。一些国内外非常知名的互联网公司曾经因为不慎泄漏的用户数据而面临几近破产的窘境。所以,保护用户数据是一件大事。(因为在上一个话题中已经提到了防止入侵,这里就不再赘述。)除了防止入侵之外,还需要防止内部人员买卖,还需要防止误操作等等情况的发生。
在传统的企业之中的,对用户的数据的保护,没有得到本质的安全防护,在传统的企业之中有这用户数据防护的概念主要集中在金融行业,公共行业,其它的政府行业,针对传统企业的数据安全防护。
首先,我们看如何防止内部人员买卖。如果把用户数据从用户的客户端提交,到服务器逻辑处理,最后到储存在数据库中比做一条河流的话,这条河流所有流域都会覆盖相应的业务人员,这些人员就是审计的重点对象。另外用户数据必须加密,而且加密和存储应当由不同的人员来担任。在存储的工作上应当特别谨慎,这也是数据泄漏事件中最经常出问题的环节,数据的读取权限最理想的情况应该只分配给机器而不是人,因为人员会流动,从人性角度来看这个问题就变得相对不可控。所以一般在现在的传统的企业内部,数据内部的保护集中在数据防篡改服务上。
再来看一下如何防止误操作,“delete * from very_important where id=1 or 1=1”、“rm –rf /”等等这样的误操作我们先不去看背后是否有其他神秘力量驱使,假设真的是无知的运维或开发人员误操作带来的毁灭性灾难,我们应当如何防御。首先,数据库和重要的文件应当备份,这句话尽管大多数开发运维人员都谙熟于心,但是却鲜有人会去真的这样操作,不然也就不会有这么多“删库跑路”的事件发生了。所以,需要有相应的制度保证,并且需要有效监控。另外,划分清楚人员权限也可以在很大程度上避免此类事件,能够拥有“delete” 和 “rm”的角色我认为不应该是实习生,应该是企业内较少数的一部分人,拥有更高的权限意味着拥有更大的责任,一旦悲剧事件发生,必须要追查到底,而不是每次都找一个实习生来承担一切。对于托管在云平台的业务来说,定期保存镜像也是一个不错的选择,建议保存两份镜像并分两个服务器存放,毕竟我们不能总“把鸡蛋放在同一个篮子里”。
所以对于绝大多数的传统的的企业进行安全建设来看的话,主要还是集中在运维人员对数据的操作上面进行,在我们的实际的操作的过程之中我们发现,运维人员的误操作甚至可以带来灾难性的灾难,自己亲自经历的事件,呜呜。年少无知时,之前在一家单位进行工作的过之中,当时是5000+用户进行相关系统在线使用。一个UDATE USER NAME,所有的用户名被“篡改”了。 我相信大家还记得,“删库跑路”事件,在“携程不眠夜”……不是所有的企业都是能够有这样的实力可以进行承担的业务后果的,这一点自己的要真正的知道。
所以在我看来的话,比较好的就是通过云服务,可以进行云端的备份工作,这样看来还是比较地安全,当然在云端也需要进行相关的镜像的操作。传统的服务,这可以说是传统的安全建设过渡性性方案
企业是以盈利为目的的,企业的资产是企业得以维持的物质支柱。举个例子,有些企业的服务器存在某种通用型的漏洞被黑客攻击以后用来挖矿,管理者在不知情的情况下误以为服务器资源紧张,进行了扩容。由于平行扩容,服务器配置不变,运行的实例不变,还是存在一样的漏洞,这批服务器又被黑客拿下,继续挖矿。这样就相当于抱薪救火,薪不尽火不灭。服务器作为企业的资产需要被保护,而保护的方式就是反入侵,而反入侵的首要任务就是发现入侵。还有一些企业深受羊毛党的迫害,每年的利润有一大半都贡献给了薅羊毛的人,这就需要维护我们的业务安全,维护业务安全需要依靠一些成熟的安全产品,当然更需要我们的程序员写出逻辑严谨的代码,因为十几行存在逻辑漏洞的代码所导致的支付漏洞可以在一夜之间让这个企业彻底破产。现在流行的门罗币挖矿形似,在普通程序员甚至是高中生之中都非常地流行。关于支付漏洞的问题,我们可以这样的看到,在滴滴出行在刚出来的时候是是被撸羊毛的,还有很多高价值的交易类型的网站,都存在这样的问题。
有很多企业的领导者都存在一个认识上的误区,他们认为安全像某币一样是一个炒作出来的概念,认为这个世界上有一批黑客,他们中一部分人专门研究漏洞,公开新的漏洞,另一部分人创办了安全公司,声称能帮助企业减缓和防御漏洞来挣钱。还有一部分人,去直接通过漏洞来挣钱。
内地的很多客户就是这样的一个状态,认为安全是一个炒作起来的概念,甚至的不放心厂商的状态的内容,这就是不对的,为什么呢,因为不放心所在在安全建设上奏了很多的弯路,比如不放心,不让进行安全建设的规划,甚至不愿意开放自己的资产清单给自己的客户,这一点来看的话,多数的客户还是没有看到安全的价值。
什么叫做安全建设,每个人理解都不一样,现在是这样,未来5年,10年可能是其它,剩下的就交给大家了。
更多安全问题,请咨询 麓谷男孩 微信:894510791
网友评论