0x01 简介
根据业务目前的是使用渠道,如:移动端(安卓,IOS),web端,微信等;不同的平台我们作出不同的业务安全措施,并根据业务的需求等信息作出一份详细的业务安全规划;其中的专业术语可查看附录。
0x02 规划思路
-
参考信息安全ISO27001标准,按照信息安全的三要素:“机密性”、“完整性”、“可靠性”;从业务的实际情况可分为业务流程安全,业务风险控制,业务技术安全,业务管理安全等几个维度入手;采用先进可行的技术手段和管理概念逐步完善一套全面,完整,有效的业务安全体系。
-
通过系统化的以上的几个维度,为业务提供强有力的支持和保障。
-
业务安全体系规划五原则,具体遵循以下思路:
- 分级保护原则(数据):根据业务数据的重要程度和影响大小等各类因素决定数据的安全保护级别:“核心数据”、“一级数据”、“二级数据”等,分级保护,合理投资。依据业务的情况自定义数据等级图
-
业务细分原则(功能):根据业务功能调用的频率等因素决定业务系统的安全保护级别:“核心系统”、“基础系统”等,分级保护,合理投资。依据业务的情况自定义系统等级图
-
内外并重原则(危害来源):根据威胁的来源对业务安全作出相应的防御规则和手段等,有效的进行管理和控制。依据业务情况建立内外威胁模型图
-
风险管理原则(逻辑):根据业务上的流程或者逻辑对业务进行相对应的安全行为分析机制,判断用户的是否为恶意用户或正常用户,使业务能安全流畅的运行。依据业务的架构建议风险控制架构图
-
相对安全原则(意识):根据不同人员或用户的安全意识作出相应的安全机制,策略,认证,审核等方面的防御,提高安全意识等;安全无小事,一个点的疏忽可能会造成整个系统或平台的崩盘。建立对应的规章制度,定期培训PPT等
-
考虑到业务在发展时期可能会随时的跟随需求而变更,所以我把业务安全大体分作四个模块进行:了解,测试,建设和积累;便于业务和新增业务功能的安全实施和操作,模块之间可相互结合,可分离,每个模块包含输入和产出,能快速的操作和实施适用于各种平台;具体可概括为以下:
-
了解模块
- 输入:网络层面:掌握业务的服务层次,网络拓扑图,传输方式,业务之间的调用方式等;应用层等:访问控制,身份认证和审核,数据加密方式,接口详细参数等;系统层面:使用语言,框架,系统和数据库等的配置和版本等。
- 产出:按照掌握的信息建立相应的业务安全威胁模型,并根据模型制定业务安全测试计划或SDL流程。
目标成果:全面熟悉业务能快速了解业务中存在的威胁,并建模。
-
测试模块
- 输入:根据威胁模型和业务安全测试计划或SDL流程,利用自身的安全技术对业务的每个步骤和数据接口等来进行整体化的安全测试(可分白盒测试,灰盒测试和黑盒测试)。
- 产出:业务安全测试报告。
目标效果:通过测试分析业务安全状态,能逐步完善业务安全规划重点,并进行防御。
-
建设模块
-
输入:根据业务安全测试报告的现状或者应急响应事件,建立相应的自动化和统一管理系统 。根据业务的架构,自定义业务安全设计架构图;
-
产出:自研的业务风险控制系统,大数据日志监控系统,应用层或数据层WAF,DDOS防御系统,云安全平台,漏洞工单系统,应急响应平台,移动自动化安全测试系统等产品(包含产品说明文档和接口文档)。
目标效果:提高工作效率,快速对安全事件做出处理,安全统一管理便于积累,分享,查看等操作,产生一定的效益。 -
积累模块
- 输入:通过自动化安全平台,漏洞工单系统,人工测试,互联网共享的安全信息知识进行收集和测试验证,后期的业务安全维护。
- 产出:将积累或整理出的安全知识制作成一套业务安全知识培训手册,公司业务安全规范或分享ppt等。
目标效果:提高和增加公司内部员工的安全意识和防范意识等。
-
0x03 实施周期和预期效果
实施操作优先级划分:
- 了解模块(根据业务的变动操作),周期:根据业务的框架,流程,功能,业务接口等来决定。
- 测试模块(属于阶段性操作模块),周期:根据的业务的渠道和功能进行决定。
- 积累模块(属于长期操作模块),周期:长期积累。
- 建设模块(属于长期操作模块),周期:长期操作和实施。
按照以上进行操作:
- 季度:可从上面讲述中的几个维度看到业务的整体安全方面上浮百分比,具体数据从测试报告或平台输出;
- 年度:可通过以上的流程进行review,年度可从测试的数据或者平台的数据,直观的看到每个业务的一个安全整体变化和走势。
- 自动化建设;周期:风险控制系统研发时间预计半年;效果:可防止恶意注册,刷单,羊毛党对业务造成的安全损失,价值根据平台的防御数据进行统计输出。
网友评论