主动、被动式安全防护网防护网的最终业主确认,应该安全口的人确认还是质量口的人确认,应该由谁签字,谢谢

来源:蜘蛛抓取(WebSpider) 时间:2018-08-04 18:30 标签: 被动式安全防护网

发布时间: 18:59:36来源:世纪经纬

1.系统工莋状况检查一般每年对活动边坡防护网系统的工作状况进行一次守时监测具体时间应根据当地的气候特征和落石

的主要原因确认。在干旱多雨的区域春季冻融循环和融雪或许是形成岩石掉落的主要原因,应在早春进行监测工作而在多雨的区

域,旱季大多是岩石掉落的原因所以请在旱季降临前检查。可是假定当地每十年发生一次大雨或暴风雨,一般在相应的时间内应

进行相关检查因为当这种反常氣候发生时,落石也或许比较会合


2.阻挡器的特征假定大块石头或沉积物使系统处于紧张状况,则柔性主动边坡防护网络系统将削减张力然后相应地削减防

护。它不能被完全阻遏应该将其检查修补。并且假定存在许多的沉积物,例如岩石砾石,土壤和落叶一方面,系统将处于张

紧状况并下降维护才调并构成一个弹性渠道,然后下降了有用运用系统的高度,也应考虑一般沉降当此累积高度逾越系统规划的

1/4高度时将其移除。该系统的结构几乎水平安装在顶层特别注意卸下阻遏器,因为阻遏器将以重力的直接效果方法出现在互聯

网上并且简略下降交通量,行人感到非常

3.主动校对会削弱对网络的维护钢丝绳和网格网络是边坡维护网络系统的重要组成部分,可鉯主动坚持灵活性但也简略遭

到直接冲击,所以为了维护网络免受边坡薄弱环节的影响假定在边坡防护钢网中发现三个网之间有两条折断的绳子,严峻影响了防

护网的维护效果可用于相同类型的钢丝绳刺进校对。

4.假定边坡防护网的损坏程度逾越上述状况则应考虑铺設新的铁丝网,而不是运用旧的假定边坡防护网损坏,当系统

防护区域内有小石头时应及时进行批改。假定内部边坡防护网损坏且无法修补应立即铺设新的防护网。

5.假定线圈分裂或严峻误解在维护的影响下,可以考虑运用相同的钢丝并制作一个钢圈进行校对。假萣环网在十多个当地

损坏则应考虑替换边坡防护网。作为柔性网的一部分在维护中,活动的柔性维护网不可避免地会遭到严峻压力的損坏


  当边坡坡顶塌滑区有荷载较大的高层建筑物时边坡防护工程安全等级应适当。一、施工为被动式安全防护网防护网施工质量,在施工前要求对人、机、料进行周密的安排布置严格控制进场原材料质量,现场施工技术人员特别是一线操作工人的技术水平1、人員组织。首先对所有参与施工的人员进行严格技术交底使其充分具体施工工艺,树立质量的意识组织以项目总工为主的技术培训会。使操作工人对棚洞框架结构型式等熟悉做到心中有数,使工人充分了解施工工艺做到施工中忙而不乱,现场施工在受控、有序进行其次严格作业值班制度。  柱间距可有为设计间距20%的缩短或加宽调整范围(2)基坑开挖(对覆盖层不厚的地方,当开挖至基岩而尚未达箌设计深度时则在基坑内的锚孔位置处钻凿锚杆孔,待锚杆基岩并注浆后才灌注上部基础砼)(3)预埋锚杆并灌注基础砼(对岩石基础,2、3工序应为钻凿锚杆孔和锚杆安装对砼基础。亦可在灌注基础砼后钻孔安装锚杆)(4)基座安装将基座套入地脚螺栓并用螺帽拧紧,(5)钢柱及上拉锚绳安装(6)侧拉锚绳的安装安装方法同上拉锚绳。只是在上拉锚绳安装好后进行(7)上支撑绳安装。(8)下支撑绳安裝(9)钢绳网的安装,(10)钢丝绳网格栅安装


  技术发展编辑,边坡治理是一项复杂防护网技术、施工困难的灾害工程随着高速公路建设事业的迅速发展,以及大型重点工程项目的日益增多边坡治理总是越来越突出,20世纪90年代压力注浆加固手段及框架锚固结构樾来越多地用于边坡处治,尤其是用于高边坡的处治防护工程中一种边坡的深层加固处治技术。能解决边坡的深层加固及稳定性问题達到边坡的目的因而是一种广泛应用前景的高边坡处治技术。可供采用的边坡加固措施很多有削坡减载技术、排水与截水措施、锚固措施、混凝土抗剪结构措施、支挡措施、压坡措施以及植物框格护坡、护面等。边坡治理工程中强调多措施综合治理的原则普洱被动式安铨防护网网主动防护网GPS2厂家


  ∮18侧拉锚绳(单绳)。◇/08/150/4*5㎡钢丝绳网∮8缝合绳,格栅网],主要功能编辑拦截撞击能750kj以内的落石,系统的柔性和拦截强度足以吸收和分散传递预计的落石冲击动能消能环的设计和采用使系统的抗冲击能力进一步。与刚性拦截和砌浆挡墙相比較改变了原有施工工艺,使工期和资金 产品用途适用于建筑设施旁有缓冲地带的高山峻岭被动式安全防护网防护网是由钢丝绳网、高強度铁丝格栅网、锚杆、工字钢柱、上下拉锚绳、消能环、底座及上下支撑绳等部件构成,系统由钢柱和钢绳网联结组合构成一个整体對所防护的区域形成坡面防护。

第二张表:每一个线上产品(服務)和交付团队(包括其主要负责人)的映射这张图实际就是缩水版的问题响应流程,是日常安全问题的窗口管理流程主要通过这些渠道去推动,一个安全团队的Leader通常需要对应于一个或若干产品的安全改进不过这里也要分一下权重,比如支撑公司主要营收的产品需要┅个主力小团队去负责其SDL全过程而边缘性的产品一个小团队可以并发承接好几个甚至10个以上的产品,粒度相对粗一点过滤主要的安全问題即可通常这样做符合风险管理方法论,很多成长中的业务出于起步阶段,没有庞大的用户群可能得不到公共职能部门的有力扶持,例如、安全等明日之星的业务完全可能被扼杀在摇篮里,这种时候对有责任心的安全团队来说如何带着VC的眼光选择性的投入是一件很囿意思的事在一个公司里是安全团队的话语权大还是支柱产品线的话语权大?当然是支柱产品等产品成长起来了再去补安全的课这种倳后诸葛亮的事情谁都会做,等业务成长起来后自己都能去建安全团队了不一定再需要公共安全团队的支持。锦上添花还是雪中送炭業务团队的这种感受最后也会反馈给安全团队。

第三张表:准确地说应该是第三类包括全网拓扑、各系统的逻辑架构图、物理部署图、各系统间的调用关系、服务治理结构、数据流关系等,这些图未必一开始就有现成的促成业务团队交付或者自己去调研都可以,以后的ㄖ常工作都需要这些基础材料如果运维有资产管理也需要关注一下。

到了这里是不是跃跃欲试想马上建立完整的安全体系了?估计有囚恨不得马上拿扫描器去扫一遍了别急,就像那首儿童歌曲唱的“葡萄成熟还早得很呐!”您现在的角色还是救火队长,离建设还早这跟您的能力和视野没关系,这是客观情况决定的一个安全没有大问题的公司通常也不会去找一个安全负责人。找安全负责人的公司意味着都有一堆安全问题亟待处理这里就引申出一个问题,一般情况下都是出了比较严重的安全问题才去招聘安全负责人和建立专职的咹全团队的就是说这些系统曾经被过,或现在正在被控制中没有人可以确定哪些是干净的,哪些是有问题的而您加入的时间点往往僦是安全一片空白还不确定是不是正在被人搞。有人说系统全部重装那您不如直接跟老板说全部系统下线,域名注销关门算了,那样孓显然是行不通的所以防御者不是时时处处都占上风。这个问题只能灰度处理逐步建立手段,尝试发现异常行为然后以类似灰度滚動升级的方式去做一轮线上系统的排查。

一开始的安全不能全线铺开而是要集中做好三件事,第一件是事前的安全基线不可能永远做倳后的救火队长,所以一定要从源头尽可能保证您到位后新上线的系统是安全的;第二件是建立事中的监控的能力各种多维度的入侵检測,做到有针对性的、及时的救火;第三件是做好事后的应急响应能力让应急的时间成本更短,溯源和根因分析的能力更强

一边熟悉業务,一边当救火队长一边筹建团队基本就是上任后的主要工作了。如果团队筹建得快这个阶段2~3个月就可以结束了,但以目前招聘相對难的状况来看可能需要4~6个月

二、不同阶段的安全建设重点

救火阶段过去之后会进入正式的安全建设期。第一个阶段是基础的安全建设这一期主要做生产网络和办公网络的的基础部分。也就是大中型企业对应的那些需求(当然也包括中小企业的那些)完成的标志:一方面是所提的那些点全都覆盖到了,另一方面是在实践上不落后于公司的整体技术步伐比如侧在用Puppet、SaltStack之类的工具实现了一定程度的自动囮,那您的安全措施也不好意思是纯手工的对不对如果产品团队交付已经在用持续集成了,那您是不是也至少提供个带点自动化的代码檢查工具而不是纯肉眼去Ctrl+F?这一部分其实是很多人眼中甲方安全的全部内容不过远不能止于此。如果这个场景切换到准生态级公司吔许要变化一下,直接向全线工具自动化看齐一开始就同步自研必要的工具。

以上算是解决了安全的温饱问题第二阶段就是要向更广嘚方向拓展。一是广义的以前是在忙于解决不被黑而抽不出身,现在安全相关的事情都要抓起来从只对接内部IT,和研发部门扩展到全公司跟安全相关的环节需要加入必要的流程,以前下线的硬盘不消磁的现在要重视起来了以前雇员可以随意披露公司的信息以后就不鈳以了,以前雇员离职的账号不回收的现在开始不可能了以前DBA可以给插条记录然后去电商上卖装备的,那种事从此开始要一刀切断诸洳此类的事情还有很多。其实这个时候您可以把ISO27001拿出来看看了二是业务安全,比如用户数据的之前安全只是作为保障而不是一种前台鈳见的竞争力,但现在安全需要封装起来对用户可见对产品竞争力负责,如果公司已经发展到一个很大的平台盗号问题都解决不了的,真的需要考虑一下自己的乌纱帽问题这一部分对安全圈人士而言可能并不高大上,可能没太多值得拿出来炫技的部分但是这些是务實的安全负责人需要考虑的问题,这些属于经营管理者视角下的一揽子安全问题如果这些问题不解决而去发明WAF发明HIDS去,尽管可以拿到安铨圈来发两篇文章炫耀一下但从职责上看属于本末倒置,直接影响公司营收的问题需要先解决之所以把业务安全放在第二阶段而不是詓优化安全基础架构是因为投入产出的边际成本,投在业务安全上这一部分产出会比较直观,对高层来说安全从第一阶段到第二阶段一矗是有明显可见的产出而如果此时选择去优化基础安全能力,这种产出受边际成本递增的影响效果会极其不确定,而这时候业务安全問题频发就会被倒逼至两难的境地,一则优化基础安全的工作做了一半一则又要考虑是否中途转去做点救火的事情,而安全产出是安铨团队对公司高层影响力的所在只有看到持续的产出才会影响力增加,才会有持续的投入尤其在老板不是技术出身的公司,他也许很難理解您去发明WAF的价值他只会问盗号这么严重怎么不解决。这个问题从工程师的视角和管理者的视角得出的结论可能完全不同安全对高层的影响力是安全团队在公司内发展壮大的基础,这是很多甲方安全团队之痛您可以对比一下自己所在的环境,安全团队的负责人对夶方向的把控上是不是做到了可持续发展好吧,这个问题有点尖锐

第三个阶段会感到开源工具不足以支撑业务规模,进入自研工具时玳其实做和研发安全产品完全是两码事,存在巨大的鸿沟如果拿做的团队直接去做安全工具开发,恐怕挫折会比较多即便有些研究員擅长做底层的东西,但对于高并发生产环境的工具而言还是有很大的门槛。另一方面做和做研发的思路也截然不同此时其实是在交付产品而不是在树立安全机制,所以要分拆团队另外招人。

第四个阶段安全能力对外开放,成为乙方不是所有的甲方安全团队都会經历这个阶段。不过最重要的区别是经营意识,成本意识运营,整体交付2B和2C的区别,线下最后一公里

这是一个在安全负责人的面試中经常被提及的问题,也是在现实生活中甲方团队天天面对的问题如果您不是正巧在面试,那怎么回答这个问题其实不重要

首先,嶊动安全策略必须是在组织中自上而下的先跟高层达成一致,形成共同语言对安全建设要付出的成本和收益形成基本认知,这个成本鈈只是安全团队的人力成本和所用的IDC资源还包括安全建设的管理成本,流程可能会变长发布链条会比过去更长,有些产品可能会停顿整改安全安全特性的开发可能会占用正常的功能迭代周期,可能会站起来说安全是束缚这些都是需要跟各产品线老大达成一致的,他們要认同做安全这件事的价值您也要尽可能的提供轻便的方法不影响业务的速度。在规模较大的公司只有自上而下的方式才能推得动,如果您反其道行之那估计安全团队多半在公司是没有地位的,顶多也就是在微博或者技术博客上有些外在的影响力往下攻略去影响囷SA/DBA的难度肯定比往上攻略去影响CXO/VPs的难度小,但如果一开始就选择一条好走的路实际对安全团队来说是不负责任的,作为团队领导您必须矗面困难否则安全团队就只能做些补洞、打杂、救火队长的事。

很多时候甲方安全团队思路受限的地方在于:总是把安全放在研发和的對立面上认为天生就是有冲突的。不信回顾一下开会时是不是经常有人对着研发和说“你们应该如何如何……应该这么做否则就会被黑……”诸如此类的都反映出意识形态中安全人员觉得研发就是脑残就是傻叉。其实换个角度您真的了解开发和吗,是不是找到个就心悝高高在上了您是在帮助他们解决问题,还是在指使他们听您行事如果您是产品研发的领头人,听到下面的对安全修改怨声载道会怎麼想建议是从现在开始不要再用“你们”这个词,而改用“我们”自此之后便会驱动您换位思考,感同身受真正成为助力业务的伙伴。其实有些问题处理的好真正让人感到您提的建议很专业,研发和人员不仅会接受而且会认为自己掌握了更好的编码技能或者安全配置技能而产生正向的驱动力。再通俗一点如果安全跟研发的人际关系是好的,提什么建议都能接受即如果认可您这个人,那么也认鈳您说的事;反之如果人际关系不好,那不管您提的对不对就是不愿意改,仅仅是迫于CTO的压力不得不改但心理还是有怨气,还是想茬代码里留个彩蛋利用高层的大棒去驱动可能是一种屡试不爽的技巧,但不是上策

安全策略的推动还依赖于安全建设的有效性,如果夶家都看到了安全策略的成效都认为是有意义的,那么会支持进一步推动安全策略在整个公司的覆盖率和覆盖维度;反之如果大家都覺得您只不过是在玩些救火的权宜之计,心理可能会觉得有点疲劳后续自然也不会很卖力帮您推,因为没有认同感所以安全的影响力昰不是完全依赖于高层的重视?有关系但也跟自己的表现有很大的关系。CTO肯定要平衡开发、、安全三者的关系不会一直倾向性为安全撐腰,而和研发的头肯定都是希望有一个强有力的做安全的外援在别人心中是不是符合需求且值得信赖这个只有自己去评估了。

至于程序员鼓励师姑且认为那是一种实施层面的权宜之计,同时反映出安全行业比较缺少既懂技术且情商又高的人

四、安全需要向业务妥协嗎

在安全行业5年以下的新人得到的灌输基本都是“安全不可或缺”,老兵们可能也有点“看破红尘”的味道觉得高层重不重视安全也就那么回事。对乙方来说高声呼吁安全的重要性哪怕是强调的有点过头也可以理解因为是赖以生存的利益相关者,靠它吃饭影响股价。洏对于甲方实际上要分几种,第一类认为安全压倒一切且心口一致。持有这类想法的实际又可以细分为两种人第一种对安全行业涉獵不深,还停留在原始的执念阶段第二种人的思想可以表达为“业务怎么样与我无关,只要不出安全问题业务死了都无所谓”,这两種从表象上看都属于第一类但本质上不同;而第二类人口头唱安全重要,但心里还是会妥协可见甲方安全团队是形形色色的。

撇开上述业界百态先看安全管理的本质是什么?安全的本质其实是风险管理绝对的安全可能吗,说绝对安全本身就是个笑话哪怕是Fireeye这样的公司也一样会被APT,原因是不对等防御者要防御所有的面,而攻击者只要攻破其中一个面的一个点就可以了公司几千人的客户端行为不昰安全管理员能决定和预测的。在所有的面上重兵布防可不可以理论上可以,但实际绝对做不到接近于绝对安全的系统是什么样的?盡可能的不提供服务提供服务也只提供最单调的数据交互模型,尽可能少的表现元素那样的话还是吗,还有用户体验可言吗而且安铨和成本永远要追求一个平衡。假设一个大中型公司的安全建设成本从0~60分需要1000万60~80分需要2000万,80~90分需要5000万90~95分需要2亿,这种边际成本递增是佷多公司无法承受的只能追求最佳ROI,虽然最佳ROI难以衡量但绝大多数人不会拿出收入的50%去投安全建设。

既然安全建设的本质是以一定的荿本追求最大的安全防护效果那一定是会有所妥协的。于是反过来揣摩一下那些说宁可业务死也要做安全的观点的初衷是什么呢也许您猜到了,怕担责任!因为业务死了安全团队不担责任他们可以说“您看安全不是没出问题嘛!”这固然是一种保护自己的方法,但是從公司的角度看这就有待商榷了安全本质还是为业务服务,如果业务死了即使安全做得再好也没价值,更准确一点说安全需要为业務量身定制,如果业务要轻装上阵给他重甲也不行,只能穿防弹背心安全做得过于重度都是不合适的。相对而言第二类人拥有更加积極的心态坚持原则又懂得给业务让路,只是要把握好分寸避免自己的好心被人利用,成为安全问题不整改的免责窗口那样就事与愿違了。

安全做得不称职的表现除了“无视业务死活”,还包括:用户体验大打折扣产品竞争力下降;公司内部流程大幅增加,严重影響工作效率;限制太多员工满意度严重下降人员流失;规章制度太多,以至于公司文化显得不近人情……这些都属于安全做过头的表现

有的人出发得太久,以至于忘了初衷是什么

那么哪些可以妥协,哪些必须坚守呢高危漏洞,有明显的利用场景不能妥协。重要的咹全特性比如公有云中的VPC,底层缺少一个安全特性直接会导致安全建设的上层建筑失去了“地基”,整个都不牢靠了这种还是要坚歭,可以不精致但必须有。

对于不痛不痒的漏洞以及待开发的安全功能,如果开发周期很长受众群体很少,使用该功能的用户比例極少边缘性产品,只影响某个中间版本到下个版本被其他机制完全取代了诸如此类的情况可以考虑酌情妥协。

妥协并非退让而是大局观,试想公司业务没有竞争力时做安全的一样面临窘境,无论如何都要看主营业务的脸色与其被动式安全防护网跟随不如快出半个身位。

妥协不应该发生在工程师层面而是应该在Leader和安全负责人这个层面。如果在安全工程师自己提的整改方案这个层面上自己主动开始妥协了,那后面很多事情就没法做了

五、选择在不同的维度做防御

攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一種如何选择性价比最高的手段是甲方安全从业者需要权衡的。

在纵深防御的概念中企业安全架构是层层设防层层过滤的,常见如果要利用成功需要突破几层限制所以退一步对防御者而言有选择在某一层或某几层去设防和封堵的便利,比如治本的方法当然是代码写对,治标的方法WAF过滤中间的方法SQL层过滤,从效果上说治本的方法固然最好但在现实中总归会遇到各种各样的问题而无法全部选择最安全嘚解,最后是退而求其次还是选择某一层或者某几层去防御,需要整体考虑比如如果在层面去解决无论是静态规则还是都需要对抗编碼的问题,不是解决这个问题ROI最佳的点但是在SQL层面,一切SQL语句都是真实的现实生活中唯一的问题只是您能不能在最佳的点上推动解决方案。

2、“一题多解”的场景

假如同一个问题有>1种解决方案可能会因场景不同而面临选择。比如对于SSH蠕虫的暴力破解您可以选择:1)使用证书;2)选择外部上关闭22端口,只通过堡垒机登录;3)修改SSHD监听非标准端口;4)修改sshd源代码对源限制只接受可信的客户端地址;5)使用类似fail2ban这样的工具或自己写脚本,或者所谓的HIPS的功能乍一看有的做法比较小众,有的则属于偏执狂式的1),2)5)属于大多数人都認同的普遍的做法,4)和5)看上去都比较小众有的人认为可能不适合用作生产网络,其实要看场景对于大型公司内部自用而言:4)和5)其实都成立,尽管偏离了业界标准但只要在公司内部的自治生态里做到“一刀切”就可以,业界普遍是SSHD跑在22端口您可以让公司内部嘚都跑在50022端口,只要公司内部的全都维持这个统一策略但是这个方案价值不大的地方在于这种信息不对称很容易被打破,您花了那么大仂气让们都去连50022端口了但攻击方很快就能知道,然后努力就白费了而对于开源软件的修改,如果基础架构研发比较强大、Nginx、SSHD、这些铨都可以是改过的私房菜,加点有意义的安全功能也未尝不可不过中小型公司不需要考虑这一点,自研毕竟是有门槛和成本的假如场景切换到公有云给租户用的环境,这样干就不合适了您还是应该提供跟业界兼容的标准环境,在标准环境之上提供额外的保护

对于涉忣跨时间维度的防护,典型的场景包括shellshock这样的公布时各厂商在第一时间分析评估影响,这种影响是多层面的不只是说可能拿到什么权限,还包括影响线上系统的哪些组件这些组件的实时在线要求,修复会不会导致关联服务不可用每一个修复的过程都是双方和时间赛跑,攻击者尽量在厂商没有修复之前寻找利用点并发动而厂商尽可能在没出POC时赶紧把洞补了。在这个时间窗口中甲方安全团队需要考慮的就是跨时间维度上的布防。出补丁之前是不是就干等不作为呢显然不是的,细心的人会发现老牌安全公司的通告的解决方案里通常嘟会有一条叫作“临时规避措施”,经验不足的团队是不会写上这条的修不了时可以采用一些治标的补救性措施,比如对有的页面做訪问控制只允许有限的src.ip访问,比如在前端的WAF/IPS设备上加规则过滤对应的恶意请求或者临时性的去掉一些权限,或者干脆关掉某些功能泹凡您想得到的通常总能找到临时规避方案,即便是有了补丁升级也不是立即完成的在大型生产网络里,全网打完一个补丁是需要不少時间的有可能一个礼拜都弄不完,而且修复过程中要考虑服务可用性需要使用灰度和滚动升级的方法比如修复前先把上的流量切换到備用节点,然后对做节点的打补丁打完再把流量切回去,然后对备用节点的打补丁……打完补丁后把临时防御措施再“回滚”掉(有价徝的保留核心设备上不建议留太多臃肿的规则),然后把特征加入全流量和主机IDS回顾整个时间轴的防护措施依次是:临时性规避措施—push补丁/根治措施—取消临时性措施—添加常态性的特征检测措施—检测到漏网之鱼—继续上述过程,这个过程离最佳实践实际上还差了一個环节对于一个修复是否需要上升层次的问题。

假如您遇到一个安全问题是这样的:vlan数目不够vxlan又不可用,提交问题后研发的反馈的方案A是如果要彻底修复则需要新增一个dhcpd的安全功能大约包含10000(loc)即1万行代码此时产品线又处于整体加班加点赶工大版本的状态,有人提出叻方案B做IP/MAC双向绑定的缓解性措施但这样的结果很可能是客户觉得太麻烦,而且配置一多容易出错此时您想到了一个折中的办法方案C:給大客户单独vlan,若干小客户共享一个vlan这样的好处是不需要太多成本,风险降低到可控客户可以接受。如果选择方案A是不是更好这个偠看,假如这1万行代码只是用来临时的解决这个问题显然ROI比较低,但是如果后续的版本本来就要加入这个功能不妨考虑一下。又如果後续版本不需要这个小众的功能研发心里其实本不打算去开发的,说不定下次告诉您说要2万行代码然后您到CTO那里也说不清风险到底多麼严重,就会陷入僵局风险缓解的原则是在以下三者之间做最大平衡:1)风险暴露程度;2)研发运维变更成本;3)用户体验的负面影响。

一个安全的修复如果研发说要开发一周另外一个方案是改一个配置,而您其实心里知道在WAF上加条规则就能过滤只不过您怕被绕过心裏对这个措施不是特别有底气。对于这个场景也不打算直接给出答案但通常情况下改产品的成本是最高的,成本最高的往往不容易推动推不动就无法落地,最后就是一堆安全问题

Size估计的方式来做项目。产品经理会对每一条需求评估上业务影响力的尺寸如:XXXL影响一千萬人以上或是可以占到上亿美金的市场,XXL影响百万用户或是占了千万金级别以上的市场后面还有XL、L、M、S,这样逐级减小开发团队也一樣,要评估投入的人员时间成本XXXL表示要干1年,XXL干半年XL干3个月,L干两个月M干一个月,S干两周以下等等。

当业务影响力是XL时间人員成本是S,这是最高优先级

当业务影响力是M,时间人员成本是M这是低优先级。

当业务影响力是S时间人员成本是XL,直接砍掉这个需求因为是亏的。

当业务影响力是XXL时间人员成本是XXL,需要简化需求把需求简化成XL,时间人员成本变成M以下

安全其实也类似,风險和修复成本去比较在坚守底线的基础上选择最优解。

综上所述大家可以发现最优解往往不一定是最安全的解,市场上乙方公司渗透測试报告中提的修复方案有些也是无法实施的很多批判企业安全做得不好的帽子们,有机会真应该到企业里体验一下企业安全岂是找洞补洞这么简单的事。

六、需要自己发明安全机制吗

首先解释一下发明安全机制这句话的意思安全机制包括:常见的对称和非对称,自帶的RBAC基于角色的访问控制自带的Netfilter,的基于appid隔离的机制kernel支持的DEP(数据段执行保护),以及各种ASLR(地址空间随机映射)各种安全函数、軟件的安全选项,这些都属于已经存在的安全机制注意用的词是“已经存在”,而这个话题是针对是不是要在已有的安全机制上再去发奣新的安全机制比如三星手机的KNOX,就是在基础上自己造了个轮子

2、企业安全建设中的需求

企业安全的日常工作是不是也会面临自己去發明安全机制的需求?会但是不常见。实际上在日常中发生的绝大多数问题都属于对现有安全机制的理解有误、没有启用或没有正确使用安全机制而导致的漏洞,而不是缺少安全机制所以绝大多数场景都不需要去发明安全机制。发明安全机制是需要成本的且需要有足够的自信,否则不健全的安全机制消耗了开发的人力又会引入新的安全问题但此话不绝对。

那什么情况下应该发明安全机制呢这其實非常考验判断者的技术实力。对于很多安全的修复是否要上升层次的问题首先要判断这是单个问题还是属于一类问题,如果是前者鼡救火的方式堵上这个洞就好,没必要再去考虑更多但假如这是一类问题,而您又没提出通杀这一类问题的手段就会永远处于救火之中疲于奔命。如果是一类问题分几种情况。第一种归入安全能力不足导致的安全问题这类问题不需要通过导入新机制解决,而是通过加强SDL的某些环节加强培训教育去解决。第二种情况则是属于在相应的领域还没有成熟的安全解决方案或者现有的安全机制对抗强度太弱则可以考虑自己去造轮子。

比如有一个函数存在整形溢出但只有在极特殊的情况下才能触发,平时开发过程中已经大量的使用了安全函数启用了编译的安全选项,除了给这个函数加一个条件判断修复这个bug外是不是还要考虑更进一层的防护呢大多数情况下显然是没必偠的,假如这是一个公共函数那您可以选择把修复后的代码封装成安全的API,避免其他程序员自己实现的时候发生同类问题

换个问题,洳果公司产品的某个私有协议总是被人频繁地解密和利用而这种解密对产品的影响又较大,假设就是游戏客户端跟服务端通信的指令都能被破解和仿冒那这种情况下就需要考虑是否更改或创建安全机制,即有没有必要通过实现更强的通信协议加密或提高客户端反调试的對抗等级来缓解这一问题

如果您说新建安全机制也是补洞的话,其实也没错就像DEP相对于用户态的程序而言是一种机制,而对于和体系結构而言是一个洞当您过于勤奋地在很微观的细节上补洞却总是补不完的时候,不妨停下来看看能否在更高更抽象的层次上打个补丁

咹全工程师如果要晋升为Leader很重要的一点就是对安全事件和安全漏洞的抽象能力,没有抽象就谈不上PDCA就意味着更高的管理者对安全KPI在您手仩能否改进不一定有信心。在纵深防御体系向中高阶段发展时实际上会比较多的遇到是否要创新安全机制的问题,但是这个场景大多数公司未必会遇到

SDL(安全开发生命周期)优化模型如图1所示。

SDL起源于微软2004年将SDL引入其内部软件开发流程中,目的是减少其软件中的数量囷降低其严重级别SDL侧重于长期维护、流程改进并能够帮助开发过程应对不断变化的威胁状况。早些年微软的产品安全问题比较多微软茬某一年甚至下令所有产品线开发计划停止半年,全部用于整顿安全问题起初SDL适用于传统的瀑布模型和螺旋式开发,到了2010年SDL增加了敏捷嘚部分改进用于应对下的开发,目前SDL的“全貌”如图2所示

基本软件安全培训应涵盖的基础概念如下所示。

安全设计包括以下主题:

威胁建模,包括以下主题:

威胁模型的设计意义

基于威胁模型的编码约束

安全编码包括以下主题:

缓冲区溢出(对于使用C和C++的应鼡程序)

整数错误(对于使用C和C++的应用程序)

跨站点脚本(对于托管代码和应用程序)

(对于托管代码和应用程序)

安全测试,包括以下主题:

安全测试与功能测试之间的区别

隐私敏感数据的类型

高级概念方面的培训包括但不限于以下方面:

高级安全设计和體系结构

实施自定义威胁缓解

先看这份培训列表。能把这些彻底讲明白的人其实还是资深工程师以上的人有人可能觉得说的夸张了,原因在于大部分公司的研发环境主要是有很多人能把、、这些讲清楚,但问题是这样就算SDL了么非也,当下热闹的安全大会各种讲的议題但这些离真正的产品安全设计还差很远,行业的普遍现状是能做能把修补原理说清楚,但很少有人能把安全架构设计非常体系化的講清楚很多人认为SDL在公司无法完全落地的原因是因为DevOps模式下的频繁交付导致SDL显得过于“厚重”,这只说对了一半根据大多数公司现行嘚模式,姑且就叫“驱动修改”吧

大多数甲方安全团队所做的工作实际上处于这个维度。通过对已知的攻击手段例如,等建立事前的咹全编码标准并在发布前做、和提出修补方案。这种模式的显著优点是针对性比较强直入主题,见效快

简单的流程+事件驱动型构成叻这种日常行为的本质,简单的流程通常包括:

事前基线:安全编码标准各公司内部范围流传的应用安全设计文档,这个文档的质量沝平通常可以差很远当然文档永远只是文档,可能就是开发部门不强制不考试800年都不看的东西

事中措施:,发布前过一轮扫描器+

事后机制:全流量IDS,日志分析等等。

事件驱动:发现了新的安全问题就“事后诸葛亮一把”做点补救性措施。

从整个过程看攻防驱动修改比较偏“事后”,相对于完整的SDL威胁建模等工作而言,它似乎不用发散精力投入太多就能覆盖已知的攻击点而且在研发侧鈈用面对比较大的“推动SDL落地的压力”

但是它的缺点也是显而易见的,由于过程方法论的施力点的比较偏事后所以在从源头上发现和改進问题的能力不足,弱于在产品内建的安全机制上建立纵深防御被绕过的可能性比较大,事后的bug率到一定程度就很难再改善只能通过鈈断的对抗升级去事后修补。笼统一点讲就是考虑不够系统性这跟当前安全行业缺少真正的安全架构设计人才有关,的声音铺天盖地哏国外比一下在设计和工程化方面差距不小。

事后修补是不是总是有效的缝缝补补的感觉您觉得会如何呢,对于公司的边缘性产品您可鉯希望它早日归入历史的尘埃而对于公司的支柱型产品您只能寄希望于某一个大版本更新时把某些机制推倒重新来过。

2、SDL落地率低的原洇

频繁的迭代和发布不同于传统的软件开发过程。如果一个软件要一年交付那么在前期抽出2~4周做安全设计也可以接受,但在互联网交付节奏下可能一周到一个月就要发布版本,您可能没有足够的时间去思考安全这件事对于SDL会拖慢整个发布节奏这个问题上,安全团队詓推动也会直面公司管理层和研发线的挑战不过当您有经验丰富的安全人员和自动化工具支持时,SDL在时间上是可以大大缩短的

99%的甲方咹全团队的工作都是以救火方式开始,SDL从来都不是安全建设第一个会想到的事情而且业内心照不宣的一个原因是,“事前用不上力偏倳后风格的安全建设”贯穿于大多数安全团队的主线。之所以如此原因是第一有火必救,有的团队救火上瘾有的则能抽身转向系统性建设;第二想在事前用力,需要自己足够强大能摆平研发,不够强大就会变成庸人自扰自讨没趣,还不如回避

大多数平台级公司的開发以为主,超大型公司才会进入底层架构造轮子的阶段而对于以产品为主的安全建设,第一是事后修补的成本比较低屡试不爽;第②是部分产品的生命周期不长,这两点一定程度上会让很多后加入安全行业的新同学认为“救火”=“安全建设”但是在甲方待久了的人┅定会发现,哪怕是只要系统比较大,层层嵌套和不同子系统间的接口调用会使得某些安全问题的修补成为疑难病症,可能就是设计の初没有考虑安全致使问题不能得到根治。时间一久技术债越积越多,大家最后一致默认这个问题没法解决

其实SDL是有门槛的,而且還不低最重要有两点:第一点是安全专家少,很多安全工作者懂但未必懂开发懂但未必懂设计,所以现实往往是很多安全团队能指导研发部门修复但可能没意识到其实缺少指导安全设计的积累,因为安全设计是一件比修复门槛更高的事看业内很多技术不错的安全研究者,写的文章往往前半篇分析很给力,但到了安全建议环节好像就觉得少了点什么第二点是工具支持少,静态代码扫描、动态Fuzz等笁欲善其事必先利其器,Facebook宣称其最好的是投入到工具开发的而对于国内很多安全团队而言,最好的人都不会用在工具开发上而是奋斗茬第一线做救火队长。稍微好一点的情况是这帮人投入在做安全机制建设上而业务部门也不会来帮助安全团队开发安全工具。这还跟公司整体上是否重视自动化测试有关如果公司在测试领域的实践没有做到很前沿,那么安全的黑白盒测试也不会注重工具化建设代码覆蓋率和路径深度等更加不会有人去关注了。实际上不一定要在这个场景下自己去造轮子用商业工具是不错的选择。

3、因地制宜的SDL实践

对於公司内研发的偏底层的大型软件迭代周期较长,对架构设计要求比较全面后期改动成本大,如果安全团队人手够的话这种场景应該尽量在事前切入,在立项设计阶段就应该进行安全设计和威胁建模等工作相比在事后贴狗皮膏药,这种事前的时间投入是值得的门檻主要还是人。

对于较大软件的“大版本”包括每个产品初始版本,还比如标杆产品的1.0到2.0类似这种里程碑式的版本发布修改和增加了佷多功能点,甚至修改了底层的通信协议这种也需要较完整的SDL,当然这种版本跳跃有时候只是对外的一种营销手段不一定是技术上的夶修改,这个就要看实际情况了

对于架构简单、开发周期短、交付时间要求比较紧的情况,显然完整的SDL就太重度了这个时候,攻防驱動修改就足以解决问题

其他的诸如小版本发布,技术上没有大的修改也没必要去跑全量SDL,否则就太教条和僵化了

4、SDL在互联网企业的發展

目前SDL在大部分不太差钱的企业属于形式上都有,但落地的部分会比较粗糙通常只有一两个环节。最主要的瓶颈还是人和工具的缺失以前企业只生产,驱动修改得以应付但是现在大型的企业不再只生产,而是会自己生产诸如分布式、浏览器、手机这样的大型软件單纯的驱动修改已经日渐乏力,没有足够的安全设计能力将无法应对未来的威胁因此推测以后的安全行业中,设计方面的人才会严重缺夨大部分甲方安全团队仍然游离在设计的大门之外,只有一些大型厂商正在借研究之名来做一些改进安全设计的工作期待这些大型厂商们能带一带团队,给这个行业培养一些生力军

SDL除了最早基于传统瀑布模型的版本,以及为DevOps优化的版本实际上在实践阶段还可以优化荿极速发布的版本,或者干脆不追求SDL而从其他的维度来弥补SDL不健全的问题其实现的本质是原来的SDL对研发流程的修改有点像“阻塞式IO模型”,而现在可以通过工具和技术手段使其变成“异步IO模型”

STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论吧它把外部威胁汾成6个维度来考察系统设计时存在的风险点,这6个维度首字母的缩写就是STRIDE分别为:Spoofing(假冒)、Tampering(篡改)、Repudiation(否认)、Information Disclosure(信息泄漏)、Denial of

STIRDE如哬使用?先画出数据流关系图(DFD)用图形方式表示系统DFD使用一组标准符号,其中包含四个元素:数据流、数据存储、进程和交互方对於威胁建模,另外增加了一个元素即信任边界。数据流表示通过网络连接、命名管道、消息队列、RPC通道等移动的数据数据存储表示文夲、文件、关系型数据库、非结构化数据等。进程指的是计算机运行的计算或程序然后对每一个节点元素和过程进行分析判断是否存在仩述6种威胁,并制定对应的风险缓解措施例如图3所示的情况。

图中①、②、③其实都存在假冒、篡改、的风险,所以在这些环节都需偠考虑认证、鉴权、加密、输入验证等安全措施但根据风险的不同,过程③在内网的被的风险较小而在Internet上传输的过程①所受到的监听囷篡改的风险更大,所以在每个环节上采取的风险削减措施的力度会不一样这实际上也是什么安全措施一定要落地、什么安全措施可以適当妥协的一个参考视角。很多安全从业者所接受的安全认知往往是进入一家企业后拿到一份名为应用开发安全标准的文档,里面描述叻访问控制、输入验证、编码过滤、认证鉴权、加密、日志等各种要求久而久之就变成了一种惯性思维,实际上之所以要这么做是因为茬系统设计的某个环节存在STRIDE中的一种或几种风险所以在那个设计关注点上要加入对应的安全措施,并不是在所有的地方都要套用全部的戓千篇一律的安全措施否则就会变成另外一种结果:“过度的安全设计”。威胁建模的成果跟工作者自身的知识也有很大的关系有经驗的人比较容易判断威胁的来源和利用场景,如果缺少这方面的认知可能会发现到处是风险,有些风险的利用场景很少或利用条件非常苛刻如果一味地强调风险削减措施也会变成有点纸上谈兵的味道,虽然从安全的角度没有错但从产品交付的整体视角看,安全还是做過头了

总体上看,STRIDE是一个不错的参考视角即便有丰富攻防经验的人也不能保证自己在面对复杂系统的安全设计时考虑是全面的,而STRIDE则囿助于风险识别的覆盖面

以上的例子是high level的威胁建模,low level的威胁建模需要画了时序图后根据具体的协议和数据交互进行更进一步的分析细節可以参考威胁建模相关的方法论,但不管是high level还是low level都比较依赖于分析者自身的攻防技能

1、重建对安全标准的认知

虽然标题用了ISO27001,但实际仩这里可以指代所有的安全标准和安全理论木桶理论安全界的人都知道,但用到实际工作中没太大用,说到底就是给外行解释安全这件事的一个通俗比喻而已业内有些声音认为安全标准堵不住,所以安全标准都是没用的“废物”这种论据显然是有问题的,首先安全標准的制定就不是为了堵所以安全标准跟没关系,完全两个层面的东西不能拿来说事,堵有具体的技术手段但安全建设并不只有堵這种微观对抗。

那安全标准到底有什么用用最通俗的语言解释一遍,安全标准归根结底是为了给您一个参考和指引当您把基础的技术防护手段实施之后,过了上任之初的救火阶段之后就需要停下来思考一下整个企业安全范畴中,哪些事情是短板哪些领域尚且空白,需要在哪些点上继续深挖才能覆盖公司整体的安全建设而安全标准的价值就是告诉您,在安全建设的领域里可能有那么100件事情是需要做嘚但具体选择只做80件还是99件还是100件全做是您自己的事情,它只告诉您100件事情是什么但是这100件事情怎么实现,对应的技术方案或流程是什么它不会告诉您实现和落地是需要自己去想的,它本质上是用于开拓视野跟堵不堵完全没冲突,可以买WAF也可以加固容器也可以像偏执狂一样地做。

对互联网公司而言有几个非常刚需的参考:

ITIL(BS15000/ISO20000)——绝大多数公司的流程都是以ITIL为骨架建立的,甚至连内部的管理平囼监控系统上都能一眼看出ITIL的特征。而偏侧的安全基础架构与,这部分的安全建设是以活动为主干在活动上添加安全环节来实现安铨管理的。所以想在侧建立安全流程必须熟悉ITIL把安全环节衔接到所有的发布、变更、配置、问题和事件管理之上,而不是打破原来既有嘚流程再去独创一个什么安全流程。

SDL——研发侧的安全管理绝大多数公司都借鉴了微软的SDL,即便是再有想法的甲方安全团队也离不開它所以无论如何必须掌握SDL。

ISO27001——企业安全管理领域的基础性安全标准所谓基础就是不能比这个更加精简了,您可以不碰那些高大仩的但是ISO 27001则相当于入门水准,就好像高等数学线性代数您可以不会但是如果您连9×9乘法表都背不出来,那只能永远呆在家里不出门了因为您连买10个苹果找您多少钱都算不来。ISO 27001总体上提供了一个框架性的认知

学习攻防技术和学习少数几个国际标准一点都不冲突,南向丠向都是人为划分的除非坐地画圈,否则完全不存在这种天然障碍一个优秀的甲方工程师就是应该系统化又熟悉技术细节的,没有视野的人绝对当不了CSO

方法论的作用是解决企业整体安全从30分走向50分的问题,这个阶段需要具备普适性的有助于改善基本面全方位提升的东覀但是到了中后期,这些就不太管用了如果您想从60分上升到80分,不能再依赖于方法论而是进入安全特性改进的贴身肉搏战状态,很哆竞争力也许只有几十条规则但是这些从表面上是看不出来的,只有依靠专业人士的技能和资源的集中投入才能有所产出

在传统安全領域一直是强调流程的,但是互联网行业有一点反流程甚至像Facebook这样的公司还表示除非万不得已否则不会新建一条流程来解决问题。那安铨建设到底要不要流程首先有流程肯定能解决问题,但流程化是不是最佳实践则不确定

于是先解决第一个问题:有没有可能没有流程,什么情况下可能很少或接近于没有流程假如公司的人很少,从工位上站起来就能看到全公司的人要发布版本吼一嗓子全员都能听到,这种情况下确实不需要什么流程不只是安全流程,其他的流程也没必要

如果组织比较大,单纯一个发布行为会涉及很多跨部门的人甚至地域上都是分布式的团队,参与活动的人员行为即便是都挂在公司内部的IM工具上一致性也无法保证那这个时候为了尽可能规避人犯错,就会制定一些流程随着组织越来越大,流程会越来越多并且流程大都不是“进取和开放”型的,而是“错误规避”型的整个組织的流程都会表现为在某个方向上高度优化,从而进入基因决定理论的影响范畴流程的制作者为了保护既有权益,大多会僵化执行流程开始走向自己的反面。作为安全负责人必须周期性地审视安全和IT治理的流程是不是太冗余了,是否可以精简一下或者在公司业务擴张、新建业务线的时候考虑一下原有的流程是否适用于新的领域。如果安全负责人对这些问题比较漠视要么对业务不敏感,要么自身提前进入不受激励的保乌纱帽状态了

流程是用来解决人容易犯错的问题,而不是用来解决机器犯错的问题如果把流程用于解决机器犯錯的问题那就会闹出笑话来。比如程序发布前需要有一个安全检查的环节,如果不约定流程很容易漏掉,这是在解决人步骤错误的问題但是10000台机器打同一个补丁,有9990台都打上了没问题剩下10台补丁有问题,这种问题应该通过技术手段解决而不是通过流程来解决,如哬让系统和程序返回人所期望的结果是技术需要解决的问题跟流程没关系,当然有人说跟程序的执行流程(routine)有关系是的此流程非彼鋶程。通过人为的流程来解决人的工作会越来越多,忙于救火之中不堪重负通过技术途径解决,组织的自动化程度会越来越高生产仂会越来越强,两条路最终会使团队走向两极分化选哪一极就看团队的基因了。在前面的例子中为了衡量流程的执行结果我们通常会引入一些技术的自动化手段来检测,例如被动式安全防护网式扫描有些开发和运维漏掉安全审计环节直接上线了,也能把这些程序的URL找箌抓下来扫当然它并不能替代流程本身的作用。

业务持续性管理(BCM)是一个较高层次的管理机制通常对应到公司层面,它使企业认识箌潜在的危机和相关影响制订响应、业务和连续性的恢复计划,其总体目标在于提高企业的风险防范能力有效地响应非计划的业务破壞并降低不良影响。网易、携程、支付宝先后发生大规模服务中断这个问题就是业务持续性管理的场景。

Strategy(恢复策略)实施以及测试囷演练都是很重要的环节。BIA的例子:如果的被拖库了对腾讯有什么影响如果被拖库了对阿里有什么影响?这两个问题可能有点极端再舉几个可能性更大一点的:如果公司官网遭受攻击,流量一度超过防御的最大值会有什么影响如果公司一个主站页面被挂了马会有什么影响?好像这些问题都比较头疼再举一个轻微一点的,如果一个客服的论坛账号被盗了会有什么影响尽管这个问题在入侵者那里可能會玩成蝴蝶效应,甚至变成APT但是一般情况下这个还是比之前的例子要轻微得多,不能getshell的话改一下口令就完事了。从这里也可以看出BIA跟基于资产权重的风险管理方法论类似跟威胁建模也有点异曲同工的味道,只不过威胁建模关注的是具体的系统而BIA关注的是公司的业务。

图4 BCM的生命周期

对于风控策略大多数人会想到DB审计,纵深防御OS防护应用层防止,部署WAF等这些东西原先放在安全体系里“貌似”完整,而如今放到BCM里一下子就不完整了为什么?显然您仍然没有回答上述问题:假如被拖库了怎么办有的人认为管理是无用的,BCM也无助于降低程序的安全率但是只会,只会堵洞显然也解决不了企业安全中的那许许多多问题这个问题很现实,作为安全负责人老板一定会問您假如被拖库了怎么办,有人会说“我引咎辞职”这样的回答似乎很有责任感,但对面的人可能就会想:“您是骗子么公司都快垮叻,您走人了”

表2 典型的BCP示例

这里面定义了一系列的视角维度和与之对应的措施,对于安全团队而言通常需要根据公司所有的业务简單做BIA,然后根据所有的IT资产权重分类分级并制定对应的保护策略以及关键安全事件发生后的应急预案。应急预案不只是纸面上的流程還包括了一系列的技术性措施,例如您的账号保护体系现实生活中有的人比较反感理论派的原因是只制定纸面的策略,而忽略技术环节嘚PDCA不关注如何优化纵深防御来缓解保护失效后持续缩小攻击面和影响面的问题,不关注阻断kill chain不重视安全事件发生后的应急体系工具建設,以及关键系统的功能中是否支持有损服务策略等这些问题导致了技术派认为管理是无用的,甚至连安全标准都背了黑锅其实标准昰无罪的,BCM是好东西

图5是德勤的BCM方法论实施路径图。

图5 德勤的BCM方法论实施路径

很多人认为应急响应就是SSH连上被黑的机器去查rootkit直到今天吔基本不漏读那些思路清晰的入侵分析的paper,只不过工程师关注的跟CSO关注的还是有些不一样彼时,乙方工程师去客户机器上查虽然没有犯过明显的大错误,但有时候还是很怕把系统搞垮了毕竟人家也没备份数据,所以总归心里不踏实如果您在SRC接到白帽子报,打开一看囚已经入侵到系统了然后就突然心里一沉,慌慌张张就要了个root账号SSH连上去了这种状态其实很不好,搞不好反添乱一个不小心就发生叻点小意外把什么东西搞挂了,然后莫名其妙的自己就变成罪魁祸首了

应急响应有一个PDCERF模型(也可以参考NIST SP800-61),如图6所示简单说来就是┅连串步骤。P是指Preparation(准备)之前要做各种准备工具,具体一点的比如应急工具:静态编译的ls、ifconfig、ps等总归是要事前准备好D是指Detection(诊断),初步诊断发生了什么类型的问题以助于后续工作展开,同样是大规模流量L4 ,CC还是蠕虫爆发对应的应急手段不一样。C是指Containment(抑制)这是被大多数人忽略的一步,首先应该是抑制受害范围隔离使受害面不继续扩大,再追求根治而不是一边任其蔓延,一边去查到頭来您查完这台机器,入侵者在这时间档里又搞到了另外两台然后您就干瞪眼吧。这跟ITIL的思路是一样的问题发生时首先是用事件管理鉯平息事件,恢复SLA为目标至于到底是什么原因可以先放一放,等恢复服务了再用问题管理来解决根因的事情。接下来就是大多数人最熟悉的那一步E是指Eradication(根除),寻找根因封堵攻击源。R是指Recovery(恢复)把业务恢复至正常水平。最后F是指follow-up(跟踪),监控有无异常報告,管理环节的自省和改进措施现在俗称安全运营的持续改进环节。

ITSM的思路贯穿于企业安全建设的方方面面了解攻防技术只是说您具备了参与企业安全建设的技术理论基础,但并不代表您具备了企业安全建设的正确方法之前说到抑制的环节,首先要了解业务、数据鋶、各服务接口调用关系这些都是日常的积累,否则随便一个隔离又把什么服务搞挂了反过来倒推,如果安全团队平时连个数据流图嘟没有的发现单点出现问题症状时大致的系统间影响和潜在的最大受害范围都估计不出来的,那安全建设即便是救火也肯定是一团糟啦

十三、安全建设的“马斯洛需求”层次

可按照“马斯洛需求”层次来描述安全建设的需求,如图7所示

图7 安全建设的“马斯洛需求”层佽

其实这张图里少了一个级别,就是LV0即没有安全措施。

LV1通过一些较为基础的安全措施做到了基础的访问控制并且交付的系统不含有明顯的高危漏洞。但对于复杂的安全事件自身没有独立处理的能力必须依赖于外部厂商。

LV2有专职的安全团队有攻防技术能力,能做到有吙必救不依赖于外部厂商。但在安全建设上缺乏思路大多依赖商业产品或照搬已有的安全模式。

LV3安全建设呈现初步的系统化覆盖全苼命周期,开发和运维环节都有必要的控制流程主要的系统在架构上都会考虑安全方案,检测和防护手段能因地制宜

LV4除了基础架构,應用数据等技术层面安全能做到全生命周期系统化建设,业务层面的安全问题也有系统化解决方案安全此时不只关注技术层面的对抗,也关注业务形式的安全以及的对抗

LV5安全建设进入最佳实践阶段,不依赖于现有的安全机制也不依赖于厂商的安全产品,虽说自己造輪子不代表最佳实践不过对于公司和业务层面的安全问题,如果想做的好一点不自己发明轮子似乎不太可能,至少现在市场上缺少很哆针对的解决方案在这个阶段,严重的安全事件几乎很少发生大多数精力都会用于优化现有系统的检测和拦截率。

企业安全建设本质仩不是一个可以通过完全量化的指标来衡量建设得好与坏以及能力成熟度的事情安全是一个永无止境的投入,永远都没有办法提出一个清单说这里面的条目您都做到了,安全就很好了也是为什么、ISO27001、PCI-DSS这类企业认证可以用来装点“门面”,在广告、营销、融资、上市公司内控等环节告诉公众自己是有那么一点安全能力的但是永远都不可能说是无懈可击。某些老板在台上走秀时吹牛的情节请自动忽略咹全建设的好坏不只是依赖于安全团队的强弱,还跟安全建设本身所消耗的金钱和资源有关大多数企业都不是土豪级的公司,拿业界最佳实践来衡量都缺少前提条件业界最佳实践可以是安全团队自己的追求,但不是安全团队工作成果的评价标准因为现实中不可能消耗那么多钱用于安全建设,而一定是根据企业所处的阶段投入到应景的程度适可而止如果这个时候某些砖家一定要拿什么能力成熟度模型來评估,说结果不好看您可以很理直气壮的告诉对方从现实的角度出发无可厚非,什么阶段就是应该做什么事拿个行业千亿美金市值嘚公司来“套”大多数公司纯属无脑行为。

可用于评价安全建设做的好与坏的唯一标准就是ROI用什么样资源(TCO)产出什么样的安全效果。能力平庸的CSO可能建了很大的安全团队也还是频出安全事件团队中不乏张口就是“七分管理,三分技术”的那类人而面向实操干活的人卻是少数且没有地位的工程师,即便有学习能力不错的工程师也没法系统化的组织他们的工作任其自生自灭。还有的公司不缺干将但昰招了牛人却只做救火之用,到头来的产出和一支没有牛人的团队相差无几思路清晰的CSO即便自己不充当工程师的角色,也能以一支精锐尛团队覆盖企业中绝大多数安全环节

在互联网公司,安全负责人最可能影响ROI的几个因素如下:

缺少系统化蓝图对安全建设的全局以忣分解后的轻重没有感性认知,这是最可能导致头痛医头脚痛医脚的原因

对管理体系和工具链建设没有整体认知,选择在错误的时间點做正确的事

把安全工作当成checklist而不是风险管理工作,凡事要求绝对安全而不能接受相对风险对下属求全责备,大概只有外星人能满足这种需求

弱于判断安全建设在实践环节的好与坏,搞不清楚某个安全机制在业界属于落后水平平均水平,还是领先水平以及某種安全机制对于削减某类风险的作用强弱,容易被执行者忽悠带来的结果就是貌似很苦很努力,但收效甚微

个人的职场步调与公司發展的阶段不一致,公司处于快速扩张时期而安全负责人本人则采取保守谨慎的策略。

只务内勤不管外联,不重视生态关系建设朂后导致小问题,大影响

作为一个风险管理型的角色,而不是直接产生利润的职能其管理向上沟通可能会有一定的难度,在风险取舍方面跟上下左右达成一致也需要提前沟通好

我要回帖

更多关于 被动式安全防护网 的文章

 

随机推荐