■出售外链〓提升排名┿【QQ:1012189958】 车辆保险 交强险 二手车 广州二手车 网站建设 app开发 网站制作 一号站 捕鱼游戏 澳门百家乐 万达平台 1号站平台 1号站平台 1号站平台 1号站 1号站 一号站/a> 拉菲2 拉菲2 拉菲2 万达平台 万达娱乐 万达平台 万达平台 万达平台 万达平台 万达平台 万达平台 万达娱乐 东森平台 东森平台 东森娱乐 娱乐天地 娱乐天地 娱乐天地 金沙棋牌 捕鱼技巧 捕鱼技巧 捕鱼技巧 美高梅网址 牛牛 捕鱼 新葡京官网 真人百家乐 美高梅官网 美高梅官网 美高梅官网 新葡京官网 金沙网址 澳门美高梅官网 必赢彩票网 葡京赌场 葡京赌场 澳门新葡京 澳门新葡京 大发888 大发888 大发888 大发888 大发888 必赢国际 巴黎人娱乐城 博狗 澳门永利赌场 永利棋牌 永利棋牌 澳门新濠天地官网 澳门新濠天地官网 金蟾捕鱼 真钱牛牛 澳门新濠天地 捕鱼平台 捕鱼平台 365bet官网 真钱斗地主游戏 网上真钱扎金花 山西快乐十分 线上赌博平台 基金开户 帮考网 草根站长 拉菲娱乐 澳门百家乐 澳门百家乐 网贷帮 广州交通 球探比分 凤凰平台 澳门网上赌博 电玩box 港股 港股 A股行情 黄金价格 外汇开户 域名 金蟾捕鱼 1号站平台 888真人开户 888真人平台 一号站 pc蛋蛋信誉群 一号站 娱乐平台 拉菲娱乐平台 皇冠比分 新葡京 皇冠娱乐网 bt365娱乐官网 亿万先生 吉祥坊wellbet ca88亚洲城 千亿国际 龙8国际 亚虎国际 188bet ca88亚洲城 皇冠体育平台 现金娱乐平台 新葡京娱乐场 真钱21点 真钱21点 真钱牛牛 湖北11选5 真钱捕鱼 优德娱乐 申博 二八杠 最新全讯网 百家乐开户网 百家乐开户网 百家乐开户网 百家乐开户网 免费注册送彩金 博狗注册 皇冠备用 外围赌球 新2网址 888真人网址 澳门金沙 网上牌九 明升88 皇冠开户网 金鹰娱乐 现金炸金花 娱乐天地 娱乐天地 葡京酒店 真钱棋牌 体育开户 e世博官方网站 威尼斯人开户 澳门黄金城 澳门赌球 澳门游戏 真钱牛牛 二八杠玩法 二八杠技术 e世博注册 香港赌场 斗牛技巧 皇冠赌场线上娱乐 金沙娱乐 新葡京娱乐场 乐虎国际娱乐 棋牌 杏彩 澳门威尼斯人 澳门美高梅 伟德亚洲 bet365体育投注 威尼斯人 凤凰娱乐 凤凰娱乐 万达娱乐 拉菲娱乐 万达娱乐 万达娱乐 杏彩平台 凤凰平台 凤凰平台 凤凰平台 娱乐天地 娱乐天地 娱乐天地 娱乐天地 葡京 时时彩 即时比分 即时比分 365体育投注 江苏快三 比分 比分 澳门巴黎人 赌博 街机游戏 足彩网 腾讯分分彩 排列3 澳门金沙 美高梅 赌博网 天下足球网 365备用网址 捕鱼达人3 赌博网 赌博网 大发体育 1956 东森娱乐 大发888赌场 大发888赌场 bbin bbin bbin 捕鱼达人2 凤凰娱乐 现金网 金沙娱乐 澳门百家乐 澳门百家乐 bbin 幸运7 幸运7 幸运7 幸运7 幸运7 幸运7 幸运7 幸运7 幸运7 幸运7 幸运7 万达娱乐 拉菲娱乐 江苏快三 1号站平台 葡京 金沙 凤凰娱乐 万达平台 新葡京 澳门金沙 电子游戏 新葡京 银河 电子游戏 杏彩娱乐 万达平台 BBIN 金蟾捕鱼 新葡京 杏彩网 蒙特卡罗 万达娱乐平台 澳门金沙 申博 申博 翡翠娱乐 赌博 娱乐天地 银河 老虎机 新濠天地 凤凰娱乐 娱乐天地 我爱旅游
当前位置:主页 > 资讯 >

完美世界 何艺:重建企业内部安全边界

来源:网络整理        2017-10-09 10:02

中国IDC圈12月28日报道,12月20-22日,第十一届中国IDC产业年度大典(IDCC2016)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过十届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上,完美世界信息安全事业部 总监何艺 出席IDC服务大会并为当天的安全运维分论坛做《重建企业内部安全边界》主题演讲。

完美世界信息安全事业部总监 何艺

以下是演讲实录:

随着前几年从外部安全,到最近几年的业务安全、风控。对于传统企业内网安全的关注点少之又少,但是这一块也是企业内部的核心,今天我会围绕这一块讲一下我们公司是如何去做的。

我可以简单先自我介绍一下,下面我列了两个工作经历,我是2004年去CNCERT做安全工作,2011年去的完美世界,两份工作时间都比较长,很少跳槽。这里面有好有坏,相对好处的话,我对公司的安全问题了解的会更加深入,知道一些痛点,也会知道在安全场合里推进安全方案可能会遇到的障碍,包括公司对安全产品的考虑,这种体验会更多一点。我个人关注的重点在于企业的安全管理、安全产品、架构设计、安全攻防,这是我关注比较大的领域。

今天的主题是围绕企业内网,这几点也是围绕这个制定的。首先是企业内网会遇到的安全问题。第二在2015年谷歌CORP项目引起了当时比较大的轰动,我会说一下给我们带来的启发,以及借鉴它的方法运用到企业中。第三个就是企业内网的架构设计,这个架构有些部分是来自于以前的传统架构,有些是我们整合谷歌的想法。第四未来我们会在这块怎么去做。

这是我找一个气象站点,用内网漫游这四个关键字查了一下,因为数据不全,它只有到2014年的数据,但是基本上出来四万多条,也说内网漫游这个事情很多公司都经历过,包括我们也经历过,我们曾经也被漫游过,这个问题还是比较普遍的痛点。

针对这些数据我又做了分类,把里面入侵的原因做了一下统计。大家可以看到最多的几项,一个是命令执行,一个是系统/服务器运维配置不当,一个是服务器弱口令,包括我们也出现一档事情,机器出现问题之后,因为在上面保存了一些口令的记录,这些记录在很多服务器是通用的,一旦出了问题很容易被漫游。在企业生存中也是大家优先考虑的最重要的数据。一个是账户体系控制不严以及后台弱口令,我们可以天天看到口令的包泡。还有未授权访问/权限绕过,会有大量的人在里面去爬虫、去搜索,搜索完之后会把信息摘出来做渗透。剩下的一些小的就不一一说明了。

但是总结去看,基本上离不开这几点,一个是安全漏洞、不安全的配置、弱口令、帐号问题、访问控制,访问控制在内网渗透,通过外网方式拿到服务器权限,但是因为防控不严,你会通过这台机器跳到公司的核心资料里,甚至会把资料的一些权限拿走。

把这些问题精简了一下,就是企业面临最大的问题方面,漏洞、口令、权限。权限除了应用企系统权限还有网络权限,网络权限很容易被渗透进去。

最常见的解决方案会有这些,我们随便列了一下,比如像安全管理制度,这个在事业单位和金融单位做的最多,包括像中国的人保,大家会通过制度方式去约束,制度方式有一个核心的要点就是强调人是安全的漏洞产生的源头,它的想法就是把人控制好,安全就会控制好。防火墙隔离是很平常的。还有安全加固,系统上去加固,然后把安全配置做好。后面还有包括监控审计,用大数据的方式做分析做告警,以及现在比较热的渗透测试。但这些东西最终会考虑两个点,一个是它的成本,还有它的效果。像安全管理制度,虽然大家都说人是安全的一切来源,但是真正去实施,你会发现成本很高,你会定很多制度,但是制度是不是真的能够落实下去,包括我之前跟一些同行去聊,大家反馈的结果,很多制度很难去落实,很难去约束他。防火墙隔离也是,就是业务方会提出各种各样的申请,但是当业务下线的时候,这个资源很难被回收,通过防火墙的方式是希望建造一个边界,随着时间的增加,这个边界会千疮百孔。业务随着时间的推移也忘了这个规则是有效还是无效的。渗透方式,因为涉及到成本,你很难覆盖到每一次更新,或者是不是保证每一次渗透都是完整的。这里面的问题就是要付出很高的成本做这个事情。

包括我们公司也都会用到一些方法,但是总的来说,它还是会有一些弊端在里面。我们在2015年的时候看到这样一个新闻,就是谷歌决定不再区分内外网,这篇文章当时还挺火的,我们搞安全的人基本上都在转,不搞安全的人也在转,甚至当时我们CEO还特地把这个新闻转给我,意思就是说谷歌不区分内外网,大大提高了效率,我们是不是也可以做。当时我看到这篇文章,我把他们以前在一次论坛里面演讲的视频找出来看了看,包括我现在的老板也是从谷歌里面过来的,我也从他的使用角度做分析。总体来说,谷歌这套方案还是给我们带来些启发。一个是这套方案解决了信任文化,安全的本质在于信任,做安全能不能解决信任问题,无论是你去做峰会,或者说传统的招聘,它要解决的问题是我怎么知道登录这个系统的人你就是你,怎么证明你就是你这个问题,虽然我们现在会通过一些方式,但是这个问题得不到基础,信任后面的很多机制很难推动下去。谷歌是把这种信任关系往前面做了一步,它并不是说局限于以前的通过口令来去做信任,它是把信任关系做到设备上面去。因为谷歌所有的设备上面都有加明信片,然后再通过证书,可以做到一点所有的设备接入进来是所信任的设备。

再下一步,它把人的弱口令问题解决掉,所有的登录都通过APP,这样就解决了帐号口令弱口令的问题。这是信任这块,它的信任机制是不限制任何人,它只限制设备,只限制它所发出来的证书的OPP,它通过这个来把信任的关系往前做了一步。

第二个就是边界的控制。这几年大家都在说边界的概念越来越淡,因为像自己自带一些设备,包括一些移动的应用,边界防控已经不存在了。包括这篇文章当时也是说谷歌把传统的防火墙都废弃掉,但是仔细分析它的方案你会发现,它并不是废弃边界,而是而是强化了边界,它把所有的入口集中到这个地方,它的边界不但没有给淡化掉,反而是加强。

我们后来也看了一下,觉得这个解决方案里面有一些东西我们已经具备了,整个方案并不是不可复制的。针对这方面我们也自己做也了一些尝试,这是我们内网系统的架构,我们主要解决了这么几个问题。第一就是统一的身份管理,因为做企业安全,尤其是公司规模比较大的企业,会发现一个问题,会有很多系统,然后每个系统都会有自己的管理人员,都会有自己的帐号,这里面会导致的一个问题,就是人员一旦离职、转岗,他的帐号权限不会被删除掉,这里面导致的问题就是人走了,帐号还在。包括我们这里曾经出现一个管理事件也是,这个人已经离职了,但是他有这个系统管理员的最高权限,这个帐号并没有被关掉。用这套方案可以解决把身份人群统一起来,人员的生命周期可以被积存下来,从入职到离职、转岗,它的帐号权限被统一管理起来。

第二是多因素认证,我们公司的人会下载我们研发的网络硬盘,上一次就会产生一次密码,这样的话就可以把一些入口的问题解决掉。

第三是强边界隔离,我们把所有的应用都放到反向代理的后面,这样一个好处就是当你要访问后面的业务应用,你必须要经过反问代理来进行控制,这时候它会把你强制切换到反向代理的登录,只有登录之后才会看到后面的页面,登录的过程要输入你的密码。我们还用到了证书方式,不单是要你的一次一式的口令,还要有你的证书。就类似于你在支付宝上面做支付,它原来的策略就是要求你下载数字证书,电脑才能进行支付,我们也是类似的做法,但是我们做的是把核心应用设置成需要读里面的证书才能打开页面。未来我们考虑把这块放置在前面去做,而不是做到应用里面去。

第四是减少攻击面,我们的入口分三大块,一个是从外网,VPN是进入企业内网的唯一通道,进去之后如果要访问应用,外部端会被在反向代理里控制,反向代理会绑定单点登录系统。财会就是管理,我们是把服务器全部放在跳板机后面。通过这三个点,传统的攻击面会被有效地控制住。涉及像一些数据库,他们要去访问数据库的应用,这块我们还没有做,但未来也会考虑用一些反向代理的方式做更强的认证。

系统的模块功能说明是这样一个逻辑。前面蓝色这块做入口,这入口有三个点,黄色的部分就是业务应用,包括服务器。绿色的这块是后台服务,主要分为认证服务器还有访问控制系统,访问控制管两个地方,一个是应用的权限,还有一个是服务器的网络权限分配。用户数据库这块是所有信息都会存放,包括帐号运用哪些权限会放在这里管理。资产系统和防火墙是辅助系统,我们会通过资产管理系统获取用户的访问信息。

架构实现主要的模块和系统是四大类。单点这块,最早是商业系统,但商业系统比较坑,不销售了,也没有售后支持,服务链全部都断了,所以我们在做迁移到开元里面去。包括辅助系统、权限管理系统、认证系统都是我们自研的。

使用过程中会遇到哪些风险,我们把全部系统集中之后会带来一个最大问题是单点风险,但单点风险可以通过LVS来分散掉。第二个是帐号整合的时候,因为要把各个系统的权限和帐号管理集中在一起,这会出现帐号冲突这类问题,这块的整个风险也会有。还有业务介入,如果是自己开发的业务还好,但是里面会有一些商业系统,帐号系统登录是写死的,没有办法去改代码,要考虑怎么跟它的系统进行整合。还有流程重建,把这些东西集中到一起方便用户去问,比如用户需要哪些权限,你怎么能够很快地开通。最后是用户习惯,这里要考虑到怎么方便用户去用,这样推广的成本才能降低下来。

下一步我们做的事情有这么几个。第一个是多认证方式,未来我们可能会把扫描推送登录,这种方便用户使用的方式做进去,这是为了提高用户的使用成本,让用户更好地接受这套系统。另外是WAF的接入,这一块是天然的WAF防护入口,这个WAF可以保护公司后面所有的应用,这个成本还是蛮低的,收益会非常高,而且在企业内网一旦有攻击的行为比较好溯源。后面是SOC,未来我们会把SOC接进去,有一个好处用户在公司内部所有的行为是可以知道的,知道之后就可以鉴定规则,他只能访问哪些系统的权限,他有没有访问不该访问的系统,或者尝试不该访问的服务,这种情况下你可以做规则,来快速地识别出到底这个人是被黑了,还是他是自己想做内部的破坏,还是说是个无意识的行为,这样你的安全控制能力会进一步加强。

这套系统并不能解决内网所有的安全问题,但是它带来一个最大的好处是把安全的成本降的比较低,因为所有的入口集中起来,所有的帐号全部管理起来,你的口令和密码会慢慢淘汰掉,这样安全所遭受攻击的面,或者你所面对的风险和你的防护能力,随着你后面上WAF的东西,你的成本会被控制住。等于你把一个一个安全问题点集中到一个地方,你在这上面投入产出的效果就会更高,谢谢。

    上一篇:完美世界拟现金收购时代今典影视资产 下一篇:完美世界王雨蕴:数字娱乐迈向深度融合新时代