一、背景
公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压力;
并且在阿里云的控制台当中每天都能看到很多攻击信息,却没有拦截,原因是没有购买WAF防火墙,售后也频繁催促购买其安全设施;所以技术负负责人也开始重视起安全问题来,笔者因为懂一些安全技术,所以老大希望笔者在这方面做一些规划指导,周末花了点时间根据公司的现状做了一下规划设想,下文便是当时的口述汇报,后来整理成了文字版,给读者做一些参考吧。
二、网络安全威胁
提到安全可能直觉上会想到安全漏洞,代码安全等问题,不过安全一般比直觉上的范围更广泛,主要有来自于六个方面:网络安全、主机安全、应用安全、数据安全、运维安全、法律风险等。
2.1 网络层
拒绝服务攻击,分布式拒绝服务攻击(DDoS),是最暴力、血腥、有效的攻击方式,可直接导致企业云上业务系统带宽堵塞。
DDOS攻击防御有两个核心点,首先是识别谁是恶意攻击,另外就是要有足够的带宽和服务器性能来处理这些请求,DDOS攻击是在太野蛮,应对的方法也比较被动,可以使用云平台的防DDOS产品,但也会有误伤,所以遇到这种攻击也只能使用这种无奈的处理来应对。
2.2 主机层
云主机入侵攻击,云主机是企业云上业务系统的重要承载,攻击者通过暴力破解或配置漏洞等缺陷入侵云主机,用以构建僵尸网络、窃取数据及敲诈勒索等。
主机层的风险通常是一些通用漏洞的风险,比如2016年心脏滴血事件全球的服务器都会受到此影响,因此到相对好处理,我们可以使用阿里云的安骑士产品,一键修复系统中的安全漏洞。
2.3 应用层
Web应用漏洞攻击,企业云上业务系统对外提供服务的诸多系统采用HTTP/S应用协议(Web),攻击者利用Web服务可能存在的诸多漏洞进行攻击,窃取业务系统数据或权限等。
应用层变更最为频繁,每家的应用特点都有一些差异,所以通常应用层受攻击的可能性最大,要防御此风险需要持续不断的进行跟进,比如对开发的安全意识,安全开发进行培训,对项目上线前的测试增加安全测试部分。
2.4 数据层
数据窃取或篡改云上业务系统数据在传输过程中经过互联网,可能被中途窃取或篡改,造成数据完整性和机密性受到影响。数据层相对范围比较广,比如代码是否泄漏,是否有数据泄漏,以及页面挂马,网站的留言的黄赌毒关键词筛选等,因为这些数据泄漏的途径会随着应用层的变化而变化,因此数据层也同样需要持续跟进。
2.5 运维层
运维人员违规风险操作企业云上业务系统需要内部人员进行运维操作,如何防范高风险的运维操作至关重要。
不过运维层的操作风险倒也是各个厂家的一些通用风险,因此解决方案也相对较多,比如使用堡垒机在可视化界面上分配权限,这个权限可以让一个账户指定开启多长时间,并且还可以全程监控,以及操作记录回查,因此风险不大。
2.6 合规层
国家等级保护2017年6月,国家网络安全法开始实施,企业安全建设不仅仅是内部驱动,同时也有法律驱动。
包括实名制,以及日至留存,制定相应的企业安全防护策略等。
三、新书推荐
如果对笔者的实战文章较为感兴趣,可以关注笔者新书《PHP Web安全开发实战》,现已在各大平台上架销售,封面如下图所示
