如何进行安全运营

战略层面包括:Find and Fix,Defend and Defer,Secure and Source。安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。

Find and Fix

一个安全评估的过程,就是一个“Find and Fix”的过程。通过漏洞扫描、渗透测试、代码审计等方式,可以发现系统中已知的安全问题;然后再通过设计安全方案,实施安全方案,最终解决这些问题。

Defend and Defer

“Defend and Defer”包括入侵检测系统、Web应用防火墙,反DDoS设备等一些防御性的工作。它们能防范问题于未然,或者当安全事件发生后,快速地响应和处理问题。

Secure and Source

“Secure and Source”指的是“安全开发流程(SDL),它能从源头降低安全风险,提高产品的安全质量。

漏洞修补流程

建立漏洞修补流程,是在“Fix”阶段要做的第一件事情。

  1. 建立类似bugtracker的漏洞跟踪机制,并为漏洞的紧急程度选择优先级;
  2. 建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现;
  3. 对曾经出现的漏洞进行归档,并定期统计漏洞修补情况。

安全监控

安全监控与报警,是“Defend and Defer”的一种有效手段。

安全监控的主要目的,是探测网站或网站的用户是否被攻击,是否发生了DDoS,从而可以做出反应。

入侵检测

常见的安全监控产品有IDS(入侵检测系统)、IPS(入侵防御系统)、DDoS监控设备、Web应用防火墙(简称WAF)等。

IDS、WAF等设备一般的布署方式是串联或并联在网络出口处,对网站的所有流量进行监控。

除了部署入侵检测产品外,在应用中也可以实现代码级的安全监控功能。

紧急响应流程

入侵检测系统或其他安全监控产品的规则被触发时,根据攻击的严重程度,最终会产生“事件”(Event)或“报警”(Alert),报警是一种主动通知管理员的提醒方式。常见的报警方式有三种。

  1. 邮件报警

    成本最低、内容可以写得丰富、实时性较差。

  2. IM报警

    实时性更好、内容有限。

  3. 短信报警

    实时性最好,内容最少。

处理安全问题时,有两个需要注意的问题:

  1. 需要保护安全事件的现场;
  2. 以最快的速度处理完问题。