踏實實驗室推出萬字長篇文章，踏實君結合十年團隊經驗和二十年從業經驗深度整理和剖析了網絡安全防御體系如何有效建立，推薦閱讀預計20分鐘。

成都創新互聯從2013年開始，先為張掖等服務建站，張掖等地企業，進行企業商務咨詢服務。為張掖企業網站制作PC+手機+微官網三網同步一站式服務解決您的所有建站問題。

這個夏天就想睡個好覺

己亥年庚午月，睡個好覺是安全這個行業大部分人的奢望，除了國際形勢、明星分手、網絡安全也是最熱的話題之一了。

圖1：數字時代是由物理的和非物理組成的

中興華為事件、委內瑞拉大面積停電、美國對伊朗的網絡戰已經不斷觸動了人們神經，又經歷了有實戰有價值的攻防演練。例如HW，確實促進了很多行業組織各層面安全意識的提升,促進了實實在在安全防御策略的落地,多個視角(攻擊者紅方和防御者藍方)看問題總是好的。只有經歷了疼才知道痛是啥滋味，尤其是HW排名靠后的……以攻促防推動做好安全防御是個極好的方法，數字時代真安全價值才大，這次同樣也是打假的過程，安全圈不大，這幾年快成了娛樂圈了，300億的市場再這么折騰下去變200億了。

意識意識意識，意識第一位，意識第一位，其他第二位，有問題的，有大問題，有嚴重問題的基本都是意識出問題了，不是技術出了問題。某國家單位首次被攻破被通報要求盡快整改，由于意識問題領導沒重視資源沒到位。第二天馬上又被攻破領導急了開始重視了，每天開始抓工作清點防護體系，工具，組織，策略，發現了大量的沒有的安全防護工具沒有啟用，策略沒落地，問中層領導，中層才意識到好多文件下達的都是空的，眼前的寶貝沒使用也沒落實。第三天再次被攻破，問題又在基層技術管理人員重視邊界，忽視內網域策略和管理員密碼。甲方邀請我們一起做了復盤，總結的第一點就是這個，意識，意識，意識，不痛不長心啊。

三人是個概念的代表，第一人是領導(組織中網絡安全第一責任人)，第二人是CSO首席安全管理者(總體安全策略計劃制定者)，第三人是一線的網絡安全防御團隊(PDCA執行安全策略落地和運行)。

國內具備網絡安全防御體系經驗和實戰的人才本來就很稀缺，所以坑多也是自然的，網絡安全防御體系龐大而復雜，能洞悉全貌者也很少，格局，眼界，層次。單槍匹馬獨擋一面的大俠也不少，但更多需要的是三人綜合體系，這些年見到的有些決策者的格局真不行，水平一般還限制下面人員的發展，例如(某某組織的某某領導，呵呵)，有些領導者看問題水平真高，就是中層執行力就一直太差。例如(某行業單位的網絡安全負責人，估計HW結束就被拿下了)…一線干活的安服人員其實很多還是挺好的樸實踏實，但也怕好經壞和尚，政府機關有時候就這體制沒辦法人也換不了，形形色色確實很難見到很好有效三人體系。

20年來，持續走在網絡安全防御的路上，體會到不同的領域和境界，技術無敵到技術都不在是問題的時候，看到的往往是其他問題。數字時代需要考慮的內容是綜合的，頂層設計和系統的梳理和體系化落地等包羅萬象。網絡安全防御體系方法論隨著時代的發展我們已經更新了第四版(2019版)，網絡安全防御體系建立的核心目標就是風險可控，大家參考用吧。

官話不說了，核心就是當領導的要知道本組織的信息系統(資產)的重要性，服務的場景對象是啥，組織要明確需要保護的對象(安全方針就是掂量掂量重要不重要)。投入持續人、財、物、服務和必要的合規工具和安全管理及運營工具(安全策略就是組織建立不建立、啥線路、掂量掂量投多少銀子)，這層做好了方向不會出大問題，基本可以打30分了。原理能這樣想網絡安全的領導不多，經過HW的檢驗，估計未來慢慢會多起來了。

有了上兩層的基礎，接下來開展工作就好辦多了，如果沒有上面兩層的支持這個階段基本是不可行的，網絡安全保障體系建設一定是圍繞業務和數據的，俗稱“業務 數據定義安全戰略”確定好保護對象和級別，需要協同，需要按照三同步原則(同步規劃設計、同步建設、同步運行)，選擇好規劃服務商、建設服務商，踏實規劃，體系逐步實現。說的簡單，其實這些個環節一個出問題，就是坑坑相連，能按照這些環節都下來順利的不多。

圖3：意識不統一導致的防御體系的降維防護

啰嗦了這么多才開始準備如何建設了，網絡安全防御體系的建設是個大工程，不同的人理解不同。匯總起來就是一個風險控制目標、兩個視角(國內合規、國外自適應)、三個領域策略融合(管理、技術、運維)、 四個體系獨立而融合(防御體系、檢測體系、響應體系、預測體系)的建立可視、可管、可控、可調度、可持續的彈性擴展的一個很NB的安全管理及運營中心 (簡稱“12341)。

圖4：網絡安全防御成熟度階段與目標

兩個視角之二：國內的等級保護1.0– 2.0的合規體系，一個中心， 三重防護的落地。等級保護1.0從04年–14年10年歷程不容易，確實要感謝為中國信息安全和等級保護做出貢獻的這代人，從安全一個點做到完整的基本防御體系，為中國信息化和信息安全的發展奠定了一個基礎。讓大家有了一定的安全防御體系的概念，我們很有幸帶隊做了無數的等級保護和FJ保護的項目。這個領域我們要說第二，估計第一確實要空缺，經驗給了我們方法論又應用在實踐，實話說等級保護1.0做好了就已經很好了，關鍵是應付的多落地的少。2014年，云開始規模落地了，數據匯聚了，應用一體化了，物聯網、移動互聯……，1.0確實不再適用了，14-19年5年的歷程，2.0的出臺也不容易，仔細看看和研讀，按照標準做好了，落地了就踏實了。合規還是基礎，三重防護(計算、區域邊界、通信網絡)是重點的基礎性防護建設;然后重點分層保護，資源再多也是有限的，大門和每個門是最關鍵的，核心保護對象和邊緣保護對象的防御，檢測，響應，預測體系逐步完成，安全策略一點點上。最小原則開始逐步放寬，到平衡后劃個基線，就不要隨便動了，關于安全管理中心的坑，這是也個大命題，后面講吧一些老前輩的思路已經不適合未來了。

圖5：網絡安全防御體系建設落地的框架

要想做好網絡安全防御，就要站在攻擊方的視角看問題，網絡HK惦記的就是你所守護的，沈院士描述的霸權國家、敵對勢力、黑客組織和你所守護的對象防御程度成正比。

對于防御者來講，就是了解自己保護的對象對黑客的吸引力，盡量減少暴露面，IP,端口，服務，名，操作系統、支撐軟件，web服務，不是自己必要直接外露的，能減少就減少，能在深宅大院，就不要在街口開門。

對于防御者來講，自身個人的信息，守護對象的信息、外包商服務商的信息、采用的IT系統的信息、暴露面的信息，入侵監控的信息，都是需要保護的和提高警惕的。

對于防御方來講如果平時的弱點管理的好，及時更新，動態監控做的好還可以，往往弱點的爆出沒有及時的采取措施，很可能在這個時間差就已經被侵入了，實踐經驗中弱點的管理需要交叉異構。我們做了一個站在甲方視角的弱點管理平臺，效果確實還是不錯，曾經出現的一起事件，某盟的弱點管理發現了問題，但由于操作系統廠商已經沒有了，雖然也發現了但沒有預警，其實甲方還在大量的使用此操作系統，交叉使用的弱點管理平臺起到了很好的效果，預防了一次較高級別的APT攻擊事件(兩會期間)。

靜默型攻擊從08年以后就是主流了，大規模的炫耀式的病毒攻擊基本消聲覓跡了，都已經悄悄地進入打槍的不要，APT、APT、APT是我們天天防護的重點。就如我上文所說，攻擊者也很累，現在沒有人愿意敲鑼打鼓的去說我要攻擊你，更多的就是低調低調低調，第一道防線被撕開口子的概率是比較大的，一但進來如果防御者做的好，攻擊者就是進入深淵的開始，每個不合適的內網嗅探，試圖提權，異常行為，其實很好抓。我們現在總結出來經驗，基本上進來的APT跑不了，要不不敢動，一動就會發現。總結幾個關鍵點，全網全流量監控，全網系統監控，控制好有限的特權用戶/普通用戶賬戶并進行行為監控，安全域策略最小化原則并動態可視監控，在核心和數據系統里做好黑白名單的可信驗證。一點也不高深特簡單，不用PPT吹NB，做好落地了基本保證第二道防線沒問題。我們把這些統合起來做了個系統，稱為防御平臺核心檢測功能，現在用了的客戶都沒有被HW干掉，實施一個滿意一個，我們也特別有成就感。這個估計未來會成為主流的趨勢，實干簡單清晰化防御體系里的檢測系統，感謝PCSA聯盟的KL,QT,ZX,SBR,ABT，CT,ZR，kx (科來、青藤、中新、圣博潤、安博通、長亭、中睿、可信….)安全能力者們。你們做的探針真的很NB，也確實是未來的安全中間力量，和品牌沒關系，要看能力，真安全未來大浪淘沙。

按照方院士的定義網絡是一種人造的電磁，其以終端、計算機、網絡設備等為平臺，人類通過在其上對數據進行計算、通信，來實現特定的活動。

圖6：承載國家關鍵信息基礎設施之關鍵要素

圖7：城市級平臺安全管理及運營

兩個維度，一個是站在數據的價值維度看重要性(數據資源級別—保安級、數據資產級別—保鏢級、數據資本(流通)級別—武警級、數據托管(交易)級別—銀行級)的新思維(海關劉處的思想)，一個是站在數據全生命周期維度看重要性(采集、傳輸、加工、處理、存儲、銷毀)的傳統思維。

總之，數據安全這個范疇可研究和討論的很多，數據成為有價的資產肯定的確定的，數據有價值肯定是要流動的，不流動就不會產生價值了。所以未來大部分場景都會有數據的提供者、數據的運用者、數據的管理者、數據的使用者、但更重要的是數據合理合法使用的監管者，數據流動安全監管就成為數字時代的重大命題，應用安全能力者不同的安全能力在數據流動的不同場景進行有序和安全的管理就是我們和PCSA聯盟和某地大數據局和某行業溝通現在正在做的事情。全程可視，狀態可查，權益可管、權限可控、流動可溯、易用擴展。

前幾年出國游學和參觀時通過朋友參觀了幾家美國大的云和互聯網公司，其中重點是參觀安全管理和運營管理，龐大的規模和監控和運營中心由于不能拍照無法描述。在整個參觀的過程中給我最大的感觸就是幾個關鍵詞、事多、人少、全程可視、自動化。這幾年在國內信息化建設過程中看到的場景基本上也是這樣，沒有良好的大安全管理中心和運營中心，任何系統想要長久的安全運行保障基本不可能。2005年開始國內開始有了安全管理中心和平臺1.0雛形現在已經被淘汰，2009年安全管理進入2.0，在CC某V和某關、某社我們看到的和審計多個項目，錢花了不少，事情也干了不少，但確實也沒起到相應的效果體現價值，收集大量基礎數據進行關聯分析這個思路，在基本上沒有標準、沒有生態、沒有深度檢測能力等等必要的保障。安全管理2.0只能活在PPT和情懷里，這10年我和團隊接觸過國內99%的安全管理平臺，也幫助客戶建設了數百個所謂的安全管理平臺，實話說我沒有看到一個高效的和有高價值的。16年開始，我們的網絡防御服務接受了挑戰，考慮到未來進入數字時代，安全管理是重中之重，我們給很多生態伙伴提供了思路和想要的安全管理中心的樣子，比如圍繞保護對象與運維合力成為保障能力中心，管理和建立四大體系，要有深度檢測。例如關鍵業務數據和安全與流量精密關聯，讓ID和IP清晰自如的展示、讓訪問路徑實時動態可視等等，形成企業級、行業級、城市級的安全管理和運營等等，很慶幸，2017年以來我們理想的安全管理逐步實現了。態勢感知逐步實現，這個領域落地的案例已經很多了，也獲得了工信部的試點示范，在HW中也有很好的表現，沒有白費力氣，浪費我的白頭發，未來我們會和生態伙伴一起迭代好這個平臺，力爭成為未來網絡防御體系的主力軍。

從Struts2的漏洞爆出和coremail的0day,主流應用框架的選擇，尤其是對外提供服務的Web和mail，一旦底層出大的安全問題了，會導致整個系統都需要重新構建了。由于很多開發者不回去考慮安全性的問題，往往從易用和易構建的角度去考慮，系統和底層架構是緊耦合的不可輕易分離，嚴重漏洞的出現，不能修補，勉強弄弄安全運行也有問題，不修補也不能再上線了。這個問題出現后只能重新架構和開發了，經濟損失極大，這也是我們12年經歷的血淋淋的教訓。

同類型功能不同能力者的異構其實在管理者眼里是麻煩的，但在攻擊者眼里同樣也是麻煩的，如果做好落地，呵呵，累死Y的。例如防火墻多層異構解決避免一網通殺、防護策略失效的問題，防病毒網關、桌面防病毒和沙箱郵件追溯異構解決病毒木馬、釣魚郵件的交叉檢測和查殺，威脅情報和弱點管理不同供應商的異構解決風險管理的全面化，多重身份認證和特權賬號不同認證異構解決被輕易獲取權限一路暢通，陷阱和蜜罐的異構設置可以讓攻擊到內網的黑客一頭霧水。總之，不同的安全能力之間的多角度異構的靈活應用會給APT攻擊者一路障礙，這些花不了多少經費，但確實有效，唯一的就是給管理者有一定難度，需要將統一管理的平臺做好。

也許你沒聽說過的方法未來都會出現，一個外賣小哥、一個保潔阿姨，一個好久不聯系的朋友到了辦公區，他們離開的時候，會留下繼續進來的U盤狀的無線發射器當作跳板，一個供應商送入的一批服務器和交換機在芯片上有可能的后門。有個電視劇叫做“密戰”，建議大家看看，一個外包的軟件開發商交付的代碼中間有隱藏的不應該的代碼，一個離職的安全管理員仍然可以撥入VPN，用root權限獲取數據……這些都是現在以及未來可以發生的。

數字中國萬云時代，萬種場景、萬物互聯，大數據、大平臺、大系統的建設模式是中國現在以及未來的模式，政務服務一體化、行業監管一體化、城市大腦運行一體化、工業智能一體化。不可否認，數字中國急切需要打通數據孤島，公共服務更便捷、效率更高、更智能、更便捷、行政監管更準確、更有效，數據越聚合越重要，黑市價值越高，攻擊者越多，保障體系就越需要更緊密，不得不形成“大安全大運維”的合成能力保障體系，才能確保業務的安全穩定運行。產品堆砌的時代以及過去了，服務才是真價值，安全服務高級人才稀缺會更大。聽說HW駐場的人有一天一萬的，恭喜安全人才價值提高了不少。

中國網絡安全產業相比國際同行處于弱勢，在國家高度重視網絡安全的背景下依然難以依靠自身力量快速做大做強，持續下去將在國際網絡對抗中愈發落后，最終損害對關鍵信息基礎設施的有效保護能力。

2018、19年參加了幾次工信部和WXB關于網絡安全產業的調研會，圈子里的專家其實共識度還是挺高的明白人不少，大部分觀點不說了就說創新這一件事情，把它做透了就需要很多方面的合力。比如國外的合作是A.B公司的能力疊加，在國內就是大品牌的OEM，鼓勵小品牌，新能力的合作。比如國內公共靶場的建立，讓大家創新能力有練兵之地，總不能違法亂紀，也不能閉門造車吧，比如建立國家級的生態化安全能力展示平臺和中心。讓大家都有露臉的秀肌肉的地方…..供給側的改革，確實需要百花齊放和有效的政策扶持。

圖10：數字時代是由物理的和非物理組成的

圖11：“民兵式”網絡安全防御體系

圖12：踏實實驗室研究成果網絡綜合防御平臺框架

分享題目：如何建立有效的網絡安全防御體系
網站URL：http://vcdvsql.cn/article6/ccseog.html

成都網站建設公司_創新互聯，為您提供自適應網站、建站公司、微信小程序、網站設計、品牌網站建設、營銷型網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯