中小企業網絡應用安全防護體系建設探討

◆張昌斌

中小企業網絡應用安全防護體系建設探討

◆張昌斌

（寧波張力網絡股份有限公司 浙江 315600）

當前，企業信息網絡面臨的安全威脅與日俱增，如何建設有效合理的企業信息網絡安全防護體系，始終是困擾CIO的難題。本文分析了中小企業面臨的網絡應用安全威脅與風險，從應用產品安全體系和安全服務體系兩大維度，探討面向中小企業網絡應用安全防護體系的建設思想。

信息技術；網絡安全；信息安全；應用安全；安全防護體系

0 前言

當前，企業信息網絡面臨的安全威脅與日俱增，如何建設有效合理的企業信息網絡安全防護體系，始終是困擾CIO的難題。尤其是在《網絡安全法》全面施行的時代背景下，企業的網絡安全責任日益重大。而中央網信辦、公安部、工信部等政府主管部門頒布實施的系列法律法規，又給企業的網絡安全保護提出更高的要求。

近年來，傳統網絡安全防御手段主要依賴硬件防火墻、單向隔離網閘等邊界防御設備，或是通過入侵檢測系統（IDS）、入侵防御系統（IPS）等檢測設備，甚至依賴于殺毒軟件從而阻攔一部分攻擊。然而，隨著大數據、云計算、AI技術的突發猛進，黑客入侵攻擊手段發展迅速且手法新穎，他們可以輕松繞過邊界防御的方式登錄內網，或是直接突破邊界防御設備入侵系統。大量的案例分析證明，傳統的安全防御辦法并不能阻止全部入侵攻擊行為。把希望寄托在安全防御產品去阻攔攻擊不再可行，企業必須要在安全防御產品的基礎上，增加安全服務體系的雙重保護，信息安全才能得到更好的保障。

對于廣大的中小企業而言，昂貴的安全防御產品和緊缺的安全運維人才，是建立安全防護體系面臨的最大問題。況且，大部分中小企業并無足夠的資金采購符合網絡安全等級保護要求的產品和服務。如何以相對合理的投入，達到較好的防護效果，而不是注重硬件上或者形式上的安全保護措施，是目前廣大中小企業亟需解決的問題。

黑客攻擊防不勝防，配置不當，程序漏洞，安全意識匱乏，都將成為企業中招的原因。而大多數時候，企業從安全咨詢報告中拿到的只是存在問題的列表。至于如何分辨漏洞危害，如何修復問題，以及從哪兒開始，企業卻無從得知。除了防守之外，企業如何避免成為自身漏洞的生產者，不給攻擊者留下可乘之機，一旦遭遇攻擊，怎樣有效應對。企業洞察安全問題背后的邏輯：在復雜的攻擊行為中呈現完整的攻擊線路圖；從黑客的視角解讀網絡環境中風險評估的實踐；任何類型的安全管理手段對企業都是有效的。根據這個基本邏輯，繪制中小企業網絡應用安全防護體系建設圖如圖1所示：

1 網絡應用安全產品體系設計

在企業網絡應用安全產品體系設計中，建議做好四個方面的工作。

（1）企業要部署Web應用防護系統（WAF）。Web應用防火墻通過執行針對HTTP/HTTPS的安全策略為Web應用提供保護。無規則WAF作為最新信息安全技術，用來解決防火墻等傳統設備束手無策的Web應用安全問題。與防火墻不同，WAF工作在應用層，因此對Web應用防護具有先天的技術優勢。基于對Web應用業務和邏輯的深刻理解，WAF對來自應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類Web應用進行有效防護。

圖1 安全防護體系建設示意圖

（2）企業要部署內網威脅感知系統（Honeypot Technology）。蜜罐技術作為情報收集系統，本質上是一種對攻擊者進行欺騙的技術，通過布置高仿真誘餌主機、網絡服務或者信息，誘使攻擊者對它們實施攻擊，從而可以對攻擊行為進行捕捉和分析，掌握攻擊者使用的工具和方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解所面對的安全威脅，并通過技術和管理手段來增強系統的安全防護能力。內網威脅感知系統成功引誘攻擊者入侵后，就可以了解對方針對服務器發動的最新攻擊和漏洞，并對攻擊者進行畫像。

（3）企業要應用安全評估系統（Safety assessment），這是一款以漏洞掃描技術為核心安全工具。企業信息系統經常會面臨內部和外部威脅的風險。隨著攻擊者技術的日趨先進，只有掌握這些攻擊者技術的經驗與知識，才能充分保護系統安全。安全評估系統利用大量行業經驗和漏洞掃描的先進技術，從內部和外部兩個角度，對企業信息系統進行全面的風險評估。由于各種平臺、應用、連接與變更的速度和有限的資源組合在一起，因此采取措施保護組織的資產比以往任何時候都困難。網絡環境越復雜，就越需要這種措施和控制來保證組織業務流程的連續性。因此，在企業安全項目評估階段，為了充分了解企業網絡信息系統的安全隱患，需要對網絡系統進行安全狀況分析。安全評估系統和防火墻、入侵檢測系統互相配合，能夠有效提高網絡的安全性。該工具集資產管理、Web 掃描與主機掃描為一體，幫助企業全面封堵因漏洞帶來的安全風險，做到防患于未然。

（4）企業應搭建服務器安全平臺。企業多層架構的工作負載服務器環境不可避免的復雜，隨之產生的風控及合規等安全問題亟需解決。通過研究梳理發現，從服務器內部發現安全問題，核心應抓住三個維度：一是管理維度，通過服務器的用戶、進程、端口以及連接狀態等信息，觀察存在的異常情況；二是排查維度，根據服務器上安裝的程序和服務器的配置定位，通過基線檢查和異常檢測分析可能存在的安全風險；三是監控維度，在服務器已經被入侵的情況下，通過對反彈Shell、后門排查、暴力破解、異常登錄等各種行為進行監控，快速尋找和清理被植入的后門程序。當前，基于Agent技術的深度服務器工作負載安全平臺，在龐雜的混合云環境下，可以無間斷監控攻擊者的攻擊行為，發現自身系統潛在風險觸發的異常變化，并進行快速處理，提升企業資產能見度并有效防御入侵。

2 網絡安全服務體系設計

在企業網絡安全服務體系設計中，建議從五個方面做好相關工作。

（1）選擇滲透測試服務，料敵機先。本人研究和服務項目的數據顯示，約60%企業存在丟失系統最高權限的風險，超過70%存在信息泄露漏洞，超過50%存在越權漏洞，約30%存在越權以外的業務邏輯漏洞。由于企業線上業務的基礎架構與網絡環境變得越來越復雜，導致安全漏洞經常出現在缺乏關注的角落；隨著企業資產數據的增值，由惡意攻擊導致的信息泄露、業務宕機，甚至系統權限丟失，正在讓企業付出高昂的代價。為保障企業線上業務安全，需要先于攻擊者找到并解決問題。滲透測試是一種以黑客視角，通過模擬入侵識別IT基礎架構中不安全因素的評估方法，能夠驗證目標系統的技術安全性，快速發現當前亟待解決的關鍵問題。在滲透測試過程中，嚴格遵守授權許可范圍，并通過風險規避和過程控制保證不妨礙正常業務的運轉。然后，通過修復漏洞，以領先攻擊者的方式，幫助企業實現業務安全。

（2）做好應急響應工作，提升自身防護能力。應急響應是指企業為應對突發、重大的信息安全事件發生所做的準備，以及在事件發生后所采取的措施，其目標是幫助企業合理應對安全事件，最小化負面影響。分別從事件發生前的威脅檢測與攻擊發生時的應急處置入手，幫助企業提升信息安全事件的發現能力和應對能力，并在根除攻擊癥狀之后，針對問題根源提供加固建議，以避免同類事件再次發生。企業在攻防對抗演練的過程中，自身防護水平會不斷增強。雖然很多信息安全事件可以通過技術的、管理的、操作的方法予以消減，但沒有任何一種信息安全策略或防護措施能夠提供絕對的保護。

（3）選擇代碼審計服務，解決業務隱患。代碼審計是一種以發現程序錯誤、安全漏洞和違反程序規范為目標的源代碼分析。它是防御性編程范式的一部分，旨在檢測代碼中存在的安全缺陷，針對存在的缺陷提供解決方案，降低程序使用時的安全風險。在軟件發布前進行代碼審計，可將不安全因素扼殺在萌芽狀態，極大縮減了后期修復所花費的成本。代碼安全審計能更深層地發現代碼中的隱患，測試過程不會對線上業務造成影響，不會導致諸如系統宕機、服務卡死、數據庫阻塞、業務數據丟失等風險。但由于代碼審計需要深入理解代碼邏輯和業務結構，因此對審計人員的能力素質要求較高，需要花費的精力也更多。企業一般會選擇專業的網絡安全公司提供代碼審計服務，通過人工觀察、模擬執行或半自動化工具掃描的方式，全面深入挖掘代碼中的通用Web漏洞、業務邏輯漏洞、應用程序漏洞以及應用程序配置文件中的不安全因素等，不僅解決現存隱患，更能通過針對性幫助企業整體提升編程安全水平。

（4）選擇基線檢查服務，補齊安全短板。基線檢查，又稱為基礎安全配置核查，旨在針對不同版本服務器系統、第三方應用軟件、第三方網絡硬件設備、接入控制、惡意軟件對抗等進行基礎安全配置檢查。基線檢查的目標在于補齊安全短板，提升企業的安全系數。在企業日常網絡安全工作中，基線檢查可以有效解決以下實際問題：正確配置和管理企業業務系統，檢查攻擊者是否已進入系統或網絡，明確現行系統安全設置的更改行為，并對企圖繞過安全設置的惡意操作加以阻止。目前網絡安全環境不斷變化，許多企業面臨著新技術與新問題的威脅困局。大部分企業的安全人員對于復雜、變化的安全威脅無計可施，面對不清晰的規則與復雜的要求無所適從。因此，邀請專業安全廠商的技術專家，對企業進行有效、全面的基線檢查安全服務，能幫助企業的數據免受已知的網絡攻擊，是提高安全短板的最佳選擇。

（5）不斷學習，請專家提升企業安全能力。網絡安全的本質是人與人之間的攻防對抗。因此人才是企業網絡安全的最后一道防線！企業可以不定期組織和參加網絡安全專題培訓，根據所在行業針對性地學習本行業漏洞案例、行業安全問題、安全防護手段等專業課程，包括 CTF 比賽中常見的 Web、Pwn、Reverse、Crypto、Misc、Stego、Forensics 等題型培訓，從網絡安全基礎理論到漏洞缺陷等，幫助企業安全團隊迅速掌握攻防實戰技能。也可以組織員工參加攻防實訓，邀請安全專家定制出題，提供 Web 安全、二進制安全、移動安全、密碼學、隱寫與取證技術等多個安全技術方向的課程，快速提升網絡安全人才素質，全面提升企業網絡安全防護水平。

3 結束語

筆者根據多年真實攻防經驗，梳理以上安全服務核心環節，分別從攻擊視角、防守視角和攻防視角提供安全體系建設思路。本文分析了中小企業面臨的網絡應用安全威脅與風險，從應用產品安全體系和安全服務體系兩大維度，探討面向中小企業網絡應用安全防護體系的建設構想。總之，企業應該在安全防御產品的基礎上，增加安全技術服務項目，讓企業的信息網絡安全得到雙重保護。

[1]長亭科技官方網站（www.chaitin.cn）、長亭安全服務白皮書（2018版），2018.