中小商業網路安全建設指引

中小商業網路安全建設指引。
【理論篇】
如培訓現場所言，企業的網路安全是一個體系，方方面面都做的話是一個大工程，即使只是網路安全一個分支也需要較長時間建設，所以在早期需要解決當前主要矛盾（即「止血」，在關鍵位置先控制住大部分風險）。 基於我們幾個人過往的從業經驗，我們建議各位在以下幾個關鍵位置做好控制，則可以達到事半功倍立竿見影的效果：
1）埠管控。 所有伺服器非業務埠全部對互聯網關閉，管理埠只能通過內部堡壘機訪問，必須要對互聯網開啟的埠要嚴格做好IP（或者帳號）白名單存取控制（對於Web層，更安全的做法是再增加一層短信或者微信之類的二次認證， 參考OTP或者U2F）。 做好之後，可以避免來自互聯網的初級駭客和蠕蟲病毒的攻擊，比如不會受類似近期比較猖獗的MangoDB、ElasticSearch勒索事件影響；中小商業網路安全建設指引

【理論篇】

如培訓現場所言，企業的網路安全是一個體系，方方面面都做的話是一個大工程，即使只是網路安全一個分支也需要較長時間建設，所以在早期需要解決當前主要矛盾(即「止血」，在關鍵位置先控制住大部分風險)。 基於我們幾個人過往的從業經驗，我們建議各位在以下幾個關鍵位置做好控制，則可以達到事半功倍立竿見影的效果：

1)埠管控。 所有伺服器非業務埠全部對互聯網關閉，管理埠只能通過內部堡壘機訪問，必須要對互聯網開啟的埠要嚴格做好IP(或者帳號)白名單存取控制(對於Web層，更安全的做法是再增加一層短信或者微信之類的二次認證， 參考OTP或者U2F)。 做好之後，可以避免來自互聯網的初級駭客和蠕蟲病毒的攻擊，比如不會受類似近期比較猖獗的MangoDB、ElasticSearch勒索事件影響;

2)按區隔離。 普通區與高危區網路隔離或者二者之間用DMZ做緩衝，比如安全形勢複雜的辦公環境與生產環境隔離，生產環境內部核心機器與普通機器隔開。 如果駭客入侵了某個普通區，我們還有機會避免重要資產的損失;

3)統一架構。 參考微軟提出的SDL(Security Development Lifecycle，安全開發生命週期)，使用統一的研發和運維框架(這部分還要研發管理和運維的配合)，並在框架的關鍵路徑加入安全檢查， 如果出現漏洞只需要更改框架即可，避免到處漏水，可一勞永逸;

4)嚴防出口。 布控業務發佈流程，將安全審核嵌入到上線前的發佈流程並作為關鍵環節並具備高危漏洞一票否決權;

5)安全介面。 從業務團隊找出一位同志擔任安全介面人，由他來負責業務團隊與安全團隊的對接，協助推動安全工作;

6)上層支援。 這個是決定性的因素，不多說。

只要不折不扣地做到以上幾點，基本上可以解決百分之九十以上的已知問題，等於是通過加固把攻擊者的攻擊點控制在了已知範圍，詳細思路參考這篇文章。 但是，要時刻記住，以上措施只是緩解了外部的直接攻擊(很多風險在內網仍然存在)，並不能高枕無憂，畢竟駭客如果能夠找到突破點進入到內網仍然可以長驅直入。

大的面上控制住後就是對某個點的精細化運營，也就是建立縱深防禦體系。 這裡需要投入大量資源，投入的資源視企業自身對資訊安全的需求程度而定。 近期谷歌發佈的谷歌基礎設施安全設計概述(Google Infrastructure Security Design Overview)就全面闡述了谷歌的基礎設計的安全設計思路以及實踐，從硬體到應用層都做了防護，縱深防禦層層相扣， 幾乎做到了企業安全的極致，也是我輩學習的典範(我們會在另外的文章深入分析學習谷歌基礎安全)。

【工具篇】

「工欲善其事必先利其器」，有工具的輔助會節約人力和提升效率。 好在互聯網是開放的，很多優秀的安全工具是免費甚至開源的，這裡主要是整理一些常用的免費安全工具/線上服務，希望能夠説明到大家。 有些工具有一些年頭了——old，but not obsolete。

[ 掃描探測 ]

Nmap(HTTPs://nmap.org/)，不僅僅是埠掃描器，支援各種網路設備的探測，尤其對當今物聯網環境特別有用;同時結合各種腳本，能夠實現漏洞掃描，在安全性漏洞應急中可用於評估漏洞影響範圍，方便高效。

Masscan (HTTPs://github.com/robertdavidgraham/masscan)，類似Nmap，但功能更聚焦于埠掃描，雖然沒有Nmap功能強大，但速度快，號稱「互聯網最快的IP埠掃描器」。

[ 暴力破解 ]

Hydra (HTTPs://www.thc.org/thc-hydra/)，網路帳號破解工具，支援非常多的協定，是企業比較好的可以用於弱口令測試的工具(當然我認為你的這些埠都不應該開在互聯網，但是總有例外)。

John the Ripper(HTTP://www.openwall.com/john/)，開源免費的跨平臺暴力破解工具，支援許多加密演算法，比如MD5、DES等等，常被用於Unix/Linux系統登錄弱口令探測。

[ Web漏洞檢測 ]

AWVS Acunetix Web Vulnerability Scanner(HTTP://www.acunetix.com/vulnerability-scanner/)，著名的商業化Web漏洞掃描器， 集成了各種漏洞掃描與利用的工具，支援許多Web漏洞類型以及一些主流Web產品歷史漏洞的掃描，是一款綜合性較強的掃描器，可作為首選。 騰訊自研的Web漏洞掃描器也拿它作為對標競品之一。

APPScan(HTTP://www-03.ibm.com/software/products/en/appscan-standard)，IBM出品的Web漏洞掃描器，與AWVS齊名， 也是騰訊自研Web漏洞掃描器的對標競品。

BugScan(HTTPs://old.bugscan.net)，四葉草安全出品的基於Python的Web漏洞掃描器。 亮點是基於社區的掃描器，大家都可以編寫外掛程式，所以外掛程式全面並且更新快。

sqlmap(HTTP://sqlmap.org/)，基於Python開源的SQL注入工具，功能非常強大，常被用於SQL注入的漏洞滲透測試，也有很多廠商基於它做二次開發，增加了GUI介面、主被動式批量掃描等功能。 同時它也支援自訂腳本，常被用於繞過WAF防護進行注入，可擴充性較強。

Burp Suite(HTTPs://portswigger.net/burp/)，著名的Web安全測試控管，可代理HTTP/HTTPS抓包，方便分析與重放請求包，再結合一些安全外掛程式可以非常方便地挖掘Web漏洞。

JSky，好用的Web應用安全偵查工具，國內駭客zwell出品。

Safe3 Web Vul Scanner，國內另一駭客safe3的Web漏洞偵查工具。

WPScan(HTTPs://wpscan.org/)，專門針對WordPress程式的漏洞偵查工具。 WordPress是一個PHP開發的Blog系統，卻有專門漏洞偵查工具....... 由此可見，沒有特殊理由不要使用協力廠商開源Web程式(不知道當年的風靡一時的ASP論壇動網還在不在)。

RIPS(HTTP://rips-scanner.sourceforge.net/)，一款開源的PHP代碼審計工具，能夠從代碼級檢測常見的Web漏洞，但需要人工去排查確認結果，存在一定誤報， 比較適合具備Web安全研究經驗的PHP開發者。

[Web防火牆 ]

ModSecurity(HTTP://www.modsecurity.org/)，開源的主機Web應用防火牆，支援Apache、Nginx、IIS等Web伺服器

，研究和體驗WAF的首選參考。

創宇盾(HTTPs://www.yunaq.com/cyd/)，知道創宇出品的線上Web防護服務，是將DNS指向雲服務商清洗的原理，免費版給小型使用者作為常規攻擊防護還是足夠的。

阿裡雲盾(HTTPs://cn.aliyun.com/product/waf)，阿裡雲提供的Web應用防火牆，屬於收費服務。

騰訊雲WAF(HTTPs://www.qcloud.com/document/product/296/2227)，由騰訊雲提供的Web應用防火牆，支援Web漏洞防護以及虛擬補丁，可通過購買騰訊雲主機直接使用。

[ 用戶端安全檢測]

騰訊金剛(HTTP://service.security.tencent.com/kingkong)，由騰訊安全平臺部出品的免費終端安全審計服務，脫胎于內部使用的金剛系統，屬於國內最早公開的Android APP漏洞檢測系統。

阿裡聚安全(HTTP://jaq.alibaba.com/)，由阿裡聚安全開發的移動APP線上審計系統，支援Android/iOS，屬於收費專案。

360顯危鏡(HTTP://appscan.360.cn)，360資訊安全部開發的Android APP安全風險線上掃描系統，免費服務。

AFL-Fuzz(HTTP://lcamtuf.coredump.cx/afl/)，由Google開發的開源的著名Fuzzer，對於開源專案的Fuzzing效果尤其好，目前已發現數百個主流軟體的漏洞， 能夠自動尋找執行路徑並回饋驅動Fuzzing，算是漏洞挖掘界中的一顆明星。

(目前移動用戶端自動化偵查工具主要用於上線前自動化安全審計，檢測結果不一定準確，需要人工複查)

[ APP加固 ]

騰訊雲樂固(HTTP://legu.qcloud.com)，騰訊雲出品的線上APP加固服務，通過對APP進行加密混淆，可有效地防止APP被逆向分析，防止盜版。 同時提供即時的管道監控和安全SDK包。

騰訊禦安全(HTTP://yaq.qq.com/)，騰訊手機管家團隊出品，主要解決應用安全加密、安全存儲、安全加簽、反調試、反篡改等難題。

阿裡聚安全(HTTP://jaq.alibaba.com)，除提供APP漏洞檢測外，它還提供有應用加固和持續監控的功能。

360加固保(HTTP://jiagu.360.cn)，360開發的Android應用加固服務，同時包括盜版檢測、崩潰日誌分析、資料分析等服務。

(目前從技術上來說，應用加固只能提高應用破解難度，無法保證百分百的安全)