中小企业网络应用安全防护体系建设探讨

◆张昌斌

中小企业网络应用安全防护体系建设探讨

◆张昌斌

（宁波张力网络股份有限公司 浙江 315600）

当前，企业信息网络面临的安全威胁与日俱增，如何建设有效合理的企业信息网络安全防护体系，始终是困扰CIO的难题。本文分析了中小企业面临的网络应用安全威胁与风险，从应用产品安全体系和安全服务体系两大维度，探讨面向中小企业网络应用安全防护体系的建设思想。

信息技术；网络安全；信息安全；应用安全；安全防护体系

0 前言

当前，企业信息网络面临的安全威胁与日俱增，如何建设有效合理的企业信息网络安全防护体系，始终是困扰CIO的难题。尤其是在《网络安全法》全面施行的时代背景下，企业的网络安全责任日益重大。而中央网信办、公安部、工信部等政府主管部门颁布实施的系列法律法规，又给企业的网络安全保护提出更高的要求。

近年来，传统网络安全防御手段主要依赖硬件防火墙、单向隔离网闸等边界防御设备，或是通过入侵检测系统（IDS）、入侵防御系统（IPS）等检测设备，甚至依赖于杀毒软件从而阻拦一部分攻击。然而，随着大数据、云计算、AI技术的突发猛进，黑客入侵攻击手段发展迅速且手法新颖，他们可以轻松绕过边界防御的方式登录内网，或是直接突破边界防御设备入侵系统。大量的案例分析证明，传统的安全防御办法并不能阻止全部入侵攻击行为。把希望寄托在安全防御产品去阻拦攻击不再可行，企业必须要在安全防御产品的基础上，增加安全服务体系的双重保护，信息安全才能得到更好的保障。

对于广大的中小企业而言，昂贵的安全防御产品和紧缺的安全运维人才，是建立安全防护体系面临的最大问题。况且，大部分中小企业并无足够的资金采购符合网络安全等级保护要求的产品和服务。如何以相对合理的投入，达到较好的防护效果，而不是注重硬件上或者形式上的安全保护措施，是目前广大中小企业亟需解决的问题。

黑客攻击防不胜防，配置不当，程序漏洞，安全意识匮乏，都将成为企业中招的原因。而大多数时候，企业从安全咨询报告中拿到的只是存在问题的列表。至于如何分辨漏洞危害，如何修复问题，以及从哪儿开始，企业却无从得知。除了防守之外，企业如何避免成为自身漏洞的生产者，不给攻击者留下可乘之机，一旦遭遇攻击，怎样有效应对。企业洞察安全问题背后的逻辑：在复杂的攻击行为中呈现完整的攻击线路图；从黑客的视角解读网络环境中风险评估的实践；任何类型的安全管理手段对企业都是有效的。根据这个基本逻辑，绘制中小企业网络应用安全防护体系建设图如图1所示：

1 网络应用安全产品体系设计

在企业网络应用安全产品体系设计中，建议做好四个方面的工作。

（1）企业要部署Web应用防护系统（WAF）。Web应用防火墙通过执行针对HTTP/HTTPS的安全策略为Web应用提供保护。无规则WAF作为最新信息安全技术，用来解决防火墙等传统设备束手无策的Web应用安全问题。与防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类Web应用进行有效防护。

图1 安全防护体系建设示意图

（2）企业要部署内网威胁感知系统（Honeypot Technology）。蜜罐技术作为情报收集系统，本质上是一种对攻击者进行欺骗的技术，通过布置高仿真诱饵主机、网络服务或者信息，诱使攻击者对它们实施攻击，从而可以对攻击行为进行捕捉和分析，掌握攻击者使用的工具和方法，推测攻击意图和动机，能够让防御方清晰地了解所面对的安全威胁，并通过技术和管理手段来增强系统的安全防护能力。内网威胁感知系统成功引诱攻击者入侵后，就可以了解对方针对服务器发动的最新攻击和漏洞，并对攻击者进行画像。

（3）企业要应用安全评估系统（Safety assessment），这是一款以漏洞扫描技术为核心安全工具。企业信息系统经常会面临内部和外部威胁的风险。随着攻击者技术的日趋先进，只有掌握这些攻击者技术的经验与知识，才能充分保护系统安全。安全评估系统利用大量行业经验和漏洞扫描的先进技术，从内部和外部两个角度，对企业信息系统进行全面的风险评估。由于各种平台、应用、连接与变更的速度和有限的资源组合在一起，因此采取措施保护组织的资产比以往任何时候都困难。网络环境越复杂，就越需要这种措施和控制来保证组织业务流程的连续性。因此，在企业安全项目评估阶段，为了充分了解企业网络信息系统的安全隐患，需要对网络系统进行安全状况分析。安全评估系统和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。该工具集资产管理、Web 扫描与主机扫描为一体，帮助企业全面封堵因漏洞带来的安全风险，做到防患于未然。

（4）企业应搭建服务器安全平台。企业多层架构的工作负载服务器环境不可避免的复杂，随之产生的风控及合规等安全问题亟需解决。通过研究梳理发现，从服务器内部发现安全问题，核心应抓住三个维度：一是管理维度，通过服务器的用户、进程、端口以及连接状态等信息，观察存在的异常情况；二是排查维度，根据服务器上安装的程序和服务器的配置定位，通过基线检查和异常检测分析可能存在的安全风险；三是监控维度，在服务器已经被入侵的情况下，通过对反弹Shell、后门排查、暴力破解、异常登录等各种行为进行监控，快速寻找和清理被植入的后门程序。当前，基于Agent技术的深度服务器工作负载安全平台，在庞杂的混合云环境下，可以无间断监控攻击者的攻击行为，发现自身系统潜在风险触发的异常变化，并进行快速处理，提升企业资产能见度并有效防御入侵。

2 网络安全服务体系设计

在企业网络安全服务体系设计中，建议从五个方面做好相关工作。

（1）选择渗透测试服务，料敌机先。本人研究和服务项目的数据显示，约60%企业存在丢失系统最高权限的风险，超过70%存在信息泄露漏洞，超过50%存在越权漏洞，约30%存在越权以外的业务逻辑漏洞。由于企业线上业务的基础架构与网络环境变得越来越复杂，导致安全漏洞经常出现在缺乏关注的角落；随着企业资产数据的增值，由恶意攻击导致的信息泄露、业务宕机，甚至系统权限丢失，正在让企业付出高昂的代价。为保障企业线上业务安全，需要先于攻击者找到并解决问题。渗透测试是一种以黑客视角，通过模拟入侵识别IT基础架构中不安全因素的评估方法，能够验证目标系统的技术安全性，快速发现当前亟待解决的关键问题。在渗透测试过程中，严格遵守授权许可范围，并通过风险规避和过程控制保证不妨碍正常业务的运转。然后，通过修复漏洞，以领先攻击者的方式，帮助企业实现业务安全。

（2）做好应急响应工作，提升自身防护能力。应急响应是指企业为应对突发、重大的信息安全事件发生所做的准备，以及在事件发生后所采取的措施，其目标是帮助企业合理应对安全事件，最小化负面影响。分别从事件发生前的威胁检测与攻击发生时的应急处置入手，帮助企业提升信息安全事件的发现能力和应对能力，并在根除攻击症状之后，针对问题根源提供加固建议，以避免同类事件再次发生。企业在攻防对抗演练的过程中，自身防护水平会不断增强。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减，但没有任何一种信息安全策略或防护措施能够提供绝对的保护。

（3）选择代码审计服务，解决业务隐患。代码审计是一种以发现程序错误、安全漏洞和违反程序规范为目标的源代码分析。它是防御性编程范式的一部分，旨在检测代码中存在的安全缺陷，针对存在的缺陷提供解决方案，降低程序使用时的安全风险。在软件发布前进行代码审计，可将不安全因素扼杀在萌芽状态，极大缩减了后期修复所花费的成本。代码安全审计能更深层地发现代码中的隐患，测试过程不会对线上业务造成影响，不会导致诸如系统宕机、服务卡死、数据库阻塞、业务数据丢失等风险。但由于代码审计需要深入理解代码逻辑和业务结构，因此对审计人员的能力素质要求较高，需要花费的精力也更多。企业一般会选择专业的网络安全公司提供代码审计服务，通过人工观察、模拟执行或半自动化工具扫描的方式，全面深入挖掘代码中的通用Web漏洞、业务逻辑漏洞、应用程序漏洞以及应用程序配置文件中的不安全因素等，不仅解决现存隐患，更能通过针对性帮助企业整体提升编程安全水平。

（4）选择基线检查服务，补齐安全短板。基线检查，又称为基础安全配置核查，旨在针对不同版本服务器系统、第三方应用软件、第三方网络硬件设备、接入控制、恶意软件对抗等进行基础安全配置检查。基线检查的目标在于补齐安全短板，提升企业的安全系数。在企业日常网络安全工作中，基线检查可以有效解决以下实际问题：正确配置和管理企业业务系统，检查攻击者是否已进入系统或网络，明确现行系统安全设置的更改行为，并对企图绕过安全设置的恶意操作加以阻止。目前网络安全环境不断变化，许多企业面临着新技术与新问题的威胁困局。大部分企业的安全人员对于复杂、变化的安全威胁无计可施，面对不清晰的规则与复杂的要求无所适从。因此，邀请专业安全厂商的技术专家，对企业进行有效、全面的基线检查安全服务，能帮助企业的数据免受已知的网络攻击，是提高安全短板的最佳选择。

（5）不断学习，请专家提升企业安全能力。网络安全的本质是人与人之间的攻防对抗。因此人才是企业网络安全的最后一道防线！企业可以不定期组织和参加网络安全专题培训，根据所在行业针对性地学习本行业漏洞案例、行业安全问题、安全防护手段等专业课程，包括 CTF 比赛中常见的 Web、Pwn、Reverse、Crypto、Misc、Stego、Forensics 等题型培训，从网络安全基础理论到漏洞缺陷等，帮助企业安全团队迅速掌握攻防实战技能。也可以组织员工参加攻防实训，邀请安全专家定制出题，提供 Web 安全、二进制安全、移动安全、密码学、隐写与取证技术等多个安全技术方向的课程，快速提升网络安全人才素质，全面提升企业网络安全防护水平。

3 结束语

笔者根据多年真实攻防经验，梳理以上安全服务核心环节，分别从攻击视角、防守视角和攻防视角提供安全体系建设思路。本文分析了中小企业面临的网络应用安全威胁与风险，从应用产品安全体系和安全服务体系两大维度，探讨面向中小企业网络应用安全防护体系的建设构想。总之，企业应该在安全防御产品的基础上，增加安全技术服务项目，让企业的信息网络安全得到双重保护。

[1]长亭科技官方网站（www.chaitin.cn）、长亭安全服务白皮书（2018版），2018.