网络安全防护体系建设经验分享v要点.pptVIP

目录 1 安全理念 2 3 防护体系 技术团队 *01 安全理念 安全理念：一、二、三、四 360 安全理念 四个假设 三个阵地 一个中心 两个原则 安全理念：一个中心 办公网 数据中心 VPN 网络 整体防护 10 多个Lan办公网络 80 多个数据中心 VPN 网络 安全理念：两个原则 攻防平衡原则 现实社会中，攻防本质是成本的对抗 防守就是在受保护的目标价值、安全投入、性价比 三者之间做 tradeoff 攻防之间是动态的平衡，攻击在不断变化，决定防守需要持续升级，否则将失去平衡 自主可控原则 真正的安全来自于可控的安全团队加上可控的安全工具 一手抓安全防护 一手抓安全工具的自主开发 安全理念：三个阵地 三大 战役 第一道防线：争夺边境线 产品 对外服务 员工 重要服务器 重要业务系统 重要数据 监控 审计 大数据分析 最后一道防线：反潜伏 纵深防线：保卫大城市 安全理念：四个假设 如何发现漏洞利用行为 如何检测攻击行为 系统一定 有未发现的漏洞 系统一定 有已发现但仍未修补的漏洞 员工并不可靠 系统已经被渗透 及时发现漏洞 强制修补漏洞 如何发现系统已经被渗透 如何处理已经被渗透的漏洞 如果重现攻击过程 如何溯源 如何发现员工的异常行为 如何检测并阻断来自内部的攻击 安全理念：想攻击者所想 Thinking as the Attackers *01 防护体系 防护体系整体构建 网络访问控制统一管理平台 天眼威胁感知系统 无线入侵检测与防护系统 Web安全扫描系统 Webshell白盒扫描系统 Andriod漏洞半自动化扫描系统 安全扫描系统 第三方安全漏洞监测系统 办公网安全审计系统 天擎 天机 双因子认证 密码破解机 堡垒机 数据安全审计系统 服务器日志分析平台 Webshell 监控平台 第一道防线 纵深防线 最后一道防线 员工：安全是责任 员工是第一道防线 也是最脆弱的防线 制度 隔离 强制策略 必须安装360天擎 24小时必须重启一次 终端有漏洞必须修复 密码最少15位 …… 最小化访问权限 IDC与办公网隔离 办公网与办公网隔离 办公网内部主机间隔离 …… 不妥协！ 小问题警告（事不到三） 大问题辞退（零容忍） 问责诛连到主管VP 问责 密码破解设备 GPU GPU 密码破解机 分布式彩虹表存储阵列 密码碰撞 彩虹表MD5碰撞 彩虹表规模超5.5万亿 两台GPU服务器24小时不停机碰撞 秒杀“弱口令” 密码管理规定 口令长度最少15位 凡被破解的密码均视为弱口令 服务器与业务系统 监控 全流量听包、存储 大数据分析 沙箱实时检测 补洞 实时扫描线上系统漏洞 抓取安全论坛最新发布漏洞 连夜分析影响，迅速修复 日志分析 修改shell，发送系统日志到日志服务器 利用大数据技术识别日志异常并报警 堡垒主机 统一登陆认证 集中运维审计 异地容灾 三地机房在线同步 负载均衡，灾难调度 离线备份作为后援 核心监控设备 天眼：沙箱 + 大数据分析 鹰眼：一网打尽Web漏洞 监控100Gbps的实时带宽 每天存储50TB的流量数据 沙箱分析平均延时10秒 每天存储的日志条数4000亿 核心将控设备：服务器日志异地存储与分析系统 *01 线上服务器 日志存储与分析服务器 服务器shell日志自动上传 修改过的 服务器shell Shell日志远程存储 Shell日志大数据异常分析 产品：源代码/二进制程序板子半自动检查 情况一： 开发人员主动提交 上线程序及代码 情况二： 开发人员私自将所开发的程序上线 服务器上的监控程序会自动将新增、变化的文件送到代码检查服务器进行检查 代码检查服务器 C、C++、PHP …… Web漏洞扫描 Webshell扫描 Andriod漏洞扫描 漏洞扫描 后门扫描 …. 网络访问控制统一管理平台 R2621 R3680E R3680E NE08E E100 IDC 办公网 R2631E R2631E 360大厦 R3680E NE40 R3680E 分支 内部线路 VPN VPN VPN 防火墙 管理员 网络访问控制 统一管理平台 配置 ACL Wifi终端设备：受控使用 只有注册IMEI才能使用公司内部的Wifi上网 只有使用域账号才能连接上公司内部的Wifi 可以通过鹰隼系统定位到Wifi终端的物理位置 绵羊墙 Wifi接入设备（AP）：入侵检测与防护 鹰隼：无线AP入侵检测与防护 实时掌握360办公区内的所有热点 对非360提供的热点进行阻断 终端关注针对AP