被懟后的思考:做安全為了什么?

引言

????

????????一篇對目前工作的思考與總結(jié)，本人以數(shù)據(jù)泄露為主線，從黑、白、灰三個(gè)場景對數(shù)據(jù)安全、DevSecOps等相關(guān)知識進(jìn)行了學(xué)習(xí)與了解。

????????下面將思考與實(shí)踐的過程分享給大家，文中若有錯(cuò)誤觀點(diǎn)，歡迎大家及時(shí)指出或一起交流。

一、為什么寫這篇文章

免得大家說是標(biāo)題黨，我先解釋為什么寫這篇文章，咳咳！

????????又是一個(gè)跳槽季，身邊有朋友就來問："我這兒有個(gè)坑，要不要考慮一下，待遇肯定比你現(xiàn)在好！怎么樣？出來約個(gè)飯??！"

????????飯，約完了。

????????人，開始糾結(jié)了。

????????福利確實(shí)誘人，也挺心動，于是開始胡思亂想！

????????接著就是，思考自己現(xiàn)在做的事情，真的能學(xué)到東西嗎？梳理了下自己在做的東西，很多很雜，列舉下：

SRC運(yùn)營 ? ? # 活動策劃、三方對接、漏洞審核、推動整改閉環(huán)等WAF運(yùn)營 ? ? # 運(yùn)營+遷移，由自研遷移至商用安全培訓(xùn) ? ?# 意識培訓(xùn)、技術(shù)培訓(xùn)公司活動 ? ?# 網(wǎng)絡(luò)安全周策劃組織，推廣意識及安全部門品牌攻防演練 ? ?# 負(fù)責(zé)從籌備方案到演練復(fù)盤再到付款的全部工作需求評審 ? ?# 目前已從人工改成自動化評審安全評估 ? ?# Web 、主機(jī) 、小程序 、APP設(shè)備運(yùn)營 ? ?# Waf 、終端安全 、入侵檢測 、 各種監(jiān)控等應(yīng)急響應(yīng) ? ?隱私合規(guī)、等保、27001...

????????思考完，感覺好像學(xué)不到新的東西，像是在浪費(fèi)時(shí)間，于是跟之前同事聊（抱）天（怨），分享下當(dāng)時(shí)朋友問我的幾個(gè)問題（反正我受益匪淺）：

• 1、沒技術(shù)含量、好做、能賺錢就行，多出來時(shí)間自己學(xué)習(xí)。

• 2、為啥做waf？優(yōu)缺點(diǎn)是啥？不做行不行？有沒有可替代的東西？

• 3、SRC 為了啥？只是接受漏洞、修漏洞？

• 4、現(xiàn)在工作為了什么？滲個(gè)透，評個(gè)審，應(yīng)個(gè)急？

• 5、你為什么這么做？你可以怎么做？

• 6、你可以跟領(lǐng)導(dǎo)提問題，但是你得拿出解決方案，要不然就是抱怨。

????????這些問題可以說是沒給我思考時(shí)間一起甩出來的，當(dāng)時(shí)懵逼了，但有個(gè)模模糊糊的理解：“現(xiàn)在是在打地基，地基不穩(wěn)怎么往上走。”

????????當(dāng)時(shí)很多問題是真不知道怎么回答，只能說：“大佬說的對，有道理，小弟確實(shí)沒考慮到這么多?！?/span>

????????大哥說的肯定是對的，剩下的就需要自己去悟了，所以就有了這篇文章，下面一起聊一聊我悟出來的一些理解，有不對的地方歡迎大佬們及時(shí)指出。

二、思考·做這些為了什么

思考這個(gè)問題的時(shí)候，我搜索了“網(wǎng)絡(luò)安全法”，簡述如下：

網(wǎng)絡(luò)安全法·簡述

????《中華人民共和國網(wǎng)絡(luò)安全法》是為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展而制定的法律。

還搜了“網(wǎng)絡(luò)安全”，簡述如下：

網(wǎng)絡(luò)安全·簡述

????網(wǎng)絡(luò)安全（Cyber Security）是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

????????隨后，我根據(jù)這兩個(gè)概念思考了我們（從業(yè)人員）- 網(wǎng)絡(luò)安全 - 網(wǎng)絡(luò)安全法三者之間的關(guān)系，如圖：

"攻"與"防"的目的

防守的目的

1、圖中可以看出，我們最終目的是：

????

????保護(hù)公司、員工、用戶的合法權(quán)益。

? ? 維護(hù)國家、社會、公民、法人、組織的合法權(quán)益。

2、實(shí)現(xiàn)方法：

????

????保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)。

????即保護(hù)其保密性、完整性、可用性、可控性、不可抵賴性！

3、影響因素：

• 自然災(zāi)害、意外事故

• 人的因素，如使用不當(dāng)、安全意識薄弱

• 計(jì)算機(jī)犯罪，如黑客攻擊、利用計(jì)算機(jī)進(jìn)行詐騙、傳播不良信息

• 內(nèi)外部泄密行為

• 信息丟失，如地域、線路因素

• 信息竊取，監(jiān)聽等

攻擊的目的

1、同時(shí)，想一下我們對手“黑客”攻擊的目的：

????

????大致為三類：

? ? ? ??- 以滿足個(gè)人欲望為目的? # 我就打著玩，看看能不能入侵成功

????????場景：小學(xué)生為了炫技或滿足好奇心。

? ? ????危害：危害較小，不會影響業(yè)務(wù)正常使用，但隱患會一直存在。

????????- 以利用硬件資源為目的? # 挖礦、做肉雞等

? ? ????場景：占用資源挖礦、以入侵的服務(wù)器做跳板機(jī)對其他公司發(fā)起攻擊。

? ? ????危害：服務(wù)器資源被占用影響正常運(yùn)轉(zhuǎn)使用、公司向外發(fā)起攻擊危害要看被攻擊的對象這里不多說。

????????- 以非法盈利為目的? ? ? # 破壞機(jī)密性、完整性、可用性

? ? ????場景：黑產(chǎn)獲取數(shù)據(jù)后對外出售、網(wǎng)頁掛菠菜頁面、競對公司偷取數(shù)據(jù)、拒絕服務(wù)攻擊。

? ? ????危害：小到影響用戶&公司、大到影響社會&國家。

? ??

2、實(shí)現(xiàn)方法：

????

• 物理攻擊

• 網(wǎng)絡(luò)攻擊

• 社會工程學(xué)攻擊
  

3、影響因素：

• 物理安全

• 系統(tǒng)安全

• 網(wǎng)絡(luò)安全

• 應(yīng)用安全

• 管理安全

? ??

????結(jié)合影響因素，很容易就可以明白為什么有關(guān)部門會要求一些公司的重要系統(tǒng)每年都要做等保認(rèn)證。

????????這時(shí)，我還發(fā)現(xiàn)一個(gè)有意思的事情，那就是思考完防守&攻擊目的后，發(fā)現(xiàn)兩者最最核心的點(diǎn)是"數(shù)據(jù)"，于是繼續(xù)翻閱《中華人民共和國網(wǎng)絡(luò)安全法》（ps：這個(gè)時(shí)候只有網(wǎng)絡(luò)安全法，數(shù)據(jù)安全法還未發(fā)布）看到如下條款：

第三章-網(wǎng)絡(luò)運(yùn)行安全·第二十一條

????第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

劃重點(diǎn)：防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

第三章-網(wǎng)絡(luò)運(yùn)行安全·第二十二條

????第二十二條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

? ? 網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護(hù)。

? ??

? ? 網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個(gè)人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

劃重點(diǎn)：網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個(gè)人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

????

第四章-網(wǎng)絡(luò)信息安全

第四十條 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。

第四十一條 網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

? ? 網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。

第四十二條 網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外。

? ? 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

? ??

第四十三條 個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。

第四十四條 任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

第四十五條 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供。

劃重點(diǎn)：用戶信息、個(gè)人信息

第六章-法律責(zé)任

第五十九條 網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

? ? 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

第六十四條 網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

? ? 違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款。

劃重點(diǎn)：第二十一條、第四十一條、第四十三條、第四十四條

????????除此之外，還有很多相關(guān)法律條款這里不一一列舉，不過這時(shí)可以得出結(jié)論安全投入的絕大部分是為了保護(hù)"數(shù)據(jù)"。

三、實(shí)踐·我可以怎么做

????????思考完“這么做為了什么”，也就不再迷茫糾結(jié)，有了新方向剩下的就是踏實(shí)干！實(shí)踐！

01?數(shù)據(jù)安全·思考

數(shù)據(jù)安全·簡述

????國際標(biāo)準(zhǔn)化組織（ISO）對計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此計(jì)算機(jī)網(wǎng)絡(luò)的安全可以理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。????

防守的目的

1、目的

????

? ? 見上文關(guān)系圖。

2、實(shí)現(xiàn)方法：

????

????保護(hù)數(shù)據(jù)機(jī)密性、完整性、可用性-->保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)。

3、影響因素：

• 破壞，自然災(zāi)害、硬盤驅(qū)動、人的行為（誤操作）、內(nèi)鬼（社會工程學(xué)攻擊）、黑客（網(wǎng)絡(luò)攻擊）

• 更改，人的行為（誤操作）、內(nèi)鬼（社會工程學(xué)攻擊）、黑客（網(wǎng)絡(luò)攻擊）

• 泄露，人的行為（誤操作、安全意識薄弱）、內(nèi)鬼（社會工程學(xué)攻擊）、黑客（網(wǎng)絡(luò)攻擊）

攻擊的目的

????見上文"攻"與"防"的目的中攻擊的目的。

????????最終，結(jié)合攻擊目的與影響因素，我發(fā)現(xiàn)除去自然因素、硬件本身問題外，關(guān)注度最高、危害最大、攻擊收益最高的影響數(shù)據(jù)安全的因素是"泄露"。

02?數(shù)據(jù)安全·泄露

那明確核心之后，我梳理了一些數(shù)據(jù)泄露所涉及的一些場景，如下圖：

注解

黑，黑客通過網(wǎng)絡(luò)攻擊入侵導(dǎo)致的數(shù)據(jù)泄露；

白，由于內(nèi)部人員安全意識薄弱導(dǎo)致的數(shù)據(jù)泄露；

灰，內(nèi)鬼、黑產(chǎn)通過爬蟲等比較難發(fā)現(xiàn)、難控制的手段獲取數(shù)據(jù)導(dǎo)致的數(shù)據(jù)泄露；

接著，我根據(jù)三種場景的成本、價(jià)值排序開始了本次修行。

????長路漫漫其修遠(yuǎn)兮,吾將上下而求索。 ——屈原

白->黑->灰

2.1?白

白，場景如上文圖中所示

簡述：?

????此類風(fēng)險(xiǎn)主要是員工意識薄弱導(dǎo)致，搜索發(fā)現(xiàn)發(fā)生較多還是Github泄露（當(dāng)然也有網(wǎng)盤泄露敏感信息等）。

實(shí)施措施：

????制度->安全意識培訓(xùn)->監(jiān)控->DLP->其他

成本：?

????相較于黑&灰兩種場景，實(shí)施成本較低。

價(jià)值：?

????提高員工意識、解決由員工安全意識薄弱導(dǎo)致信息泄露這一場景。

????

????????其實(shí)在此場景下最多的還是員工將數(shù)據(jù)上傳至云平臺（網(wǎng)盤、Github等）導(dǎo)致的信息泄露，以Github導(dǎo)致信息泄露的場景為例開始思考如何做相關(guān)安全建設(shè)：????

1、制度

????????"無規(guī)矩不成方圓"，在公司層面制定相關(guān)制度如禁止將代碼傳至Github等其他開放平臺等，這塊主要由合規(guī)的同學(xué)來做不做太多描述。

2、安全意識培訓(xùn)

????????列舉由于員工安全意識薄弱導(dǎo)致的泄露數(shù)據(jù)場景、風(fēng)險(xiǎn)、案例，避免此類問題發(fā)生。

????????

????????參考鏈接：https://www.freebuf.com/articles/es/231310.html

3、監(jiān)控

?

????????針對Github信息泄露場景，其實(shí)很多公司都會遇到因此互聯(lián)網(wǎng)上已經(jīng)有很多開源的平臺供大家使用，具體使用方法及搭建過程，可點(diǎn)擊下面鏈接了解：

Github監(jiān)控平臺搭建及使用

老年人，公眾號：老年人的雜貨鋪Github監(jiān)控平臺-Hawkeye

4、DLP

??? ??? DLP，其實(shí)是作為多個(gè)場景（黑、白、灰）下數(shù)據(jù)泄露的重要輔助方法，不管是數(shù)據(jù)防泄漏，還是推動公司相關(guān)數(shù)據(jù)安全制度落地都有很大的作用。??

5、其他

????????“不能讓業(yè)務(wù)沒地方玩，不然沒人跟安全玩。”，解決安全問題的同時(shí)一般也會對業(yè)務(wù)或工作效率帶來一些影響，以Github信息泄露為例，代碼管理平臺對與多人協(xié)同開發(fā)是很重要的。

????????不允許研發(fā)上傳公司業(yè)務(wù)相關(guān)代碼至Github公開代碼放庫，那就建議內(nèi)部搭建平臺供大家交流使用。

--------分割線--------

????????除此之外，安全意識培訓(xùn)也涉及釣魚郵件相關(guān)、Badusb演練相關(guān)，通過模擬真實(shí)攻擊的形式"以攻促防"，下面是參考鏈接：

????

Gophish?郵件釣魚平臺搭建及使用

老年人，公眾號：老年人的雜貨鋪Gophish 釣魚了解一下？

Badusb?環(huán)境搭建及使用

老年人，公眾號：老年人的雜貨鋪Badusb 攻擊實(shí)踐

白->黑->灰

2.2?黑

黑，場景如上文圖中所示

簡述：?

????????除釣魚攻擊社工外，主要場景還是利用漏洞的方式入侵系統(tǒng)（咳咳：弱口令yyds!），從而獲取重要數(shù)據(jù)。

實(shí)施措施：

????????安全左移，問題發(fā)現(xiàn)越早（在黑客之前發(fā)現(xiàn)問題），后期修復(fù)代價(jià)越小。

成本：?

????????較高，但可以根據(jù)實(shí)際價(jià)值在DevSecOps拆分不同階段的優(yōu)先級進(jìn)行實(shí)施。

價(jià)值：?

????????在軟件設(shè)計(jì)之初規(guī)避風(fēng)險(xiǎn)，降低漏洞修復(fù)成本，減少黑客利用漏洞入侵系統(tǒng)這一場景。（當(dāng)然完整的DevSecOps建設(shè)，在每個(gè)階段都有各自不同的價(jià)值?。?/p>

????????隨著開發(fā)運(yùn)營模式的轉(zhuǎn)變，將安全左移，在軟件開發(fā)生命周期中嵌入安全是一個(gè)必然的趨勢，于是乎繼續(xù)下一場修行-DevSecOps！

了解DevOps->DevSecOps的過程

01?概述

??? ??? DevSecOps 是一場關(guān)于 DevOps 概念實(shí)踐或藝術(shù)形式的變革。為了更好理解 DevSecOps，我去了解了DevOps的演變過程。

1.1 DevOps

DevOps 引言

????????隨著業(yè)務(wù)的增長，項(xiàng)目開始逐漸變得龐大，變成團(tuán)隊(duì)，出現(xiàn)分工，出現(xiàn)了產(chǎn)品經(jīng)理、項(xiàng)目經(jīng)理等等角色，這些角色間自然存在工作目標(biāo)上的矛盾。

????????舉個(gè)例子，對于運(yùn)維來說，穩(wěn)定壓倒一切，新的東西越來越少。而對于研發(fā)來說，自然希望開發(fā)更多的功能。

????????就像兩匹馬拉一輛車，如果馬頭向著的方向不一致，肯定是沒法全速前進(jìn)的。

????

??? ??? DevOps 的理念就是希望能打破這種屏障，讓研發(fā)（Development）和運(yùn)維（Operations）一體化，讓團(tuán)隊(duì)從業(yè)務(wù)需求出發(fā)，向著同一個(gè)目標(biāo)前進(jìn)。

????????但我理解根本原因還是開發(fā)模式的轉(zhuǎn)變，瀑布式開發(fā)->敏捷式開發(fā)->DevOps。

????????雖然敏捷開發(fā)大幅提升了軟件開發(fā)的效率和版本更新的速度，但是它的效果僅限于開發(fā)環(huán)節(jié)。研發(fā)們發(fā)現(xiàn)運(yùn)維那邊，依舊是鐵板一塊，成為了新的瓶頸。

????????運(yùn)維工程師和開發(fā)工程師有著完全不同的思維邏輯。運(yùn)維團(tuán)隊(duì)的座右銘，很簡單，就是“穩(wěn)定壓倒一切”。運(yùn)維的核心訴求，就是不出問題。

????????什么情況下最容易出問題？發(fā)生改變的時(shí)候最容易出問題。所以說，運(yùn)維非常排斥“改變”。

????????于是乎，矛盾就在兩者之間集中爆發(fā)了。

????????這個(gè)時(shí)候，我們的DevOps，隆重登場了。

那DevOps到底是什么？

????????維基百科這樣定義，DevOps是一組過程、方法與系統(tǒng)的統(tǒng)稱，用于促進(jìn)開發(fā)、技術(shù)運(yùn)營和質(zhì)量保障（QA）部門之間的溝通、協(xié)作與整合。

????????從目標(biāo)來看，DevOps就是讓開發(fā)人員和運(yùn)維人員更好地溝通合作，通過自動化流程來使得軟件整體過程更加快捷和可靠。

1.2 DevSecOps

DevSecOps 引言

????????隨著開發(fā)運(yùn)維模型的變更，DevOps帶來的各種優(yōu)勢和技術(shù)趨勢甚至成為了安全實(shí)施的難點(diǎn)，所以早在2012年Gartner就提出了DevSecOps，并通過這么多年的發(fā)展，逐漸成熟。

那什么是DevSecOps呢？

? ??

??? ??? DevSecOps是Gartner 2012年在一份報(bào)告中提出的概念，是應(yīng)用程序安全(AppSec)領(lǐng)域的一個(gè)相對較新的術(shù)語。它通過在DevOps活動中擴(kuò)大開發(fā)和操作團(tuán)隊(duì)之間的緊密協(xié)作，將安全團(tuán)隊(duì)也包括進(jìn)來，從而在軟件開發(fā)生命周期(SDLC)的早期引入安全。

??? ??? DevSecOps意味著安全是每個(gè)人的共同責(zé)任，每個(gè)參與SDLC的人都在將安全性構(gòu)建到DevOps CI/CD的工作中發(fā)揮作用。

DevSecOps的落地有幾個(gè)關(guān)鍵點(diǎn)：

????1、工具鏈建設(shè)

????2、自動化測試

????3、將安全嵌入CI/CD的工作中

結(jié)合了解的這些內(nèi)容，我開始了對這方面知識的學(xué)習(xí)與實(shí)踐。

02?Gartner's Model

2.1 Plan (需求&設(shè)計(jì)階段)

????????安全在軟件設(shè)計(jì)之初介入也是非常有必要的，可低成本規(guī)避風(fēng)險(xiǎn)，避免上線后造成更大損失。

解決技術(shù)安全債務(wù)

????????自從現(xiàn)代計(jì)算出現(xiàn)以來，安全防護(hù)便與軟件開發(fā)產(chǎn)生了巨大的脫節(jié)。在過去五年間，所有已發(fā)布的漏洞中有 76% 來自應(yīng)用。鑒于攻擊者的重點(diǎn)產(chǎn)生了這種根本性的轉(zhuǎn)變，到了將安全防護(hù)嵌入開發(fā)的時(shí)候了。為實(shí)現(xiàn)這一點(diǎn)，最好的方式是實(shí)施安全防護(hù)左移策略。

????????因此，需要安全人員評估以往需求中的坑點(diǎn)，針對存量問題及新增問題給出解決方案；

衡量指標(biāo)

????????確認(rèn)Devsec的衡量標(biāo)準(zhǔn)，彼得德魯克曾經(jīng)說過一句話：你如果無法度量它，就無法管理它（"It you can’t measure it, you can’t manage it"），因此DevSecOps推進(jìn)需要良好的度量方式，來用于評估研發(fā)團(tuán)隊(duì)的成熟度。

威脅建模

? ??

????????簡單來說，威脅建模就是通過結(jié)構(gòu)化的方法，系統(tǒng)地識別、評估產(chǎn)品的安全風(fēng)險(xiǎn)和威脅，并針對這些風(fēng)險(xiǎn)、威脅制定消減措施的一個(gè)過程。

????????例如，我們可以根據(jù)公司場景漏洞結(jié)合業(yè)務(wù)場景及功能模塊輸出相對應(yīng)的威脅建模并對相關(guān)業(yè)務(wù)研發(fā)人員進(jìn)行培訓(xùn)、考核，讓研發(fā)或產(chǎn)品經(jīng)理在應(yīng)用設(shè)計(jì)之初就可以考慮到當(dāng)前功能、當(dāng)前場景可能存在哪些風(fēng)險(xiǎn)從而盡早的去規(guī)避風(fēng)險(xiǎn)。

安全工具&流程培訓(xùn)

??? ??? DevSecOps最終還是要讓安全服務(wù)自動化/自助化，因此針對工具、流程等相關(guān)安全培訓(xùn)是必不可少的。

工具鏈

? ? ???? Confluence Wiki、知識庫管理、安全培訓(xùn)、安全編碼規(guī)范、安全測試規(guī)范、隱私合規(guī)規(guī)范、供應(yīng)商評估、業(yè)務(wù)需求評審、輕量級威脅建模、安全需求等等一大堆。

2.2 Create（編碼&開發(fā)階段）

程序開發(fā)階段，對于代碼及程序組件的掃描也是必不可少的。

IDE安全插件

????????各類安全漏洞掃描、開源組件版本檢查甚至是代碼質(zhì)量代碼風(fēng)格等的工具可以讓研發(fā)人員在編碼時(shí)就發(fā)現(xiàn)和消除一些潛在的安全風(fēng)險(xiǎn)。在開發(fā)環(huán)節(jié)實(shí)時(shí)對代碼安全性進(jìn)行監(jiān)控，發(fā)現(xiàn)問題及時(shí)整改。

??? Findbugs下載地址：

????https://find-sec-bugs.github.io/

Docker 容器安全掃描

????????隨著云和虛擬技術(shù)發(fā)展，Docker容器的使用越來越流行和方便。有很多企業(yè)已經(jīng)把基礎(chǔ)架構(gòu)由傳統(tǒng)實(shí)體機(jī)轉(zhuǎn)移到了虛擬機(jī)化架構(gòu)，基于公有云、私有云以及容器云構(gòu)建在線服務(wù)。

引用：

07，公眾號：老年人的雜貨鋪Docker容器安全掃描-Grype

開源組件檢測（OSS\SCA）

????使用"存在已知漏洞的組件"一直是OWASP TOP 10 的漏洞之一。

??? Fastjson、Shrio 、Log4j2等企業(yè)常用開源組件出現(xiàn)新漏洞的事件時(shí)有發(fā)生，為了快速發(fā)現(xiàn)并定位問題，我們非常有必要在項(xiàng)目上線前做好三方依賴的檢測工作。

引用：

07，公眾號：老年人的雜貨鋪Service Component Architecture（SCA）漏洞檢測-Dependency-Check

2.3 Verify（驗(yàn)證&測試階段）

??? ??? DevSecOps是將安全融入開發(fā)&測試&運(yùn)維等各個(gè)環(huán)節(jié)，因此自動化掃描也是必不可少。

SAST

????????靜態(tài)應(yīng)用程序安全測試（StaticApplication Security Testing），是指針對源代碼進(jìn)行靜態(tài)分析從中找到安全漏洞的測試方式，有些工具也會依賴于編譯過程甚至是二進(jìn)制文件，通過一些抽象語法樹、控制流分析及污點(diǎn)追蹤等技術(shù)手段來提升檢測覆蓋度和準(zhǔn)確度。

??? ??? Sonarqube下載地址：

????????https://www.sonarqube.org/downloads/

????????其他工具：CodeQL、ShiftLeft inspect

DAST

? ? ?????動態(tài)應(yīng)用程序安全測試（DynamicApplication Security Testing），是指在測試或運(yùn)行階段分析應(yīng)用程序的動態(tài)運(yùn)行狀態(tài)。在不需要系統(tǒng)源碼的情況下，通過模擬黑客行為構(gòu)造特定的輸入給到應(yīng)用程序，分析應(yīng)用程序的行為和反應(yīng)，從而確定該應(yīng)用是否存在某些類型的安全漏洞。

????????工具列表：Goby/Xray/Awvs/Nessus

IAST

??? ??? IAST（InteractiveApplication Security Testing,交互式應(yīng)用安全測試），是指在程序運(yùn)行時(shí)，通過與應(yīng)用交互的方式，收集程序中運(yùn)行信息進(jìn)行安全測試的手段。

??? ????

IAST 大致分為三類：

????????1、代理模式

????????2、active插樁

????????3、passive插樁

具體概念就不詳細(xì)說了，大家可以自行了解，實(shí)現(xiàn)原理見下文。

? ??

引用：

07，公眾號：老年人的雜貨鋪初識 Java Agent - 實(shí)現(xiàn)簡單AOP操作

混沌工程

????????混沌工程，是一種提高技術(shù)架構(gòu)彈性能力的復(fù)雜技術(shù)手段?；煦绻こ讨荚趯⒐收隙髿⒃隈唏僦校簿褪窃诠收显斐芍袛嘀皩⑺鼈冏R別出來。通過主動制造故障，測試系統(tǒng)在各種壓力下的行為，識別并修復(fù)故障問題，避免造成嚴(yán)重后果。

????相關(guān)文章：? ? ? ? ? ????

????????https://zhuanlan.zhihu.com/p/90294032

????工具地址：

????????https://github.com/Netflix/chaosmonkey

Fuzzing

????????模糊測試（Fuzzing），是一種通過向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件漏洞的方法。

? ??

????????相關(guān)文章：

????????https://blog.csdn.net/whatday/article/details/85245441

2.4 Preproduction（預(yù)發(fā)布階段）

????????在預(yù)發(fā)布階段我們還需對系統(tǒng)&程序進(jìn)行進(jìn)一步的加固或配置操作加強(qiáng)安全性。

隱私合規(guī)

????????隨著互聯(lián)網(wǎng)的發(fā)展越來越多的APP出現(xiàn)，隨之而來的就是用戶比較頭疼的信息泄露&個(gè)人隱私問題。

????????由于在個(gè)人信息處理、共享、轉(zhuǎn)讓、公開披露過程中，管理流程和技術(shù)手段不規(guī)范造成個(gè)人信息泄露的安全事件層出不窮，因此隱私合規(guī)問題也是需要企業(yè)關(guān)注的一個(gè)重點(diǎn)問題。

引用：

07，公眾號：老年人的雜貨鋪App隱私合規(guī)淺談

安全加固

? ? ?????安全加固服務(wù)是指是根據(jù)專業(yè)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對不同目標(biāo)系統(tǒng)，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。其主要目的是：

????- 消除與降低安全隱患

????- 周期性的評估和加固工作相結(jié)合，盡可能避免安全風(fēng)險(xiǎn)的發(fā)生

安全加固所涉及的內(nèi)容比較多，如：

??? ??? PC端，Windows、linux操作系統(tǒng)的加固（基線檢查）、應(yīng)用等；

????????移動端，Android安全加固（加殼、SDK加固、DEX文件防篡改）等、IOS高級混淆（源碼加密）等；

引用：

07，公眾號：老年人的雜貨鋪記一次 Android App 脫殼

2.5 Release（發(fā)布階段）

軟件簽名

? ? ?????軟件簽名，目的是確保App的安裝包來自于原創(chuàng)的作者，且App沒有被篡改，具體原理、工具可以參考下面這些資料（不是做App的怕誤人子弟）：

????相關(guān)資料：

????????https://www.wosign.com/News/news_2018120601.htm

????????https://www.iteye.com/blog/xlover-1111560

????相關(guān)工具：

????????https://developer.android.google.cn/studio/command-line/apksigner

2.6 Prevent&Configure（預(yù)防&配置階段）

完善安全配置，在已有安全相關(guān)防護(hù)設(shè)備添加安全策略&配置等。

簽名驗(yàn)證

? ? ?????簽名驗(yàn)證，從名字上可以看出重點(diǎn)在于驗(yàn)證，相關(guān)資料見上文軟件簽名部分。

完整性檢查

? ? ???? SIV是system integrity verifiers的縮寫，即系統(tǒng)完整性檢測，主要用于監(jiān)視系統(tǒng)文件或者Windows 注冊表等重要信息是否被修改，以堵上攻擊者日后來訪的后門。SIV更多的是以工具軟件的形式出現(xiàn)，比如“Tripwire”，它可以檢測到重要系統(tǒng)組件的變換情況，但并不產(chǎn)生實(shí)時(shí)的報(bào)警信息。

????????相關(guān)資料：

????????https://www.e-learn.cn/topic/3996714

縱深防御

? ? ?????縱深防御，英文為Defence-in-Depth，簡稱DiD，原本是軍事領(lǐng)域術(shù)語，在戰(zhàn)爭學(xué)概念中，指防御地區(qū)或防御部署的縱向深度，分為戰(zhàn)役縱深防御和戰(zhàn)術(shù)縱深防御。在網(wǎng)絡(luò)安全領(lǐng)域，理解為設(shè)置多層重疊的安全防護(hù)系統(tǒng)而構(gòu)成多道防線，使得即使某一防線失效也能被其他防線彌補(bǔ)或糾正，即通過增加系統(tǒng)的防御屏障或?qū)⒏鲗又g的漏洞錯(cuò)開的方式防范差錯(cuò)發(fā)生的。

????????字面意思還是比較容易理解的，但實(shí)際落地是需要大量人力、財(cái)力、物力，還是要在成本&收益中尋求平衡點(diǎn)。

2.7 Detect（檢測階段）

????????在前期做了這么多工作，我們?nèi)绾螜z驗(yàn)?zāi)?？假如我們有漏掉的部分怎么辦？這時(shí)候就需要對資產(chǎn)進(jìn)行檢測。

UEBA

? ? ???? UEBA 是用戶和實(shí)體行為分析技術(shù)(user and entity behavior analytics )，UEBA更多的是關(guān)注人異常行為，行為主體通常是企業(yè)內(nèi)部的員工。UEBA技術(shù)基于海量數(shù)據(jù)對內(nèi)部用戶的異常行為或內(nèi)部威脅進(jìn)行預(yù)測，直接以“人”的視角給出判定，抓住“壞人”、主動出擊，在數(shù)據(jù)泄漏之前進(jìn)行阻止，并為安全分析人員提供可靠的依據(jù)。我們可以通俗的理解為，UEBA是通過技術(shù)手段偵察到，“誰”在什么時(shí)間內(nèi)做了什么“壞事”，或者“誰”即將準(zhǔn)備“做壞事”。

????????其實(shí)UEBA要解決的問題與本文中數(shù)據(jù)泄露三個(gè)場景中的“灰”相似,傳統(tǒng)的安全防護(hù)大多是基于漏洞\ip\外部異常行為去進(jìn)行研判、響應(yīng)、處置；但我認(rèn)為最重要最難解決的安全問題還是在“人”也就是合法用戶這一層，思考下：“如果你傳統(tǒng)安全做的很好，沒有漏洞，但是竟對公司冒充員工入職你公司拿數(shù)據(jù)是不是成本最低，最高效？而且拿到的數(shù)據(jù)還都是格式化處理好的。”

????????相關(guān)資料:

????????????https://zhuanlan.zhihu.com/p/302940770

????????????https://baijiahao.baidu.com/s?id=1674179150246290338&wfr=spider&for=pc

????????????https://baijiahao.baidu.com/s?id=1686219391295853104&wfr=spider&for=pc

Github監(jiān)控

引用：Github監(jiān)控平臺搭建及使用

老年人，公眾號：老年人的雜貨鋪Github監(jiān)控平臺-Hawkeye

終端安全

引用：Falco終端監(jiān)控搭建及使用

老年人，公眾號：老年人的雜貨鋪?探索Falco：云原生運(yùn)行時(shí)安全檢測

SRC

? ? ?????安全應(yīng)急響應(yīng)中心(Security Response Center)，要看怎么去玩，玩好的話會有出乎意料的驚喜！總之很重要，這里就不做過多解釋。

安全掃描

? ? ?????除測試階段外也需要在上線后進(jìn)行安全掃描，相關(guān)工具：Goby/Xray/Awvs/Nessus

暴露面檢查

? ? ?

????????眾所周知，信息收集對于滲透測試前期來說是非常重要的，攻擊者掌握了目標(biāo)網(wǎng)站或目標(biāo)主機(jī)足夠多的信息之后，攻擊者才能更好地對其進(jìn)行漏洞檢測。

????????作為防守方，我們自然比攻擊者了解的信息多得多。因此，我們需要構(gòu)建內(nèi)部的資產(chǎn)管理系統(tǒng)，實(shí)時(shí)檢測暴露在外網(wǎng)的資產(chǎn)并對其進(jìn)行風(fēng)險(xiǎn)評估。

????????不管是攻擊還是防守，暴露面檢測是重中之重的一項(xiàng)工作。

流量檢測

? ? ?

????????幾乎各個(gè)安全廠商都有基于流量檢測的安全產(chǎn)品，不多說了。

????????開源項(xiàng)目：https://suricata.io/

攻防演練&滲透測試

? ? ?????網(wǎng)絡(luò)安全，講一百遍不如打一遍！

2.8 Respond（響應(yīng)階段）

? ? ????俗話說：沒有絕對安全的系統(tǒng)，只有不努力的黑客；所以，我們要提前做好挨揍的準(zhǔn)備！

應(yīng)急響應(yīng)

引用：

07，公眾號：老年人的雜貨鋪應(yīng)急響應(yīng)淺談

WAF

? ? ?????比較常見，在Rasp部分簡單介紹。

RASP

引用：

07，公眾號：老年人的雜貨鋪了解Rasp - RASP VS WAF & 簡單分析

2.9 Predict（預(yù)測階段）

????????做安全的都知道，不管多完善多牛皮的安全建設(shè)，在0day面前也不堪一擊。

????????所以，我們要有預(yù)見未來的能力。

威脅情報(bào)

? ? ?????威脅情報(bào)，不管是內(nèi)部安全產(chǎn)品聯(lián)動還是后期自動化響應(yīng)都可以提供很大幫助，HW期間也可以通過多家攻擊源聚合分析，找出攻擊隊(duì)等等。

????????行業(yè)內(nèi)有很多平臺提供了威脅情報(bào)接口，可以自行了解。

????????根據(jù)Gartner對威脅情報(bào)的定義，威脅情報(bào)是某種基于證據(jù)的知識，包括上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些知識與資產(chǎn)所面臨已有的或醞釀中的威脅或危害相關(guān)，可用于資產(chǎn)相關(guān)主體對威脅或危害的響應(yīng)或處理決策提供信息支持。業(yè)內(nèi)大多數(shù)所說的威脅情報(bào)可以認(rèn)為是狹義的威脅情報(bào)，其主要內(nèi)容為用于識別和檢測威脅的失陷標(biāo)識，如文件HASH，IP，域名，程序運(yùn)行路徑，注冊表項(xiàng)等，以及相關(guān)的歸屬標(biāo)簽。

????????參考地址：??

????

?????????https://baike.baidu.com/item/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/23311172?fr=aladdin

漏洞預(yù)警

? ? ?????漏洞預(yù)警也是安全建設(shè)中很重要的一環(huán)，可以讓我們在第一時(shí)間接收漏洞信息并結(jié)合公司場景進(jìn)行排查或提前做防御措施。

????????除了方便安全人員外，實(shí)時(shí)、準(zhǔn)確的漏洞預(yù)警也可讓領(lǐng)導(dǎo)或其他部門人員感到安心。

????????實(shí)現(xiàn)思路，可以去各大平臺進(jìn)行數(shù)據(jù)爬取或采用接口對接的方式拉取漏洞信息。（GitHub有很多不錯(cuò)的項(xiàng)目）

2.10 Adapt（優(yōu)化）

持續(xù)優(yōu)化、迭代，提高工作效率。

優(yōu)化

? ? ?

????????規(guī)范、方案、規(guī)則策略等，不斷適配、調(diào)整、優(yōu)化。

????????靶場，強(qiáng)化團(tuán)隊(duì)攻防能力，優(yōu)化相關(guān)防御策略。

????????自動化編排，等等...

白->黑->灰

2.3?灰

灰，場景如上文圖中所示

簡述：?

? ??????除員工意識薄弱、黑客利用漏洞入侵導(dǎo)致數(shù)據(jù)泄露外，還可能存在：內(nèi)鬼竊取、員工跳槽、爬蟲等導(dǎo)致數(shù)據(jù)泄露；也就是我所說的灰，區(qū)別于黑白之間，它很難識別，因此我理解也是成本最高、最難落地的一部分。

實(shí)施措施：

? ??????在數(shù)據(jù)生命周期加入安全防護(hù)措施，如采集、傳輸、存儲、處理、交換、銷毀等各階段。

成本：?

????????較高，數(shù)據(jù)安全不是一個(gè)人、一個(gè)部門就可以做成或完全落地的，需要各個(gè)部門或整個(gè)公司配合來完成，因此成本是最高的。

價(jià)值：?

? ??????不管是監(jiān)管合規(guī)層面還是對個(gè)人、組織數(shù)據(jù)保護(hù)層面，都是重中之重。（合規(guī)價(jià)值、業(yè)務(wù)價(jià)值）

? ??????數(shù)據(jù)防泄漏、防篡改、防丟失，我們最終都是朝著"進(jìn)不來、看不懂、改不了、拿不走、跑不掉"這個(gè)方向去努力，實(shí)現(xiàn)讓數(shù)據(jù)使用更安全。

????????那應(yīng)該怎么做呢？- 于是圍繞數(shù)據(jù)安全開始了我的下一場修行。

為什么要做數(shù)據(jù)安全

? ? ????做數(shù)據(jù)安全除上述數(shù)據(jù)泄露（風(fēng)險(xiǎn)-案例可百度自查）外，在上述文章中也有提到數(shù)據(jù)安全在合規(guī)&業(yè)務(wù)層面也都有不同的驅(qū)動力。

合規(guī)層面

? ? ?

????????近年來，全球發(fā)達(dá)經(jīng)濟(jì)體包括美國、歐盟、英國等紛紛把數(shù)據(jù)競爭力上升為國家戰(zhàn)略高度。

????????我國也先后出臺《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全管理辦法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，并明確組織在數(shù)據(jù)安全方面的合規(guī)要求。

引用：

07，公眾號：老年人的雜貨鋪App隱私合規(guī)淺談

業(yè)務(wù)層面

? ? ???? 2020年4月，發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，中央首次明確數(shù)據(jù)成為繼土地、勞動力、資本和技術(shù)之外的第五大生產(chǎn)要素。

????????數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代最核心、最具有價(jià)值的生產(chǎn)要素，正在加速成為全球經(jīng)濟(jì)增長的新動力、新引擎，深刻地改變?nèi)祟惿鐣纳a(chǎn)和生活方式。

??? ??? 5G聯(lián)接、人工智能、云計(jì)算、區(qū)塊鏈、產(chǎn)業(yè)互聯(lián)網(wǎng)、泛在感知等ICT新技術(shù)、新模式、新應(yīng)用無一不是以海量數(shù)據(jù)為基礎(chǔ)，同時(shí)又激發(fā)數(shù)據(jù)量呈爆發(fā)式增長態(tài)勢。隨著數(shù)據(jù)量呈指數(shù)級增長，數(shù)據(jù)分析算法和技術(shù)迭代更新，數(shù)據(jù)創(chuàng)新應(yīng)用和產(chǎn)業(yè)優(yōu)化升級，數(shù)據(jù)對社會變革的影響更加深遠(yuǎn)。

????????因此，數(shù)據(jù)安全問題，也已成為企業(yè)資產(chǎn)安全性、個(gè)人隱私安全性、國家和社會安全的核心問題。

怎么做

????????了解完這些那接下來就該思考數(shù)據(jù)安全怎么做？又一場修行開始！

????????閱讀了很多資料、文章，看到這樣一句話：

????????????數(shù)據(jù)安全并非單一產(chǎn)品或平臺的構(gòu)建，而是建設(shè)一個(gè)覆蓋數(shù)據(jù)全生命周期和使用場景的數(shù)據(jù)安全體系，需要用從決策到技術(shù)，從制度到工具，從組織架構(gòu)到安全技術(shù)通盤考慮。

????????結(jié)合我所在公司思考了下確實(shí)也是如此，單靠技術(shù)手段或者安全一個(gè)部門去推動是很難落地的。因此，需要我們建立有效且可落地的數(shù)據(jù)安全管理體系，其核心實(shí)現(xiàn)框架為：

????人員組織+策略流程+技術(shù)支撐

• 在人員組織方面，需要從企業(yè)或組織內(nèi)選派合適人員構(gòu)成一支由決策層（高級管理人員）、管理層（安全部門）、支撐層（業(yè)務(wù)部門）、監(jiān)督層（審計(jì)部門）構(gòu)成的負(fù)責(zé)推動開展數(shù)據(jù)安全工作的團(tuán)隊(duì)。（目前，我司是安全+內(nèi)審一起推這個(gè)事情）

• 在管理方面，深入調(diào)研和解讀國家及本行業(yè)在數(shù)據(jù)安全方面的合規(guī)要求，建立數(shù)據(jù)安全管理制度四級文件，最終形成一級方針文件，二級制度規(guī)范文件，三級細(xì)則指引文件，四級表單、模板、記錄文件。（在這一點(diǎn)我理解很多是可以參考27001去實(shí)施落地）

• 在技術(shù)方面，需要基于組織人員架構(gòu)和擬定的制度規(guī)范，來選擇或?qū)嵤┻m合企業(yè)的數(shù)據(jù)安全產(chǎn)品、服務(wù)等技術(shù)手段。

????簡單說就是，我們需要自上而下有組織有紀(jì)律可落地的去做這件事兒。

--------分割線--------

????????作為一個(gè)螺絲釘，這些組織管理相關(guān)理論就不多說了（我們公司是安全&內(nèi)審一起推），聊一下技術(shù)體系落地思路：

資產(chǎn)梳理

????????不管是網(wǎng)絡(luò)安全治理還是數(shù)據(jù)安全治理，我們首先要做到的就是“摸清家底”，要明確我們需要治理那些資產(chǎn)。如同ISO27001安全管理體系一樣，第一步是梳理資產(chǎn)。

? ? ?

????????因此，掌握其中敏感資產(chǎn)的分布、數(shù)量、權(quán)限及使用情況便成了數(shù)據(jù)安全治理中的首要任務(wù)。

????梳理方法：

????????1）靜態(tài)梳理（訪談、人工主動掃描探測或登錄系統(tǒng)梳理）

????????2）動態(tài)梳理（基于特征庫被動掃描，如對敏感信息進(jìn)行采樣，再通過流量監(jiān)聽方式匹配識別敏感數(shù)據(jù)）

分類分級

? ? ?????數(shù)據(jù)分類分級是數(shù)據(jù)安全能力建設(shè)中的一個(gè)關(guān)鍵部分，是建立統(tǒng)一、準(zhǔn)確、完善的數(shù)據(jù)架構(gòu)的基礎(chǔ)，是實(shí)現(xiàn)集中化、專業(yè)化、標(biāo)準(zhǔn)化數(shù)據(jù)管理的基礎(chǔ)。

? ??

????????因此，在資產(chǎn)梳理過程中，我們需要結(jié)合企業(yè)和組織的自身業(yè)務(wù)特點(diǎn)，依據(jù)數(shù)據(jù)的用途、內(nèi)容、業(yè)務(wù)領(lǐng)域?qū)?shù)據(jù)資產(chǎn)進(jìn)行分類（我司是根據(jù)用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、企業(yè)數(shù)據(jù)三部分做的分類）。

????

????????分類完畢后根據(jù)數(shù)據(jù)的價(jià)值、敏感程度，被泄露后的影響和后果等因素進(jìn)行分級。

? ? ????注：分類分級完畢后，應(yīng)輸出對應(yīng)的依據(jù)標(biāo)準(zhǔn)，以便后續(xù)審批內(nèi)部公示等。

• 數(shù)據(jù)分類示例

• 數(shù)據(jù)分級示例
  

場景化安全

? ? ?????我們的目的是讓數(shù)據(jù)使用更安全，讓壞人"進(jìn)不來、看不懂、改不了、拿不走、跑不掉"。那么，下一步我們需要以數(shù)據(jù)分類分級為基礎(chǔ)，在不同的場景制定不同的安全要求。

????

????????其實(shí)可以參考下邊這張圖：

? ? ?????根據(jù)不同級別的數(shù)據(jù)，在數(shù)據(jù)生命周期的各階段設(shè)置不同策略，以實(shí)現(xiàn)我們的目的，在這里我就不多說了，網(wǎng)上有很多關(guān)于各個(gè)階段的實(shí)施指南。

????????可參考國標(biāo)文檔：

????????????《GB/T 37973-2019 信息安全技術(shù) 大數(shù)據(jù)安全管理指南》

????????????《GB/T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟模型》

--------分割線--------

????????以上三部分是我認(rèn)知范圍內(nèi)數(shù)據(jù)安全建設(shè)思路，那么還有最重要的一步：如何持續(xù)運(yùn)營？如何管控？

????????在制定完以上標(biāo)準(zhǔn)、制度或策略后，我們該如何去驗(yàn)收，如何去自動化發(fā)現(xiàn)我們遺漏的資產(chǎn)則是持續(xù)運(yùn)營過程中的一大難題，在思考這個(gè)問題時(shí)，我恰好接觸到了API接口安全及相關(guān)分類分級技術(shù)方案。

????????因此，我又開始了新的思考：能否通過流量分析的方式，檢索出未按照數(shù)據(jù)分類分級要求整改或曾經(jīng)遺漏的業(yè)務(wù)系統(tǒng)，從而提高解決存量及新增問題的效率。

實(shí)現(xiàn)思路：

簡單寫了個(gè)演示Demo如下：

四、“總結(jié)”·個(gè)人感受

????????不知不覺已經(jīng)寫了這么多字，現(xiàn)在回頭看看很感謝當(dāng)時(shí)大哥幾句話“懟”醒了我，讓我能沉下專心去思考。

????????三人行必有我?guī)?，很慶幸，在迷茫時(shí)身邊有一群“明燈”，為弟弟指點(diǎn)迷津帶我走出“混沌”。

????????嗯，矯情的話不說了 ，回歸正題。

????????當(dāng)然除了以上的思考之外，接下來還有很多東西值得學(xué)習(xí)與思考：

????????????如何更好的融入業(yè)務(wù)？

????????????業(yè)務(wù)快速迭代的情況下如何提高效率？

????????????每秒百萬級、千萬級日志量的情況下如何優(yōu)化？

????????????被DDOS了怎么辦？

????????????真要被攻擊了怎么辦？

????????????信息真泄露了怎么辦？

????????????公司安全預(yù)算比較少怎么辦？

????????????安全團(tuán)隊(duì)人數(shù)不多的情況下怎么辦？

????????等等一系列問題都需要繼續(xù)學(xué)習(xí)，跟朋友聊天說做安全真難。難在哪里？

????????要比研發(fā)更懂研發(fā)，比運(yùn)維更懂運(yùn)維，比業(yè)務(wù)更懂業(yè)務(wù)，比法務(wù)更懂安全相關(guān)法律法規(guī)...是的，只有這樣才能真正去解決或提出可落地最優(yōu)的解決方案去服務(wù)于業(yè)務(wù)、服務(wù)于公司。

????????以上，是我這段時(shí)間一些不成熟的思考和實(shí)踐，如有不妥的地方歡迎各位隨時(shí)指出。

????????最后，祝大家虎年快樂，在新的一年里：逢虎年，走虎運(yùn)，發(fā)虎財(cái)，虎氣沖天嗷嗷叫，生活幸福哈哈笑！

--------分割線--------

俗話說，“前人栽樹后人乘涼”。

很感謝圈內(nèi)前輩們鋪的路，這篇文章中參考了太多大佬寫的東西。

文章列表

https://mp.weixin.qq.com/s/g0P313bJnMz99Iimui3NsA

https://mp.weixin.qq.com/s/OMfv9K1DBxFHnA2_flrYtQ

https://mp.weixin.qq.com/s/pEll9Gz8sZ5107TLC3x-uA

https://mp.weixin.qq.com/s/0bV0LoFky3MiKN80LpVBNQ

https://baijiahao.baidu.com/s?id=1641110586024199468&wfr=spider&for=pc

https://www.zhihu.com/question/55874411/answer/608052871

https://www.zhihu.com/question/58702398

https://www.secpulse.com/archives/133336.html

https://xw.qq.com/cmsid/20210619A00XJ900

http://app.myzaker.com/news/article.php?pk=60a88de0b15ec050c031effd

https://www.freebuf.com/articles/database/248950.html

https://mp.weixin.qq.com/s/XcO52gcPsQADMNpO3FIklw

還有很多沒記錄...大佬們對不住了。