六关三十二式，关关相护



第一关：确保软件代码无安全隐患

这是最基础的防御关口，即减少系统中运行之软件或代码的安全缺陷，提高其安全性能。有很多成熟的工具可以对软件或代码进行漏洞扫描以大量减省工作量和时间。

1.1
软件源代码和运行二进制文件的测试工具和相关服务

这类工具通过扫描代码发现存在的漏洞或安全隐患。由于只需扫描代码而不是整个系统，所以这些工具也可以应用到开发和集成中。

1.2
网络应用的安全扫描（黑盒测试）

这些工具对基于WEB的应用进行编程错误或疏漏进行检测。这类工具要求经验丰富的顾问或工程师来发现某些底层漏洞，这些漏洞可能会被攻击者利用。

1.3
应用开发人员的安全技能评估和认证

用来确保编程人员能够使用工具来识别和排除常见的代码安全缺陷，而对于外包开发人员则可以要求具有相应的安全认证。

第二关：在网络上进行防护，阻敌于城门之外

虽然往往最严重的攻击来自内部，但来自外部的恶意攻击却在数量上占大多数。有效的防守显然是从阻挡这些外部攻击作为开端。

2.1 入侵防御及检测

入侵检测和防御通常共同工作，因为在阻挡之前你需要检测谁应该被阻挡。这项防守的关键是永远协同使用检测和阻止，以保证及时性。入侵检测监测网络流量并及时发现已知的攻击特征，然后通过入侵防御阻止这些流量。它比静态防火墙更能辨识攻击数据流并阻截它们，同时能让合法流量通过。

2.2 无线网入侵防御

这些工具专用于无线网的收、发数据流，检测出错误配置或未经授权的接入点并提供相应的合规报告及分析。

2.3 网络行为分析和DDoS 监测

通过匹配异常或可疑的行为模式，对可能导致DDOS攻击的事件进行自动报警。安全分析专员还可以按手动模式使用行为分析工具以调整入侵防御的模式以及调查网络事故。

2.4 防火墙，网关防毒以及统一威胁管理

这些都是应用于网关处的方案。传统防火墙并不对数据包进行深度检查而仅仅对数据包头的端口、IP地址和协议状态的信息进行检测。下一代防火墙（UTM）则增加了入侵防御和防病毒和恶意软件等功能。此外，它们还支持不限定端口或协议的安全策略。

2.5 安全型WEB网关

大型企业的应用和协作越来越普遍应用HTTP作为基础协议。安全型WEB网关能够过滤入站流中的恶意软件并对出站流进行管理，按预定的规则进行拦截或放行。

2.6 安全型消息网关及反垃圾信息工具

持续、大量的垃圾信息造成工作效率下降、员工情绪受影响并可能带来一系列安全隐患。安全型消息网关及反垃圾信息工具阻止垃圾和带病毒、蠕虫及其它攻击性代码的信息进入并按预定规则对发出的邮件或及时信息进行过滤和管理。

2.7 Web应用防火墙

这些设备或软件需要在具备强壮的应用开发安全性流程的基础上部署，尤其是需要WEB引用开发的渗透测试及开发人员的安全培训之后。WEB应用防火墙可以单独部署也可以和其它网络设备如应用交付控件协同部署。

2.8 外包安全服务

外包安全服务（MSS）是专业安全人员对防火墙、IPS和IDS系统、WEB安全网关以及内部系统日志等进行监测。他们应提供快速分析和及时通告等服务。更高级的服务应提供自动漏洞扫描，早期预警以及在何时、何地对新出现的漏洞进行防护提供建议。

第三关：服务器和PC防护，与敌展开巷战

如果攻击者突破了网络并进入系统内部，那么PC、工作站和服务器就需要能阻止或尽量减少攻击带来的危害。PC上五花八门的防护产品正在被综合性的端点防护管理平台所取代，它使用统一的引擎和管理界面，能提供更高的安全性，同时减少采购和维护费用。

3.1 端点安全

端点安全通常包含的功能有：防病毒、防间谍软件、个人防火墙、基于服务器的IPS以及其它相关管理软件。

3.2 网络接入控制 (NAC)

当任意一台电脑连接到企业内部网时，NAC需要检查该电脑是否公司允许接入的电脑，使用者是谁，安全配置、补丁等是否合规，是否存在恶意软件等。有问题的电脑在符合规定之前将无法接入公司网络。

3.3 系统完整性检查工具

检查未经授权的文件修改

3.4 应用程序安全控制和配置增强工具

对应用程序进行测试以查明与标准的差异并对其添加强制性的安全策略。

第四关：消除漏洞，避免薄弱环节

供应商销售的硬件和软件产品存在漏洞，自己开发的软件和管理配置可能也有不周到得地方，这些都使得用户单位必须持续进行发现、移除、替代有漏洞的地方并不断进行重新配置。

4.1 网络探测工具

主动对网络进行扫描并对网络流量进行分析，找到所有处于工作状体的主机和网络设备，能自动发现新增设备和现存设备上是否有恶意软件或漏洞存在。

4.2 漏洞管理

找到组织网络中存在的漏洞并对漏洞消除的进展进行监控。

4.3 渗透测试及自我攻击

自动渗透工具使用多阶段入侵技术以及其它模拟更接近真实黑客使用的技术进行入侵测试，以找到一些更隐蔽或深层的漏洞。

4.4 补丁和安全配置管理及合规

为减少暴露在攻击者面前的漏洞，任何已发现的漏洞都应该尽快和有效地堵上。补丁管理系统能自动下发和安装正确的补丁；安全配置管理系统能自动消除配置中存在的弱保密字到不必要的服务启动等问题。

第五关：分清敌我，安全地支持被授权的使用者

安全措施必须确保被授权的用户不受影响或干扰地开展工作，同时必须阻止未授权的人员进入系统。

5.1 身份和接入管理

先进的身份和接入管理系统包括工作流和规范以确保所有应用程序接入控制和管理的一致性。

5.2 移动数据保护和存储加密

如果经过数据加密处理，信息卡及其它敏感、隐私信息就能更加安全。此外，大多数关于违反信息泄露的法规并不要求对全加密的数据泄漏提交披露报告。

5.3 备份存储加密

敏感数据经常由于未加密的备份磁带经未授权的网络渗透丢失。带数据加密的备份方案可以对这些备份数据进行加密处理。

5.4 内容监控及防止数据泄漏

内容监控和过滤工具可以对信息使用进行规范以强制用户按规定使用，同时及时发现信息泄露。这些工具会对本地磁盘和内部网络流量进行检查，及时制止那些非法访问敏感数据的和存放不当的行为。

5.5 数字版权管理

数字版权管理对所有保存的对象应用一致性的安全策略，通常是数据加密。采用数字版权管理要求成熟的公钥管理，企业级目录管理等配套措施。

5.6 虚拟专用网 (VPN)

VPN通过公网来访问公司私有网络从而大大降低通讯成本，但这些加密的数据经由不安全的公共连接。VPN 必须与网络接入控制配套使用以确保接入终端是安全的。目前大多数新的VPN都是采用SSL VPN技术，越来越多的公司对所有外部连接和传输进行加密，比如应用MPLS。

第六关：构建参谋部和司令部，统一管理安全并增强快速反应能力

对于众多安全防护工具，需要构建统一和协调的管理流程，一方面能及时发现问题，同时一旦发现问题时能采取必要措施，把损失降到最低。

6.1 日志管理及安全信息和事件管理

把来自服务器、IDS、防火墙、漏洞管理及其它工具的数据整合集中，可建立整体性的安全情报、防御、调度体系。

6.2 介质清洗和移动设备数据恢复及擦除

用于对废弃设备的数据清洗，以及移动设备的数据恢复或擦除。

6.3 安全技能拓展

使各个安全和风险控制人员掌握、更新应具备的安全管理知识和技能。

6.4 安全意识培训

针对系统使用者的安全意识培训，以确保他们在使用系统时避免人为的疏忽和失误。

6.5 调查取证工具

如果遭受了攻击，企业需要及时、准确地掌握攻击者接触了什么、毁坏了什么以及它们是如何进入的。调查取证工具能智能化、迅速地研究磁盘镜像及其它证据，使调查取证工作更有效。

6.6 信息治理，风险及合规管理工具

有关安全管理的法律法规很多，如GLB, FISMA, SOX, PCI, Basel, DITSCAP, DIACAP, HIPAA 等等，由此带来大量文档和报告的工作量。这些工具能自动产生符合规定的报告，支持对安全策略的更新和分发，并能同时满足多种规范的要求。

6.7 灾难恢复及业务连续性管理

意外发生时，比如洪水、恶意攻击、爆炸等，要有办法维持企业的运行，比如备用运营中心以供切换。还有相关的演练，以保证恢复能力切实可行。