去哪儿安全0~1

演讲者:郭添森
去哪儿安全总监
联系微信: eyasguo

ESG信息安全

Enterprise Strategy Group

愿景:

  1. 初始阶段: 可有可无,运维
  2. 进阶: 被提出,比较独立
  3. 高阶: 被重视

如何建立安全威信

领导力

1. 专业

进行决策的时候,能够有专业的主见与方向的把控

2. 人格

替对方考虑: 每个人都是为别人服务,也需要对方来为你来服务。

权衡ROI等

3. 职权

  • 组织架构:

    他之前的公司: 运维 <- 安全工程师 | 安全独立 | 安全上升到VP级别(阿里巴巴)

  • 参与关键流程

  • 奖惩

去哪儿安全发展

第一阶段

公司500人左右。网络规模: 千人,第一年

  • 组建团队

网络模块

问题&解决方案:
  • 办公网: 未隔离

    做VLAN隔离: 只能出不能进

  • 生产网: 无ACL

    设置ACL: 只开http/https端口 &只开给指定的IP
    Web统一由nginx做反向代理
    Nginx配置走变更流程

  • VPN: 用户名/密码验证

第二阶段

公司10000人左右,网络规模下一个数量级,2~3年

主要升级方面

  • 流程制度的标准: 技术标准
  • 合规: SOX404、PCI DSS
  • 建立自动化系统、确保安全规划能落地执行
操作系统层面问题
  • 用户名/密码认证

    双因素认证 : 登陆服务器,先登陆堡垒机

  • 弱口令

    tcp wrapper

  • 离职人员账号

数据库
  • 空口令/弱口令: mysql, pg, mongod

    检测配置文件,把密码的hash拿出来

系统应用
  • 软件?版本?配置?漏洞?

    收集软件版本、配置等 & 漏洞检测 & 警告邮件

Web server

百分百覆盖以下问题

  • 默认管理后台: tomcat,jboos等
  • 启动账号:nobody
  • 目录权限:root,755
  • 解析漏洞:nginx fastcgi, apache httpd等
  • Auto index
  • 压缩文件

默认情况下保证Web server 写不了

Spring/struts
Jenkins/es等命令执行
rsyncd
Redis
Web应用
  • 账号密码?复杂度?定期改

    QSSO系统: 集中管理,双因素认证

    QWAF: 静态、动态(静态 + 动态策略规则)

  • OWASP TOP 10

    制定安全标准
    内部测试、终测

第三阶段

10000人,第4年

数据安全

用户隐私、交易详情、产品技术文档,源码保护
  • 制定标准
  • PCI DSS(支付卡行业数据安全标准)认证
  • 数据加密(加密算法只有几个人知道)、清洗、大码
  • 自动抽样(发现问题,进行跟进处理)
  • 授权
  • 人工巡查github

业务安全

账号安全:垃圾注册?撞库?
  • 统一入口,收缩防线
  • 动静结合
反欺诈:用户/商业作弊
  • 异常行为分析

业务和安全平衡

消除风险还是控制风险。

基础架构: OPS

安全稳定高效

  • 运维部门合作

  • 业务部门: 开发/QA/产品

    产品流程切入,一般会在后期切入

  • 冲突: 汇报人员级别不断升级


Jacksgong wechat
欢迎关注Jacks Blog公众号,第一时间接收原创技术沉淀干货。