一个人的安全部之大话企业数据安全保护

先简单自我先容一下,着实,我是一个信息安然工程师,也是一小我的“安然部”……

近期看到一些同伙问数据安然保护怎么弄,刚好为某企业简单筹划过,很多前辈大年夜佬都有先容过数据安然,忽然想用一种不一样的姿势来分享,经由过程一些翰墨条框再结合一些故事案例来思虑。

目录架构

一、设计思路

数据安然也是一个整体的体系,环环相扣,说说对数据安然保护的构思吧。一张图赛过千言万语,假如不可,那就三张:

数据安然防护六“不”曲:

周全的收集安然防护:

二、数据安然要挟

简单做了一个数据安然要挟/风险脑图:

三、筹划内容

3.1 造访节制

涉及数据相关的造访节制必要进行收集隔离、用户进行细粒度授权、造访进行认证,造访节制涉及工具包括操作系统、数据库、中心件、利用法度榜样以致收集设备等造访,照样简单点说吧:

(一)收集节制,主要经由过程 ACL来实现,对源地址、目的地址、源端口、目的端口和协议的造访进行节制。

1)仅限运维技巧认真人有权限造访临盆办事器及营业数据打仗到客户数据,利用系统的发版均必要颠末运维职员共同才能进行发版。

2)收集界限或区域之间根据造访节制策略设置造访节制规则:

a. 收集界限支配互换机和防火墙进行造访节制策略;

b. 一些端口或ACL也可经由过程主机自带防火墙进行造访节制,造访节制策略只管即便采纳就近原则;

c. 造访节制策略采纳白名单形式,默认环境下除容许通信外受控接口回绝所有通信,如远程登岸端口、数据库端口、中心件端口进行造访节制,只管即便避免端口裸露非相信区域,可以经由过程VPN进行跨区域安然通信。

收集造访节制平日是最认识的人去弄,为了让收集治理员知道设置设置设备摆设摆设的需求,一样平常都邑弄一个模板表,当然事前还会进行一些调研,如:

(二)权限节制,基于角色的权限造访节制:

1)根据治理用户的角色分配权限,实现治理用户的权限分离,仅赋予治理用户所需的最小权限,只管即便在权限之间形成互相制约的关系;(平日环境:仅公司技巧认真人才有权限造访临盆办事器及营业数据库打仗到客户数据,关键数据均是加密后的密文,同时对数据的掩护操作进行了监控与审计)。

2)由授权主体设置设置设备摆设摆设造访节制策略,造访节制策略规定主体对客体的造访规则;

3)权限节制实现文件、数据库表级、记录或字段级的造访节制;

4)及时删除或停用多余的、过时的账户,避免共享账户的存在。如经久未登岸用户应用系统,如跨越三个月未登岸系统,应对帐号进行经久锁定。

(三)防数据库误删

1)不要在任何时刻应用rm –rf * ,他会永远删除文件,建议给“rm”敕令添加个“垃圾桶”,而不是永远删除;

2)改写rm敕令,防止误操作;

3)删除敕令只管即便脚本化,并把将履行的脚本敕令、必要删除的工具进行描述发给第三者审核经由过程,数据库操作时不要喝酒,紧张的是要兴奋。

太逝世板了,来个故事吧(瞎编的):

1)某次信息泄露事故应急阐发,查看日志,发明某黑阔半夜不睡觉的,用了好几个治理员账号也包括已离职职员的,竟然成功登岸了某后台,后台里面是有很多信息数据的,收拾了下日志信息:

扣问IP所属本人,都不是他本人操作,然后对IP所在电脑进行病毒查杀,发明一堆可疑文件:

丢到情报平台阐发,发明好几个木马病毒,此中竟然有与大年夜名鼎鼎“冰河木马”相似:

[1] [2] [3] [4] [5]下一页

运行法度榜样后,天生了1个小文件和几个看起来像系统进程,然后查看收集流量发明连接了一个国外IP的8086端口,应该便是木马远控真个IP地址:

大年夜致的阐发结果:

1)黑阔放了马在网上,然后某人下载后被远控了;

2)中马后,黑阔经由过程内网探测、浏览器或查看邮件啥啥的,找到了某后台的一些治理员账号和密码(当然了默认密码);

3)某黑阔是爱好半夜不睡觉的,登岸后台进行了一些弗成描述的信息数据操作。

这里有几个问题:某IP为什么能造访后台、那些账号的权限有多大年夜、账号密码是怎么泄露的、离职职员的账号为什么未清除、为什么会下载木马、下载了木马为什么没有发明、为什么有默认密码。这里就涉及一些造访节制、权限节制、病毒警备以及安然意识等等了,以是数据安然照样不能零丁来看。

无意偶尔候不抓,可能是由于

3.2身份认证

(一)身份认证可分为两种认证要领,单点登录和双身分认证。

1. 单点登录:在多个营业系统中,用户只必要登录一次就可以造访所有互信托任的营业系统。应用单点登录,在带来便利的同时也会引入新的安然风险:用户仿冒和单点故障。以下步伐可前进营业系统(如:某个事情台,包孕了OA、后台登岸、HRM等多个利用系统)单点登岸的安然性和可用性:

a. 用户造访任何一个营业系统时,假如已经在单点登录办事器中认证成功,那么可以获取对应的权限,造访对应的界面;

b. 用户假如在此中任何一个营业系统中点击“注销”按钮后,那么不能继承造访其他营业系统,假如造访,必须从新登录;

c. 用户造访任何一个营业系统时,假如尚未在单点登录办事器中认证成功,那么必要跳转到单点登录界面,输入用户名密码,校验成功后,再回到原本的造访界面。

d. 经由过程备份、冗余、负载均衡、功能模块化以及前进处置惩罚机能,来警备单点故障。

2. 双身分身份认证:办理只有授权用户才能造访系统平台与办事的问题,主流的身份认证手段包括:静态密码、动态口令、密码技巧或生物技巧等。

(二)某系统的双身分身份认证:

a. 进行资金买卖营业、改动小我信息或改动密码等敏感操作进行双因子认证;

b. 对后台用户在登录时采纳双因子认证,如用户名/密码+手机短信验证码、用户名/密码+动态令牌或用户名/密码+Ukey等等;

c. 操作系统、数据库、收集设备登岸,采纳碉堡机进行登岸统一认证和操作审计。

(三)接口认证

在事情中发明过不少接口方面的安然问题,比如接口裸露,可以随意率性调用,以致改动传输包,办理措施可参考:

1. 身份认证,调用鉴权(资本范围、操作权限);

2. 通道加密传输,如应用SSL传输;

3. 紧张信息加密算法进行加密后传输;

4. 添加token校验,防止哀求重放;

5. 将登岸信息等紧张信息寄放为SESSION,其他信息假如必要保留,可以放在COOKIE中;

6. 设置IP白名单;

7. 一些资本治理器/利用组件(如:YARN&MR、Spark、Hive、Storm、ZooKeeper、Impala),应开启认证机制。若资本治理器/利用组件支持关闭认证机制功能,必要提示,并建议在关闭认证机制功能时界面上给出告警提示。

接口认证要领不能一概而论,还要根据所在营业和场景进行设计…….

来个故事吧,搭建测试情况,某短信数据流转示意图:

一、问题现状:

a.短信信息明文传输,也未应用SSL传输;

b.可以随意率性改动短信信息;

c. 应用GET传输账号、密码及短信内容;

d. 短信办事器是在短信企业那边,也便是短信平台与短信办事器是进行了跨不相信收集传输。

二、存在的风险

外部职员调用此短信接口或直接应用以往的接口信息内容,进行改动,然后:

a. 短信欺骗;

b. 短信钓鱼;

c. 因为短信内容可以随意改动,也可以随意发给任何人,可以使用的要领太多,不逐一例举。

三、测试验证

外网直接调用接口信息后不必要验证,直接窜改,再发送短信成功:

信息解码后:

http://116.58.xxx.xxx:8080/xxx/xxxx.action?cdkey=xxx-xxx-xxx-xxx&password=011xxxx&phone=189xxxxyyyy&message=奥巴嘛老师您好,户名:深圳xxxxxxxx公司,开户行:xx银行深圳xx支行,账号:xx42710xxx101665,金额为:11342000000000000000.00元。如有疑问,请联系26146182614343xxxxx,如必要开启上帝模式请联系吴证铭老师,电话:18888889999

成功收到短信:

3.3 数据加密&脱敏

上一页[1] [2] [3] [4] [5]下一页

(一)数据加密

在数据保存和传输的数据供给加密功能,在两个维度上供给数据安然保护:

1.机密性:采纳加密的要领,确保只有拥有响应密钥的用户能够造访被保护的数据;

2.完备性:包管信息在储存和传输历程中不被查看和改动,如:应用SSL传输,并对敏感信息(如用户名、密码、紧张ID值)应用加密算法+动态token验证。

在加密算法、随机数应用、加密协议的选择时必要兼顾机能斟酌,必要对数据进行区分,只针对必要加密的数据进行加密处置惩罚。

常见的加密算法:

内容加密平日采纳对称加密算法,数据库中常用的加密算法AES或MD5+盐;

传输通道加密平日采纳非对称加密算法,如:SSL加密数据通道采纳RSA(非对称加密)、VPN采纳RSA、SSH key采纳RSA。

注:

a. MD5加密着实是对照弱,一次MD5可以防止相对安然的密码被逆向出明文,但可顺推。

b. 纯真的MD5不是很安然,但加个固定的盐值,就能防止已有的彩虹表进击,多次MD5更是增添了碰撞进击的谋略资源,但不能防止重放进击。

c. 在传输历程中加动态token验证,就必要办事端加逻辑设置设置设备摆设摆设,可以防止重放进击,但不能防止中心人进击。

d. 传输通道加密可以对照有效防止中心人进击。

(二)秘钥保护

加密技巧都基于密钥的安然根基上,假如密钥泄露,就掉去了安然性。实际开拓中,把密钥直接写在源代码中,或者是设置设置设备摆设摆设文件中,线上和开拓情况设置设置设备摆设摆设相同的密钥。这样的话,不敷安然。

经由过程两种规划改良:

1.密钥和算法放在一个自力的办事器上,以致做成一个专用的硬件设备,对外供给加密和解密办事,用法度榜样经由过程调用这个办事,实现数据的加解密。这种措施由专人掩护,密钥不轻易泄露,然则资源较高。

2.将加解密算法放在利用系统中,密钥则放在自力办事器中,为了前进密钥的安然性,实际存储时,密钥被切分成数片,加密后分手保存在不合存储介质中,兼顾密钥安然性的同时又改良了机能。

(三)数据脱敏

企业拥有的敏感数据,包括商业秘密、常识产权、症毕营业信息、营业相助伙伴信息或用户信息等。此中涉及小我隐私的用户小我信息是信息系统中最紧张最广泛的敏感信息。

小我信息:指以电子或者其他要领记录的能够零丁或者与其他信息结合识别自然人小我身份的各类信息,包括但不限于自然人的姓名、出生日期、身份证件号码、小我生物识别信息、住址、电话号码等。

公夷易近小我信息:是指以电子或者其他要领记录的能够零丁或者与其他信息结合识别特定自然人身份或者反应特定自然人活动环境的各类信息,包括姓名、身份证件号码、通信通讯联系要领、住址、账号密码、家当状况、行踪轨迹等。

小我建议:针对敏感数据,采纳技巧步伐限定对用户信息的造访和应用。

1)确认必要查看客户小我信息的后台账号,账号权限为营业必须的权限;

2)查询客户小我信息只管即便仅能查询脱敏后的信息,如电话号码、身份证号码只保留前后4位,中心内容脱敏;

3)不管是哀求校验照样脱敏不要在前端进行,前端是弗成靠的;

4)对付必要导出客户小我信息的后台账号,确认是否需要导出客户小我的明文信息,

a)如无需要建议禁止导出客户明文信息;

b)若确凿需要导出客户小我信息的明文信息,建议严格限定后台账号的应用职员范围(应用职员、登录的源IP),并设置导出的信息范围,如信息条数、信息时长(如近来1个月),所有对客户信息的查询和导出有日志记录。

脱敏实现之数据脱敏系统的道理及功能:

第一步:评估数据资产的安然级别,根据不合的安然级别以及利用的数据要求,拟订不合的脱敏策略。

第二步:设置脱敏义务和触发前提,触发前提如光阴、某数据处置惩罚历程的调用。

第三步:触发脱敏前提后,脱敏系统将脱敏算法的履行算法包下发各节点实现数据脱敏。

数据脱敏可发生在两个阶段:

1)数据的采集阶段,实现最基础、简单的脱敏;

2)数据资产利用历程中,针对不合的利用进行实时的脱敏,利用脱敏相对较为繁杂多变。

好吧,这里也来点关于秘钥和脱敏问题的故事吧,在这里讲故事,没人打我,大年夜佬们措辞又好听,超爱好这里的感到。

故事1、硬编码

反编译APP,找到加密要领AES/CBC/PKCS5Padding

找到秘钥:b60449ddb29221c8

测试解密成功:

刚好还有个信息遍历破绽,现在有了秘钥,就可进行遍历了,自定义ID值,然后用秘钥加密,再去遍历,可遍历出其他人的ID值对应的用户信息:

故事2、前端脱敏

比如下面这种,看起来是脱敏的,但经由过程中心抓包拦截就会发明完备信息,当然了下面这个图不光是前端脱敏问题,着实也是一个遍历+前端脱敏问题,可经由过程遍历获取其他人完备的银行卡号和余额信息:

上一页[1] [2] [3] [4] [5]下一页

还有一种场景,一些网站首页会展示一些客户信息,当然展示时看到的紧张信息(如:姓名、电话、姓名、身份证)是进行脱敏了,但经由过程抓包拦截就可以获取到完备信息:

3.4 容灾备份/规复

(一)容灾分类:

数据级容灾:建立一个异地的数据系统,该系统是本地关键利用数据的一个可用复制。在本地数据及全部利用系统呈现劫难时,至少在异地保存有一份可用的症毕营业的数据。该数据可所以与本地临盆数据的完全实时复制,也可以比本地数据略微后进,但必然是可用的。

利用级容灾:在数据级容灾根基上,在异地建立一套与本地临盆系统相称的备份情况,包括主机、收集、利用、IP等资本均有配套,当本地系统发生劫难时,异地系统可以供给完全可用的临盆情况。

(二)备份策略

备份策略是备份规划核心部分,要按照数据紧张程度、数据治理要领拟订不合的备份策略。备份策略包括:备份工具、备份措施、备份频率、保存时限等。

如:天天数据泵备份两次,RMAN备份一次,备份保存双份,一份放本地,一份放存储。

1) 日常备份逐日进行三次备份,数据泵天天两次备份, RMAN天天一次备份。

a. 数据泵天天备份2次,光阴为正午xx点xx分,晚上xx开始

b. RMAN晚上xx点xx分,早晨xx点;

c. 数据泵备份完成后会传输到指定存储设备,本地存一份,存储存一份,共保存两份,包管系统发生故障时能够快速规复。

d. 在进行数据表的截断、删除之前,进行备份,避免误操作之后的措手不及。

2) 月备份

a. 每月月末对所稀有据文件进行离线备份,拷贝到备份介质中,并另行备份一份寄放至xx。

3) 临时备份

a. 临时备份采纳数据泵备份。

4) 备份保存时限

a. 数据泵备份保存一个月备份,RMAN备份保存x天。

(三)备份运行和规复练习训练

1)必须按期巡检和掩护备份系统及时发明并扫除故障隐患,包管备份系统的正常运转。

2)对付核心系统和关键系统,每半年进行备份介质可用性反省,确保库存介质可用。

3)必须包管核心系统每季度进行的规复测试顺利完成,反省备份可用性。关键系统至少每半年进行规复测试。

4)必要实施系统规复时要按照备份规复治理流程陈诉、审批,按照备份规复规划进行系统规复。

5)小我做好对自己的资料文件根据必要进行备份,但必须做好备份的信息安然保护事情。

6)数据备份应遵照“内容完整、安然保密、落实到人、定点寄放、按期查验”的事情原则,切实包管备份数据的机密性、完备性和可用性。

这里真没什么故事好讲,百度一下会更富厚。照样来个简单的容灾/备份的收集构想图吧:

3.5 安然审计

只管即便经由过程支配日志审计系统,实时监视收集种种操作行径及进击信息。根据设置的规则,智能的判断出各类风险行径,对违规行径进行报警等。

日志的分类包括:利用系统日志、操作系统日志、数据库日志、收集设备日志和信息安然设备日志。每一类日志记录中应记录以下基础内容:事故发生的日期和光阴、事故描述,操作者信息,导入、导出、成功和掉败操作。

(一)利用系统日志

客户造访门户网站时,应对登录行径、营业操作以及系统运行状态进行记录与保存,包管操作历程可追溯、可审计。并确保营业日志数据的安然。日志记录应满意如下安然要求:

1. 记录症毕营业操作日志:应记录症毕营业操作的日志,例如登录成功与掉败、症毕营业解决、敏感数据查询、敏感数据导入与导出等。

2. 记录利用系统运行日志:应记录利用系统的启停、非常、资本应用环境等。

3. 敏感数据隐隐化:禁止在营业日志中记录办事密码等敏感信息。假如确凿必要记录敏感信息,则应进行隐隐化处置惩罚。

4. 防止营业日志诈骗:假如在天生营业日志时必要引入来自非受信源的数据,则应进行严格校验,防止诈骗进击。

5. 营业日志安然存储与造访:禁止将营业日志保存到网页目录下,确保营业日志数据的安然存储并严格限定营业日志数据的造访权限。应对营业日志记录进行署名来实现防窜改。日志记录应在线至少保存半年,离线保存1年。

利用系统日志阐发,不合的系统日志特性不一样,以是也不好去先容(有时机再写写安然应急),在做应急阐发时,无意偶尔候是必要去模拟操作阐发出操作特性,再去对日志进行阐发。

好吧,照样讲个故事吧:

1)模拟登岸操作,获取登岸成功的跳转信息:

GET /admin/basics/mainHTTP/1.1

Host: xxxx.com

xxxxxxxxx…………………..

Referer:https://xxxx.com/admin/manage/login

Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxxxxxx

Connection: close

2)然后筛选日志中/admin/basics/main,发明某黑阔也是半夜不睡觉的,成功登岸了某后台:

查看了下IP是外省浙江的,当然了这种IP基础不是真实源,不会用代理的黑阔不是好黑阔。

3)看看他在干吗

在看page=1和page=2等等

上一页[1] [2] [3] [4] [5]下一页

测试了下这个page=是什么,他大年夜爷,在查其他用户小我信息啊(勿惊,问题不大年夜,只是故事,大年夜家都是做安然的,混口饭吃不轻易):

(二)WINDOWS系统日志

做日志审计,条件是要开启响应的日志审计计算,默认的日志信息是很少的,开启日志审计时还必要留意,假如整个开启,日志信息可能巨宏大年夜,会有很多无用日志,以是最好是先确定是必要开启哪些审计计算。

关于日志信息若何审计,审计哪些,这里做了一个简单的win2008常用审计事故ID(win7与win2008的日志事故ID没什么差别):

手工查看日志:

1)这是在爆破账号密码啊:

2)造访445端口的筛选:

(三)UNIX系统日志

网络的一些日志特性:

(四)Juniper防火墙日志

网络的一些日志特性:

(五)互换机/路由器

网络的一些日志特性:

为什么这里没有先容数据库的日志呢,由于一旦开启数据库的审计计算,数据库机能将孕育发生伟大年夜影响,是以建议只应用默认的审计计算。

数据库日志审计,可以参考如下:

1. 支配碉堡机进交运维治理,碉堡机日志对操作者所有操作行径进行日志记录;

2. 旁路支配数据库审计产品,并实现用户IP、利用办事器IP与数据库IP三层关联,对数据库的每条数据库敕令的履行进行记录;

3. 至于设备支配以及策略设置设置设备摆设摆设位置,建议就近原则。

(六)IT运维治理

经由过程专业的运维治理系统进交运维监控,对办事器的CPU、硬盘、内存、收集等资本的应用环境,以及系统的办事水平进行检测和告警。某卡的软件可以实现这些功能,这里就不放图了以免广告嫌疑。

(七)接口安然审计

接口的调用监控:限定造访次数、最大年夜连接量,接口流量实时监控、非常流量告警,如短信接口、提现接口、充值接口等等;

无意偶尔能看到一些爬虫、短信炸弹、CC进击等,比如这种半夜不睡觉的黑阔,在换着IP刷短信,假如让他刷上一晚:

注:比如某系统已经停用了,有破绽也不盘算补了,反正都不用了,但某天系统又从新开启还不通知安然,这时技巧、治理已经掉效了,以是还有监控这一道防线。

(八)日志保护

1. 关键信息根基举措措施的运营者在运营中网络和孕育发生的小我信息和紧张数据该当在境内存储;

2.对审计进程进行保护,防止未经授权的中断;

3. 审计记录进行保护,按期备份,避免受到未预期的删除、改动或覆盖等,如:审计记录备份到日志办事器;

4.日志信息保存至少6个月。

3.6 周全防护

设计安然防护框架,可能也不尽如人意。一图胜千言,假如不可,那就两张:

四、着末

着末不想多说,文章内容仅是小我事情生活中的一些履历和设法主见,不合的角度会有不合的不雅点。

文章内容也还有不够,主如果细说可以展开成很大年夜的篇幅。幸好照样坚持把它写完……

上一页[1] [2] [3] [4] [5]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包