最近都在談論安全體系架構(gòu)，我也有一些觀點想與諸位分享，主題圍繞著如何搭建企業(yè)級安全體系架構(gòu)來進行，本期重點是搭建安全體系架構(gòu)的先決條件，全主題不以投入資金來定安全體系，安全體系架構(gòu)不是安全設備的堆積，這一點是重點想要分享的。

一套好的安全架構(gòu)離不開以下幾點支撐：

• 企業(yè)的重視
• 業(yè)務的特性分析
• 成本
• 架構(gòu)的高可用性+保密性+完整性分析
• 專業(yè)的團隊

邏輯圖

其中談到的企業(yè)重視是最重要的一點，它決定著架構(gòu)的策略側(cè)重點、投入的成本、團隊的組建等等，如果企業(yè)高層不重視安全架構(gòu)的設計，那么從戰(zhàn)略角度來講安全的投入也不會很大，同樣安全團隊的專業(yè)程度也不會很高，這是戰(zhàn)略意義決定的。

一般設計架構(gòu)都是按照業(yè)務需求和特性來設計的，這里舉個例子，我需要一套HTTP對接的業(yè)務，那么相應安全需求就是購買HTTPS證書、WAF、抗DDOS等等，以及開發(fā)方向會選用什么開發(fā)架構(gòu)，使用什么語言進行應用開發(fā)，要關注相關框架以及語言漏洞。如果我的業(yè)務僅需要FTP對接，那么上述WAF、HTTPS證書等就不需要涉及了，根據(jù)業(yè)務特性和需求來設計企業(yè)的安全架構(gòu)也是一大重點。

[[269270]]

之后是投入的成本，上圖中我說投入成本與安全程度從某種意義上來講是成正比的，但不是說沒有投入成本的架構(gòu)就一定是不安全的，這句話不太好理解，在這里重點解釋一下，安全產(chǎn)品所帶來的安全力度的確很大，這里就以WAF來舉例，它可以代替我們阻斷很多攻擊，比如SQL注入，比如struts2、比如java反序列等等，它可以最大程度的保證HTTP層面的安全性，但是最強大的往往是自身，須知如果企業(yè)的開發(fā)架構(gòu)完善，WAF便只是錦上添花的產(chǎn)品，很多開發(fā)架構(gòu)都帶有過濾、轉(zhuǎn)義，這也是為什么基礎攻擊手段越來越不好使的原因之一。一套好的安全體系架構(gòu)一定不是用錢堆出來的，這個概念大家要了解。

關于高可用性，這里一般分為網(wǎng)絡的高可用和數(shù)據(jù)的高可用以及應用的高可用，網(wǎng)絡高可用顧名思義，當一個網(wǎng)絡接口down了，切換到另一個接口不影響正常訪問，數(shù)據(jù)高可用應用高可用也是同理，高可用的設計是在一個架構(gòu)設計的最初就必須要考慮的，這里包括系統(tǒng)架構(gòu)、安全架構(gòu)和開發(fā)架構(gòu)，都需要考慮這個問題。

隨著國家對于數(shù)據(jù)保密性要求越來越高，以及業(yè)務數(shù)據(jù)的私密性特點，保證數(shù)據(jù)的保密性需求也是越來越大，此處保密性架構(gòu)設計也需要更全面的加密，包括軟件加密、硬件加密、邏輯加密等等，國密算法的推行隨著時間的發(fā)展也會越來越完善，在這里建議架構(gòu)設計的時候推行國密算法兼容 RSA雙重算法，保證國產(chǎn)化的同時保證業(yè)務的兼容性。

數(shù)據(jù)完整性一般體現(xiàn)在包校驗上，防篡改的設計也是需要架構(gòu)師著重費心的地方之一。

以上要有一支專業(yè)團隊，包括密碼學、應用安全、網(wǎng)絡安全、系統(tǒng)安全等多個方面的人才組建的安全團隊，需要彼此之間配合搭建一套完整的安全體系架構(gòu)，管理制度也不能少，如此一套完善的安全體系架構(gòu)就算是有了基礎的建設能力，后篇會講述具體架構(gòu)設計以及落地。

[[269272]]

首先從管理層面的角度來講，要有健全的管理體制，一般由安全工程師負責日常安全巡檢以及加固，包括日志巡檢、物理巡檢等等，由應急響應工程師來負責突發(fā)事件的安全補救，由安全研究員來負責安全資訊傳遞以及安全漏洞復現(xiàn)，由安全滲透工程師來負責對全網(wǎng)范圍的公司財產(chǎn)進行滲透測試保證財產(chǎn)安全。由安全開發(fā)工程師來開發(fā)安全產(chǎn)品供同僚們使用。當然以上也可以由一人身兼眾職。并且需要高層建立監(jiān)督小組以及出臺監(jiān)管機制，監(jiān)督各個崗位的安全負責人來完成日常工作，這保證了安全職責確實向下執(zhí)行，建立工作獎懲機制，來保證各個崗位負責人的工作積極性。

其中每個崗位又會細分為以下工作：

安全開發(fā)工程師開發(fā)安全產(chǎn)品，大致有：IPS/IDS、HIDS/HIPS、WAF、漏掃、代碼審計、堡壘機、VPN、加解密系統(tǒng)、日志審計、數(shù)據(jù)庫審計、防病毒、報警體系、監(jiān)控體系等產(chǎn)品。

安全研究員主要熟知公司開發(fā)所用的架構(gòu)，每個業(yè)務所用的框架和語言、包括接口、對接協(xié)議等都需要了解、關注相關漏洞，尤其是開源架構(gòu)的使用，首先要確保架構(gòu)本身的穩(wěn)定性、安全性、保密性，綜合評估可用性后再進行部署與使用。

安全工程師需要隨時進行日志分析，最好能與開發(fā)進行溝通，實現(xiàn)自動日志分析的功能，這樣會過濾大量日志，人工日志分析量會降低很多，提高效率。

安全滲透工程師需要熟知網(wǎng)絡架構(gòu)、應用架構(gòu)、業(yè)務架構(gòu)，做出相應重點的滲透測試，側(cè)重點在于不影響業(yè)務，最好不產(chǎn)生垃圾數(shù)據(jù)。

應急響應工程師要隨時隨地觀察系統(tǒng)是否出現(xiàn)異常情況，最好能與開發(fā)進行溝通，實現(xiàn)自動化監(jiān)控報警，以降低工作量提升工作效率，并且提升準確率。

其實安全團隊每一個人都應該是安全開發(fā)，不論是大到成熟的體系化產(chǎn)品開發(fā)還是小到一個安全腳本的開發(fā)，安全團隊的每個人都能勝任，有這樣的團隊基本上安全無憂。