1.1 互联网企业信息安全

企业信息安全大致包含以下内容。

● 网络安全，如企业所有的计算机、网络、中间件与应用的安全。

● 业务安全，即基础设施安全的扩展，企业主营业务的安全，如反欺诈、反爬虫等。

● 广义的信息安全，即保障企业所有信息的保密性、完整性与可用性。

● 信息安全风险管理。风险管理贯穿于整个信息系统生命周期，包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。

● 业务连续性管理等。

互联网企业信息安全一般会聚焦于以上提到的前3个方面。

1.1.1 互联网企业信息安全的工作内容

互联网企业信息安全将网络安全、业务安全与广义的信息安全融合在一起，工作内容可以分为以下几个方面。

1.信息安全管理与隐私保护

信息安全管理的定义：通过保护组织的信息资产来监督和制定业务目标所需的决策，信息安全管理通过制定和使用信息安全政策、程序和指南来实现，然后组织相关的所有人员在整个组织中应用。

在企业中，安全管理包括风险管理、隐私保护，以及各种合规性工作，与安全技术工作有明确的分工，工作内容有信息安全管理体系的制定、运行与维护，安全策略、制度与流程的制定，安全培训，安全认证，安全合规，用户隐私安全与GDPR等。

2.基础设施安全

基础设施安全，顾名思义，就是用来支撑企业运转的各种设施的安全，如生产环境、办公网的网络安全架构、服务器、中间件及应用程序的安全，工作内容包括安全策略制定、安全架构设计、安全加固、安全预警、安全扫描、入侵检测及应急响应等。

3.研发与交付安全

基础设施的安全偏向于服务在线上运行时的安全，研发与交付安全的理念是在源头上解决安全问题，安全团队在产品的设计、研发阶段就开始介入，常用的模式是安全开发生命周期（Security Development Lifecycle,SDL）。

4.业务安全

业务安全常见的是预防“薅羊毛”、撞库、数据爬取、刷单、刷优惠券、骗保骗贷、抢购等行为，攻击者不再需要靠入侵服务器，而是利用业务的一些逻辑漏洞等去获利，给公司造成直接的经济损失。现在的大型互联网公司都有相应的业务安全风控团队，用来应对这些问题。

5.数据安全

信息安全是为了保障企业所有信息资产的保密性、完整性与可用性，广义的数据安全侧重于对数据资产进行分级及对敏感数据整个生命周期的保护。狭义的数据安全是指保护静态存储数据的安全，防止数据泄露。有一些公司也会把用户数据的隐私安全纳入数据安全的范畴。

除了以上几个方面，有APP与IoT设备的公司，还会设立移动端安全与IoT安全的团队。

1.1.2 常用的安全防御参考模型

在设计安全防御体系时，也有多种安全防御参考模型可供选择，如PDR与P2DR模型、边界安全防御模型，纵深防御体系及零信任网络模型等。

1.PDR与P2DR模型

PDR模型是指防护-检测-响应（Protection Detection Response），其基本思想是承认系统存在安全漏洞，通过适度的防护，以及加强安全检测、应急响应来保障系统的安全。

P2DR模型是在PDR的基础上，增加了策略这一环节。全称是策略-防护-检测-响应（Policy Protection Detection Response），该模型的核心是所有的防护、检测与响应都是依赖安全策略实施的，如图1-1所示。

2.边界安全防御模型

边界安全防御模型是最常用的模型，它的核心理念是在网络边界解决安全问题，默认对内部网络的人、设备、系统、应用和流量是信任的，对内部网络安全不采取任何加强措施。这种安全模型相当于只在城墙上设防，缺点是城墙一旦被破，城内会非常危险。

3.纵深防御体系

纵深防御体系可以看作是边界安全防御模型的加强版，目的是为了弥补边界安全防御模型的不足，通过在攻击者与核心数据之间放置多种安全机制来增加防御体系的安全性。攻击者需要层层突破才能拿到想要的数据，纵深防御体系提高了安全防护的坚固性，加大了攻击的成本与时间。

4.零信任网络模型

零信任网络模型认为传统的边界安全防御模型存在缺陷，边界安全防御模型默认信任的内部网络也是充满威胁的。零信任网络的思想是不应信任网络内外的任何人、设备、系统、应用与流量，应基于已有的认证和授权技术实现对人、设备、系统、应用的认证与授权，而且认证与授权应实时地根据访问主体的风险级别进行动态地调整。

1.1.3 互联网企业基础设施安全

互联网企业构建于基础设施之上，因此基础设施的安全非常重要。基础设施安全包括以下几个方面。

1.网络边界安全

保障网络边界安全需要设置网络层的访问控制列表（Access Control List,ACL），对外只开放提供服务必需的端口（如80和443端口），其他端口一律禁止对外开放，如SSH、MySQL、Redis等服务的端口，一旦对外开放就属于高危端口。安全工程师需要定期利用端口扫描器检测网络层的ACL是否失效，以及由于个别运维、研发工程师的操作不规范而导致的高危端口对外开放的情况。

本书第2章中介绍的扫描器，白帽子可以用来进行安全扫描，安全工程师可以用来进行高危端口检测。

2.Web应用安全

保障Web应用安全常用的方法是上线前的黑白盒安全测试、部署Web应用防火墙（Web Application Firewall,WAF）与入侵检测系统（Intrusion Detection System,IDS）和推行SDL等，也可以在互联网数据中心（Internet Data Center,IDC）的网络出口层面部署IDS，用来辅助主机入侵检测系统（Host Intrusion Detection System,HIDS）发现数据泄露、Webshell和后门等。

本书第5章介绍了恶意流量分析系统，可以在此基础上进行二次开发，在保证性能与检测规则的基础上，部署于IDC与办公网的出口。反向代理型的WAF（详见第9章）。

3.系统安全（服务器、中间件与容器等）

保障系统安全常用的方法是远程安全扫描、本地安全加固和部署HIDS等。系统安全常见的威胁有弱口令、被利用漏洞入侵成功后植入后门木马、被用Sniff监听数据等。知己知彼、百战不殆，安全工程师需要了解常用服务的弱口令扫描器（详见第2章），常用的后门、命令与控制程序（详见第3章）和常用的嗅探器（详见第4章）。

4.网络与流量安全

攻击者入侵成功后，一般会植入Webshell或者cmdshell等后门程序，在网络层面可以部署网络入侵检测系统（Network Intrusion Detection System，NIDS）来检测，本书第5章的恶意流量分析系统可以视为一个简版的NIDS。

如果攻击者想扩大战果，一般会扫描内网其他服务，这时可以利用蜜罐或欺骗防御系统来防御（详见第7章）。

5.业务安全

保障业务安全常用的方法是建立风控系统，风控系统与业务强相关，没有通用的系统。

代理蜜罐可以作为风控系统的一个补充，可以检测到撞库、爬虫等行为，如果发现有的业务被攻击，可以直接将其特征加到风控系统中，也可以溯源到发起请求的服务器的真实地址（详见第8章）。

6.办公网安全

办公网安全包括安全域划分、准入、终端安全、AD安全、邮件安全、内部网络与系统的安全及出口流量安全等。

● 保障邮件安全可以部署Exchange邮箱安全网关（详见第6章）。

● 保障出口流量安全及检测员工是否中了反弹木马等，可以使用后门扫描（详见第3章）、部署恶意流量分析系统（详见第5章）。

● 检测办公网是否中了蠕虫，是否有恶意攻击者，可以部署蜜罐与攻击欺骗防御系统（详见第7章）。

● 零信任身份识别代理（Identity Aware Proxy，IAP）可以将内网业务安全地发布到外网。