1、信息安全体系介绍水滴安全管理平台实践解析2019年7月1日一、信息安全体系介绍信息安全（Information Security）是指系统的硬件、软件及其信息受到保护，并持续正常地运行和服务。信息安全的实质是保护信息系统和信息资源免受各种威胁、干扰和破坏，即保证信息的安全性。主要目标是防止信息被非授权泄露、更改、破坏或被非法的系统辨识与控制，确保信息的保密性、完整性、可用性、可控性和可审查性。信息安全的基本概念网络安全（Network Security）指利用网络技术、管理和控制等措施，保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。即保证网络系统的硬件、软件及系统中的数2、据资源得到完整、准确、连续运行与服务不受干扰破坏和非授权使用。网络安全的基本概念从名称上来看，原信息安全等保标准叫做信息安全等级保护制度，现在 2.0 叫做网络安全等级保护制度。这意味着，等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级：之前保护的对象是计算机信息系统，而现在上升到网络空间安全了，除了包含之前的计算机信息系统，还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。等级保护2.02018年重大网络安全事件 手机应用克隆事件 英特尔处理器“Meltdown”和“Spectre漏洞”荷兰三大银行遭DDoS攻击 僵尸网络HNS感染3、物联网设备 GitHub遭遇DDoS 攻击 韩国平昌冬季奥运会遭遇黑客攻击 阿里云大规模故障 华住酒店5亿条用户信息泄露Verizon2018数据泄露调查报告(DBIR 2018)深入挖掘了全球各个行业的网络安全状况，包括制造业、医疗行业、金融和公共管理等。威瑞森的这第11份年度数据泄露调查报告揭露了5.3万起网络安全事件和2216起经证实的数据泄露事件。在由内部人员导致的信息泄漏事件中，25.9%与系统管理员有关（这与一半以上的人复用密码和弱口令颇有关系）；93%的社工攻击都采用了网络钓鱼和假托手段；81.1%的安全事件都与窃取身份凭证有关。对企业信息安全来讲，外部威胁和内部威胁所占的比重分4、别为70%和30%。从总体上来看，医疗、住宿行业、公共事务管理、零售和金融，是如今信息泄露事件最多的前5个行业。互联网+时代的网络安全形势蔡淑妍，2016年7月19日被骗9800元，留遗书溺亡徐玉玉，2016年8月19日被骗9900元，郁结于心离世宋振宁，2016年8月18日被骗2000元，导致猝死电信诈骗致死三名大学生数据泄露事件与影响Threat#1 数据泄漏Threat#2 身份、凭证和访问管理不足Threat#3 不安全的接口和应用程序编程接口(API)Threat#4 系统漏洞Threat#5 账户劫持Threat#6 恶意的内部人员Threat#7 高级持续性威胁（APT）Thre5、at#8 数据丢失Threat#9 尽职调查不足Threat#10 滥用和恶意使用云服务Threat#11 拒绝服务（DoS）Threat#12 共享技术漏洞CSA 发布12大顶级云安全威胁*按照调查结果的严重程度排序国家对网络安全重视习近平总书记在中央网络安全和信息化领导小组第一次会议上指出：没有网络安全就没有国家安全没有网络安全就没有国家安全国家安全是指国家政治、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其它重大利益相对处于没有危险和不受内外危险的状态，以及保障持续安全状态的能力。国家安全包括了：政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、6、生态安全、资源安全、核安全等。中国首个安全法落地中华人民共和国网络安全法于2017年6月1日正式执行，其中第四章（网络信息安全）对数据安全与信息泄露做出了明确的追责要求。网络安全法从草案到通过，仅用时一年半，而生效时间也只有半年，整个过程的速度如此之快。落地之后，由于立法的要求，国内数据安全市场将会持续增长，各行业积压的需求将会井喷。银行业金融机构数据治理指引 第二十四条 银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问和拷贝等权限，监控访问和拷贝等行为，完善数据安全技术，定期审计数据安全。银行业金融机构采集、应用数据涉及到个人信息7、的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。关于进一步加强征信信息安全管理的通知2018年5月2日，央行下发关于进一步加强征信信息安全管理的通知（银发2018102 号）。通知中写到：（一）从严加强征信系统用户管理。运行机构和接入机构应严格遵循相关规定办理用户的创建、停用和启用，根据“最小授权”原则分配各类、各级用户的权限，严格用户权限设置，将用户权限控制在业务需要的最小范围内。杜绝创建公共账户或者类公共账户，切实做到人户统一、专人专用，及时停用和启用用户，实施用户密码动态管理。国家对网络安全重视网络安全与企业发展企业为什么要做网络安全工作？业务发展法律要求合同要8、求网络安全的内容网络安全是指通过采用各种技术手段和管理措施，保障互联网的健康发展。主要包括：意识形态安全数据安全技术安全应用安全资本安全渠道安全攻防安全二、水滴安全管理平台实践解析入口多生产系统入口多，监管难度大；如主机跳转，各类应用程序，主机互信设置，数据库sqlplus，plsql等等过程管控虽初步建立了运维体系，但没有刚性落地，存在微信，QQ，邮件甚至是口头走流程的现象未留痕生产系统操作痕迹没有落地，关键操作与流程没有对接，无法进行合规，合法审计，甚至出现数据泄密和误操作行为无从查起。.密码权限账号密码管理不到位，存在泄漏风险，角色与权限仍存在过度赋权的情况；如生产系统账号，主机与数据库9、账号，个人vpn和4A账号.随着系统与业务复杂度的不断提高，对生产运维的安全提出了越来越高的要求，目前还普遍存在以下问题：运维安全现状0102030405运维安全管理工作的开展，还需要哪些前提？最主要前提就是运维工作的可审计，审计的前提就是配置管理及全过程落地，为了便于落地，就在于运维生产工作入口的统一建章立制，有据可依经过沉淀和总结，形成了纸面的运维体系规范，但只是软约束，没有刚性落地面向安全新IT模式安全生产重于泰山的观念深入人心，在devops基础上，建立面向生产安全的全IT流程新模式安全统计，主动改进根据落地的过程数据，提前发现问题和风险，区别于生产事故驱动的一种主动的优化改进，提高生10、产安全刚性落地，可审可查运维全过程刚性落地，做到了接入申请，流程审批，过程留痕，结果审计简单依靠个人能力系统交维初期，单纯依靠团队成员的个人能力和素养，对安全流程还没有形成普遍共识，只停留在个别人的脑子中We are here!五个阶段运维安全管理的阶段和前提扎紧生产系统入口，上收账号密码管理，实现统一接入授权，统一入口接入，统一接入鉴权，防范非法生产系统非法接入风险以ITIL流程规范为基础，将现有生产运维体系刚性落地，实现生产运维配置管理，事件管理，变更管理，问题管理，服务管理等全过程管控根据全过程落地数据，对各生产运维过程进行全过程审计，对不合法不合规的问题进行报告，并进行优化整改风险防范11、过程管控审计优化建立生产运维安全风险的刚性防范机制，健全生产运维流程的合规合法性审计制度，做到接入授权，流程审批，过程留痕，全面审计，持续优化生产运维体系，提升运维安全总体目标运维安全管理的目标统一入口统一管控统一审计账号密码管理接入鉴权入口堡垒机生产对象角色权限事件管理问题管理执行动作变更管理审计数据库审计管理统计分析优化改进运维安全管理全流程共分为三个部分，统一入口，统一管控，统一审计；实现了在统一授权入口的前提下，对所有生产对象实行配置管理，依据运维事件管理，问题管理等实现运维流程的统一管控，根据落地的流程和结果数据进行统一审计。运维安全管理流程功能架构服务器资产数据库资产金库授权数据脱12、敏指令拦截命令执行安全审计协议管理密码保险箱录像回放用户组管理用户管理用户管理网域管理资产管理资产管理管理用户标签管理资产授权权限管理历史会话在线会话会话管理Web终端命令记录命令执行任务列表作业中心日志审计日志审计系统用户文件管理服务器资产数据库资产嵌入式终端用户自有终端资源资产基础服务管理流程用户触点金库模式身份鉴别访问控制授权码管理触发规则脱敏规则数据脱密网络资产网络资产点击此处添加文字标题性能测试对主机SSH服务进行压力测试，测试数据作为生产环境部署的参考依据；环境部署安全管理平台基于容器化环境进行部署，同时安全管理平台采用高可用部署方案，对SSH服务进行多实例部署，可弹性扩缩；场景验13、证结合生产运维实际场景，梳理安全管理平台针对主机的资产管理、维护操作等过程，针对过程进行功能点分析、验证、开发；同时针对密码保险箱的对接进行技术验证；试点运行梳理Billing侧主机资产910例，纳入安全管理平台，同时针对不同模块维护人员共120人分配相应资产权限，实现主机资产的一点管理，操作过程可控，操作记录可审计；前期工作因此安全管理平台试点上线前，依照cBSS1.0生产运维场景，进行场景验证、性能测试、环境搭建等工作，对于无法满足需要的功能点及时优化。性能测试安全管理平台性能的瓶颈是SSH服务，因此针对SSH服务我们进行了压力测试，设置样本并发量为300，连续循环20次并发请求，且每一轮14、请求准备时长为10s，得到测试结果如下：通过对测试结果分析，单个SSH服务实例可以承载的并发请求在350左右，在生产环境部署过程中我们参考此数值，根据请求量合理部署SSH服务实例。安全管理平台现状基于运维安全管理目标，结合cBSS1.0实际运维场景，目前安全管理平台已上线使用，纳入主机、数据库资产1782台，维护用户265名，实现对主机、数据库的资产管理、过程管控、使用审计。点击此处添加文字标题多种登录认证安全管理平台用户密码均为加密存储，除使用密码登录外，提供MFA认证登录方式。日志审计可对登录日志、操作日志、命令记录、历史会话、FTP日志等进行查询审计，对执行结果进行追踪命令过滤支持命令过15、滤策略配置，可以针对不同用户设置不同的命令限制策略，避免进行高危操作资产分配根据运营维护模块划分主机资产，划分用户组，支持对不同用户组配置相应资产，以防过度赋权安全特性系统部署 容器化环境安全管理平台基于Marathon+Mesos+Docker的容器化环境进行部署。高可用、可扩展根据性能测试情况，试运行阶段各服务为单实例部署。其中主机SSH服务可以根据压力情况扩缩，管理服务和web终端可以通过代理进行负载部署，考虑管理服务访问量不高，web终端为纯前端页面，所以基本不存在性能问题。守住入口留全痕迹优先实现生产系统统一接入管理，并对生产系统实际操作全部落地，做到有授权，有痕迹抓重点抓痛点安全思维建设逐步推广针对存在重大安全风险的运维操作，实现全流程管控平台化建设，不断优化，逐步横向纵向推广注重运维安全思维建设，结合团队的实际情况稳步推进，不冒进推进策略安全重于泰山