中小企业网络安全建设指引

中小企业网络安全建设指引。
【理论篇】
如培训现场所言，企业的网络安全是一个体系，方方面面都做的话是一个大工程，即使只是网络安全一个分支也需要较长时间建设，所以在早期需要解决当前主要矛盾（即“止血”，在关键位置先控制住大部分风险）。基于我们几个人过往的从业经验，我们建议各位在以下几个关键位置做好控制，则可以达到事半功倍立竿见影的效果：
1）端口管控。所有服务器非业务端口全部对互联网关闭，管理端口只能通过内部堡垒机访问，必须要对互联网开启的端口要严格做好IP（或者帐号）白名单访问控制（对于Web层，更安全的做法是再增加一层短信或者微信之类的二次认证，参考OTP或者U2F）。做好之后，可以避免来自互联网的初级黑客和蠕虫病毒的攻击，比如不会受类似近期比较猖獗的MangoDB、ElasticSearch勒索事件影响；中小企业网络安全建设指引

【理论篇】

如培训现场所言，企业的网络安全是一个体系，方方面面都做的话是一个大工程，即使只是网络安全一个分支也需要较长时间建设，所以在早期需要解决当前主要矛盾(即“止血”，在关键位置先控制住大部分风险)。基于我们几个人过往的从业经验，我们建议各位在以下几个关键位置做好控制，则可以达到事半功倍立竿见影的效果：

1)端口管控。所有服务器非业务端口全部对互联网关闭，管理端口只能通过内部堡垒机访问，必须要对互联网开启的端口要严格做好IP(或者帐号)白名单访问控制(对于Web层，更安全的做法是再增加一层短信或者微信之类的二次认证，参考OTP或者U2F)。做好之后，可以避免来自互联网的初级黑客和蠕虫病毒的攻击，比如不会受类似近期比较猖獗的MangoDB、ElasticSearch勒索事件影响;

2)按区隔离。普通区与高危区网络隔离或者二者之间用DMZ做缓冲，比如安全形势复杂的办公环境与生产环境隔离，生产环境内部核心机器与普通机器隔开。如果黑客入侵了某个普通区，我们还有机会避免重要资产的损失;

3)统一架构。参考微软提出的SDL(Security Development Lifecycle，安全开发生命周期)，使用统一的研发和运维框架(这部分还要研发管理和运维的配合)，并在框架的关键路径加入安全检查，如果出现漏洞只需要更改框架即可，避免到处漏水，可一劳永逸;

4)严防出口。布控业务发布流程，将安全审核嵌入到上线前的发布流程并作为关键环节并具备高危漏洞一票否决权;

5)安全接口。从业务团队找出一位同志担任安全接口人，由他来负责业务团队与安全团队的对接，协助推动安全工作;

6)上层支持。这个是决定性的因素，不多说。

只要不折不扣地做到以上几点，基本上可以解决百分之九十以上的已知问题，等于是通过加固把攻击者的攻击点控制在了已知范围，详细思路参考这篇文章。但是，要时刻记住，以上措施只是缓解了外部的直接攻击(很多风险在内网仍然存在)，并不能高枕无忧，毕竟黑客如果能够找到突破点进入到内网仍然可以长驱直入。

大的面上控制住后就是对某个点的精细化运营，也就是建立纵深防御体系。这里需要投入大量资源，投入的资源视企业自身对信息安全的需求程度而定。近期谷歌发布的谷歌基础设施安全设计概述(Google Infrastructure Security Design Overview)就全面阐述了谷歌的基础设计的安全设计思路以及实践，从硬件到应用层都做了防护，纵深防御层层相扣，几乎做到了企业安全的极致，也是我辈学习的典范(我们会在另外的文章深入分析学习谷歌基础安全)。

【工具篇】

“工欲善其事必先利其器”，有工具的辅助会节约人力和提升效率。好在互联网是开放的，很多优秀的安全工具是免费甚至开源的，这里主要是整理一些常用的免费安全工具/在线服务，希望能够帮助到大家。有些工具有一些年头了——old，but not obsolete。

[ 扫描探测 ]

Nmap(https://nmap.org/)，不仅仅是端口扫描器，支持各种网络设备的探测，尤其对当今物联网环境特别有用;同时结合各种脚本，能够实现漏洞扫描，在安全漏洞应急中可用于评估漏洞影响范围，方便高效。

Masscan (https://github.com/robertdavidgraham/masscan)，类似Nmap，但功能更聚焦于端口扫描，虽然没有Nmap功能强大，但速度快，号称“互联网最快的IP端口扫描器”。

[ 暴力破解 ]

Hydra (https://www.thc.org/thc-hydra/)，网络帐号破解工具，支持非常多的协议，是企业比较好的可以用于弱口令测试的工具(当然我认为你的这些端口都不应该开在互联网，但是总有例外)。

John the Ripper(http://www.openwall.com/john/)，开源免费的跨平台暴力破解工具，支持许多加密算法，比如MD5、DES等等，常被用于Unix/Linux系统登录弱口令探测。

[ Web漏洞检测 ]

AWVS Acunetix Web Vulnerability Scanner(http://www.acunetix.com/vulnerability-scanner/)，著名的商业化Web漏洞扫描器，集成了各种漏洞扫描与利用的工具，支持许多Web漏洞类型以及一些主流Web产品历史漏洞的扫描，是一款综合性较强的扫描器，可作为首选。腾讯自研的Web漏洞扫描器也拿它作为对标竞品之一。

APPScan(http://www-03.ibm.com/software/products/en/appscan-standard)，IBM出品的Web漏洞扫描器，与AWVS齐名，也是腾讯自研Web漏洞扫描器的对标竞品。

BugScan(https://old.bugscan.net)，四叶草安全出品的基于Python的Web漏洞扫描器。亮点是基于社区的扫描器，大家都可以编写插件，所以插件全面并且更新快。

sqlmap(http://sqlmap.org/)，基于Python开源的SQL注入工具，功能非常强大，常被用于SQL注入的漏洞渗透测试，也有很多厂商基于它做二次开发，增加了GUI界面、主被动式批量扫描等功能。同时它也支持自定义脚本，常被用于绕过WAF防护进行注入，可扩展性较强。

Burp Suite(https://portswigger.net/burp/)，著名的Web安全测试工具，可代理HTTP/HTTPS抓包，方便分析与重放请求包，再结合一些安全插件可以非常方便地挖掘Web漏洞。

JSky，好用的Web应用安全检测工具，国内黑客zwell出品。

Safe3 Web Vul Scanner，国内另一黑客safe3的Web漏洞检测工具。

WPScan(https://wpscan.org/)，专门针对WordPress程序的漏洞检测工具。WordPress是一个PHP开发的Blog系统，却有专门漏洞检测工具.......由此可见，没有特殊理由不要使用第三方开源Web程序(不知道当年的风靡一时的ASP论坛动网还在不在)。

RIPS(http://rips-scanner.sourceforge.net/)，一款开源的PHP代码审计工具，能够从代码级检测常见的Web漏洞，但需要人工去排查确认结果，存在一定误报，比较适合具备Web安全研究经验的PHP开发者。

[Web防火墙 ]

ModSecurity(http://www.modsecurity.org/)，开源的主机Web应用防火墙，支持Apache、Nginx、IIS等Web服务器

，研究和体验WAF的首选参考。

创宇盾(https://www.yunaq.com/cyd/)，知道创宇出品的在线Web防护服务，是将DNS指向云服务商清洗的原理，免费版给小型用户作为常规攻击防护还是足够的。

阿里云盾(https://cn.aliyun.com/product/waf)，阿里云提供的Web应用防火墙，属于收费服务。

腾讯云WAF(https://www.qcloud.com/document/product/296/2227)，由腾讯云提供的Web应用防火墙，支持Web漏洞防护以及虚拟补丁，可通过购买腾讯云主机直接使用。

[ 客户端安全检测]

腾讯金刚(http://service.security.tencent.com/kingkong)，由腾讯安全平台部出品的免费终端安全审计服务，脱胎于内部使用的金刚系统，属于国内最早公开的Android APP漏洞检测系统。

阿里聚安全(http://jaq.alibaba.com/)，由阿里聚安全开发的移动APP在线审计系统，支持Android/iOS，属于收费项目。

360显危镜(http://appscan.360.cn)，360信息安全部开发的Android APP安全风险在线扫描系统，免费服务。

AFL-Fuzz(http://lcamtuf.coredump.cx/afl/)，由Google开发的开源的著名Fuzzer，对于开源项目的Fuzzing效果尤其好，目前已发现数百个主流软件的漏洞，能够自动寻找执行路径并反馈驱动Fuzzing，算是漏洞挖掘界中的一颗明星。

(目前移动客户端自动化检测工具主要用于上线前自动化安全审计，检测结果不一定准确，需要人工复查)

[ APP加固 ]

腾讯云乐固(http://legu.qcloud.com)，腾讯云出品的在线APP加固服务，通过对APP进行加密混淆，可有效地防止APP被逆向分析，防止盗版。同时提供实时的渠道监控和安全SDK包。

腾讯御安全(http://yaq.qq.com/)，腾讯手机管家团队出品，主要解决应用安全加密、安全存储、安全加签、反调试、反篡改等难题。

阿里聚安全(http://jaq.alibaba.com)，除提供APP漏洞检测外，它还提供有应用加固和持续监控的功能。

360加固保(http://jiagu.360.cn)，360开发的Android应用加固服务，同时包括盗版检测、崩溃日志分析、数据分析等服务。

(目前从技术上来说，应用加固只能提高应用破解难度，无法保证百分百的安全)