企业安全建设指南 金融行业安全架构与技术实践详解金融信息安全最后一公里解决方案

hwyzw

    编者注：

    《金融行业安全架构与技术实践企业安全建设指南》——聂军、李岩、何阳军主编。它是资深安全专家十几年实践经验的成果，是安全领域众多专家共同推荐的。

    本书系统介绍了金融行业企业信息安全的架构和技术实践。总结了作者多年在金融行业信息安全方面的实践经验，致力于解决金融企业信息安全的“最后一公里”问题。内容丰富，实用性强。 。

    第二部分：安全技术实战

    第十一章 安全预算、总结和报告 互联网应用安全

    Web 2.0时代，企业将越来越多的应用暴露到互联网上，带来的风险也不容忽视。传统企业会使用防火墙进行隔离，将应用部署在隔离区（DMZ）中。图11-1是一个简单的示意图。

    图11-1 传统企业互联网应用示意图

    防火墙在这里有两个作用：一是隔离内网、DMZ区和互联网，二是把DMZ的私网地址映射到互联网上，供外部访问。当然，实际企业不一定是映射防火墙，也可能是负载均衡设备。当应用程序需要访问互联网时，需要注意哪些事项？本章将从外到内一一讲解。

    11.1 端口控制

    首先要做的是端口控制，即在防火墙上严格限制对外开放的端口。原则上DMZ服务器只允许对外开放80和443端口，DMZ服务器不允许外界主动访问。访问外部服务需要一对一的访问。

    关于端口管理和控制的常见误解如下：

    ·一些企业管理员为了方便维护，直接将防火墙上的SSH和RDP端口对外开放。这是非常不明智的。只要知道密码，即使不知道密码，黑客也可以通过这些端口访问交换机/服务器。 ，您还可以通过暴力猜测密码来获取登录凭据。有经验的管理员都知道，只要对外开放SSH，系统日志中就会出现大量登录失败的日志。

    ·还有一些FTP、MSSQL、MySQL、Redis、Rynsc等相关应用的端口，不应向互联网开放，否则各种自动化攻击工具或蠕虫会通过这些端口快速获取相应权限。甚至直接加密您的数据以获取赎金。有兴趣的读者可以网上搜索“FTP本地提权”、“Redis越权访问”、“勒索”、“勒索”等。

    一般大型企业都会有很多互联网出口或者业务系统。在日常的防火墙维护过程中，难免会出现疏漏的情况。因此，需要有相应的机制来保证高风险口岸不对外开放。如果它们是开放的，必须及时发现，这就需要进行端口扫描。 。说到端口扫描工具，就不得不提Nmap。此外，Zmap也很受欢迎。这里简单介绍一下Nmap和Zmap。

    Nmap很强大，仔细看它的帮助就可以理解，如图11-2所示。 Nmap支持列表修改、各种主机发现、端口扫描技术、操作系统检测、扫描时间控制、各种格式输出等，甚至支持外部脚本来检测有针对性的漏洞。常用的端口扫描技术有：半开放扫描（）、全连接扫描（）、ACK扫描、FIN扫描等。另外，Nmap扫描输出的xml格式结果文件很容易用脚本解析，而且与其他系统连接非常方便。

    图 11-2 Namp 的使用

    Nmap虽然功能强大，但是扫描一个大网段上的所有端口时会非常慢，这就是需要它的原因。被称为“最快的互联网端口扫描器”，它可以最快6分钟扫描互联网，每秒可以发送一百万个数据包。适合快速扫描大量地址。提供更丰富的选择。例如，用户可以指定扫描的端口、路由器地址、数据包发送速率、最大速率等。同时，它还支持多种文件格式保存扫描结果。

    对于大型企业，建议采用联合的方式，比如先进行快速扫描，然后用Nmap进行针对性扫描，以获取更多信息，包括操作系统版本、端口对应信息等。风险端口，可以将日志实时输出到SOC，以便一线人员实时跟进处理。实际工作中，扫描还需要注意避开业务高峰，调整发包速率参数等，避免造成不必要的麻烦。

    11.2 Web应用程序安全

    港口控制是基础。做好端口控制之后，还需要关注Web安全。 OWASP组织（开放Web应用安全项目）每年都会出一份Top 10风险排行榜，包括各种注入（SQL、NoSQL、OS、LDAP等注入）、XSS攻击、CSRF等。在Web安全领域，吴汉清的《白帽谈Web安全》值得推荐，包括客户端脚本安全和服务器端应用安全。作为企业安全从业者，除了了解黑客如何攻击之外，我们还需要关注我们如何防御以及防御什么维度。

    Web应用防火墙

    对于常规的网页扫描行为，网页应用防火墙（ll、WAF）基本上可以直接拦截或拦截。 Web应用防火墙是通过对HTTP/HTTPS执行一系列安全策略来专门保护Web应用的产品。与传统防火墙不同，WAF工作于应用层，对于Web应用防护具有先天的技术优势。基于

    凭借对Web应用业务和逻辑的深刻理解，WAF对Web应用客户端的各种请求内容进行检测和验证，确保其安全性和合法性，实时拦截非法请求，从而对各个网站进行检查。有效保护。

    WAF产品有基于硬件的、基于软件的、基于云的：

   

    ·硬件WAF一般支持透明桥接模式、旁路模式、反向代理模式等部署方式，并且具有良好的性能和支持，因此是我们的首选。当然，有些防火墙IPS模块也具有一定的WAF功能，例如；有些负载均衡设备本身也支持SSL卸载和应用程序保护，例如F5。在实际部署过程中，需要考虑部署哪一层，或者根据各个产品的特点综合部署。

    ·在一些不重要的领域或者基于成本的考虑，也可以使用软件WAF，比较有名的就是这些。

    规则包括基本规则集、SLR规则集、可选规则集和实验规则集。基础规则集主要包括HTTP协议规范相关的一些规则、一些SQL注入、XSS、目录遍历等； SLR规则集是针对特定应用程序（例如PHPBB等）的漏洞利用规则。考虑到性能不足，也可以使用基于nginx的解决方案，例如Naxsi，或者其他开源解决方案，如上所述。客观来说，使用开源WAF对安全人员的要求更高，也更灵活。

    ·一些公司正在考虑将业务迁移到云端，因此基于云的WAF应运而生，它本质上是结合了一些日志分析和机器学习技术的软件WAF。

    一般来说，在前端有硬件WAF的情况下，可以考虑在服务器上启用软件WAF，并根据业务场景重点保护特定请求进行补充。

    入侵检测/预防系统

    虽然市面上有一些WAF利用机器学习功能来学习各种请求的参数并判断其是否合法，但WAF更多的是基于规则的，有规则的话就有绕过的可能。对于这些可能绕过WAF的请求，我们还需要使用入侵检测系统/入侵防御系统（IDS/IPS）产品来分析WAF后端流量，发现恶意行为。开源的IDS是Snort，网上有很多资料，就不赘述了。商业IDS产品相对更安全。如果有新的漏洞，您可以获得新的规则库。报警发生后，您可以将数据包保留一段时间以供进一步分析。

    漏洞扫描和渗透测试

    对于暴露在互联网上的应用程序，我们还需要进行定期扫描、内外部渗透测试等。常见的漏洞扫描工具包括AWS、IBM、HP、Nikto等商业或开源扫描器。对于某些漏洞逻辑，您还可以使用漏洞扫描器等工具来辅助。笔者建议有条件的企业对一些企业应用中经常出现的漏洞进行针对性扫描。在适当的时候，他们可以基于开源代码定制自己的扫描仪。这样做的好处是方便内部IPS和WAF识别或者白化处理。

    渗透测试通常包括内部测试和外部测试。内部安全人员对业务的了解更加深入，更容易发现问题。考虑到内部人力、技能、经验等原因，企业一般会购买外部渗透服务。有的来自国家测评中心等国家单位，有的来自绿盟科技、安恒、长汀科技等企业。笔者的建议是找多家公司，最好实行按漏洞付费。每个公司的渗透人员都有不同的经验和想法。寻找更多的公司往往可以提供更全面的覆盖范围。

    第 19 章更详细地描述了漏洞扫描和渗透测试。

    11.3 系统安全

    我们将在本节中讨论未拦截的请求到达 DMZ 服务器时对应用程序或系统产生的影响。且不说常规的系统加固、加固、目录权限设置等，恶意请求的目的可能是：利用上传功能直接上传远程的、利用文件包含功能直接引用远程的、利用文件解析漏洞上传恶意图片或视频，触发特定漏洞执行命令，或者已获取执行命令的直接请求。如何有效地发现是一个很大的话题，这里就不详细讨论了。一般来说，有以下几种思路：

    · 扫描文件内容，看看是否有一些高危功能、黑客版权信息等。一个改进是结合机器学习，收集和提取网络上的各种样本。

    ·根据文件变化和属性来判断。 ·根据网络流量特征进行判断。

    ·根据脚本底层的执行动作来判断。

    有没有更好的方法来检测系统的异常情况？例如，有些黑客喜欢获取并立即执行

    像这样的指令，我们是否可以利用基于主机的入侵检测系统（HIDS）中的检测模型来发现其中的异常情况呢？操作系统本身具有一些审计日志功能。对于一些特定的攻防场景，需要有针对性的研究和定制规则来检测异常。

    OSSEC

    在开源的HIDS产品中，OSSEC是比较有名的。 OSSEC是一个开源的基于主机的入侵检测系统，包括日志分析、文件/注册表完整性检测、安全策略监控、检测、实时报警、动态响应等功能。它最大的优点是支持多种操作系统，包括Linux、MacOS、HP-UX、AIX和. OSSEC默认自带了一些规则，包括SSH破解、登录失败、账户添加和修改等，安装时简单测试一下就可以看到效果，但要真正投入生产，还需要编写一些有针对性的插件——满足特定场景的需求。进攻和防守策略要求。另外，OSSEC的一些功能实现还不是很完善。例如，被检测的代码实际上是直接使用命令的结果进行比较，如图11-3所示。

    图11-被检测代码直接与命令结果进行比较

    在负载高的机器上，执行速度会很慢，并且会因为时间原因产生误报。

    对于系统，建议使用。它是 . 生产的系列工具中的一个。它作为系统服务和设备驱动程序安装在系统上并保持驻留。用于监视和记录系统活动并记录到事件日志中，可以提供有关进程创建、网络连接和文件创建时间变化的详细信息。由微软出品，兼容性有保证，功能强大。它是对审计日志的一个很好的补充。在部署大量机器的情况下，结合+收集日志并汇总成SOC并定制CASE也是一个不错的解决方案。

    11.4 网络安全

    假设一台服务器因漏洞而被攻破，黑客通常会在该机器上进行各种搜索，甚至进一步探索其他网络。

    通常，提供反弹shell功能是为了方便，即主动连接到特定端口。如果我们的防火墙没有很好地控制外部连接，很容易出现问题。针对这一隐患，我们建议记录网络上的活跃出站连接，并与学习基线或自行维护的黑白名单进行比较，以发现问题。我们称之为“异常流量检测系统”。在DMZ环境下，只需要关注外部活跃连接的情况即可，比较简单。

    当 DMZ 在内网上处于活动状态时，流量可能不会被镜像。这时候我们就需要利用蜜罐来检测异常情况。在每个DMZ网段部署一到两个蜜罐，可以有效检测针对内部网络的扫描和检测行为。说到蜜罐，大家都知道它是一个非常优秀的开源蜜罐框架，支持模拟多个IP主机和任意网络拓扑。它还支持服务模拟脚本来模拟后端应用程序，例如IIS、POP3等，在实际环境中，我们需要注意它可能带来的操作风险。比如它的arpd组件就采用了类似ARP欺骗的方法，将流量分流到密灌。在错误的工作模式下，如果同一个网段中的任何存活主机短暂断开连接，网关上的MAC地址表可能会被蜜罐程序的ARP数据包刷新，导致原来的IP无法正常访问。事实上，蜜罐不必非常专业。在一些特定区域如DMZ，一些基于端口访问的简单初级蜜罐也能发挥很大的作用。

    11.5 数据安全

   

    一个合法的Web请求最终可能会涉及到后端的各种业务逻辑，处理数据库，在页面上显示相关内容等，这里需要注意两个问题。一是对数据库的请求是否真的合法；二是页面返回的输出是否包含敏感信息。我们将在本节中讨论它们。

    SQL注入语法可能会发生各种变形，并可以通过服务器端和WAF特性来绕过，但到了数据库，一切就很清楚了，数据库审计产品可以轻松检测到一些注入行为。数据库审计产品有两种类型，一种是基于代理或插件模式的；另一种是基于代理或插件模式的。另一个是基于网络流量。基于代理的简单理解，应用程序首先连接代理，然后代理连接后端真实数据库，这样所有的SQL请求都会被代理记录下来；而有些数据库有一些审计插件，比如开源插件，你只需要将相应的so文件复制到目录中，并在配置文件中启用即可。然而，这两种解决方案都会对应用程序造成干扰。为了安全起见，建议使用基于网络流量的数据库审计产品，将应用到DB的流量镜像到设备上，然后由设备恢复SQL语句。商业数据库审计产品包括安恒等。

    正常的页面输出还可能涉及银行卡号、身份证、手机号等客户信息。一般应用需要进行一些脱敏处理。在某些特殊情况下，可能处理得不够好。在这种情况下，就需要一定的监控机制来发现此类问题。传统的DLP解决方案在这里需要进行一定的调整。重点不再是分析HTTP，而是分析服务器信息。不仅可以在信息中找到一些客户资料信息，还可以发现一些异常的东西，比如目录遍历、具体问题等。当然，有些功能也可以在WAF中实现，WAF也有一些检测为它制定规则。

    11.6 业务安全

    还有一个场景需要提到，就是互联网应用中与业务逻辑相关的安全问题，统称为“业务安全”。例如，一个简单的登录页面可能涉及人机识别、验证码、密码找回功能等，攻击者可能会使用暴力破解、撞库等方式尝试请求；再比如一个简单的查看个人信息的页面，涉及或者验证，攻击者可以通过修改URL中的ID或者修改本地来查看别人的信息。还存在与接口相关的安全问题。例如，在某分类信息网站的简历泄露事件中，攻击者组合了三个不同的接口来获取相应的信息。

    这里的对策更多是从风险控制的角度出发，收集日志和业务日志进行分析，结合外部情报（黑白名单数据库）、机器学习等。这是一个非常细分的领域，我们将在本章中讨论15 详细介绍。

    11.7 互联网DMZ区域安全控制标准

    关于DMZ区域互联网应用安全防护体系，我们对上述各种管控技术方案进行了抽象，并结合实际实施和运行情况，形成了互联网DMZ区域安全管控标准，供大家参考，参见表 11-1。

    表11-1  DMZ区域安全控制标准

    当然，除了表11-1提到的技术点外，还涉及在线进程控制、防范分布式拒绝服务攻击（DDoS）等。常规的在线进程管控包括主机等各个方面。上线前扫描、应用上线前扫描、日志收集、安全防护软件部署、堡垒主机管理。建议将其与ITIL流程集成。 DDoS对抗也是一个非常专业的细分，我们会在后面18.1节介绍。最后，VPN和电子邮件等系统可以部署在 DMZ区域中。考虑到这些大多是企业内部员工使用的，我们将在第13章详细阐述。

    11.8 总结

    本章从外到内对互联网应用安全防护进行了基本讲解，包括端口、Web应用、系统、网络、服务、数据等，部分内容将在后续章节中进行更详细的阐述。需要注意的是，金融行业作为强监管行业，在做安全工作时（合规、风险控制与转移、管理与运营实施等）更多地考虑效果，因此选择安全解决方案更为重要。注重成熟稳定的商业产品，并根据企业的实际需求，采用开源解决方案作为适当的补充和辅助。这与出于成本、规模等原因更倾向于开源或自研的互联网公司有很大不同。

    上一篇文章：

    总监服务|会员服务

    请联系：（微信同号）

    商务合作 |转载|媒体交流|文章提交

    请联系：（微信同号）