《网络安全防护体系建设经验分享.pptx》由会员分享,可在线阅读,更多相关《网络安全防护体系建设经验分享.pptx(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录1安全理念23防护体系技术团队第1页/共25页201安全理念第2页/共25页安全理念:一、二、三、四360安全理念 四个假设 三个阵地 一个中心两个原则第3页/共25页安全理念:一个中心办公网办公网数据中心数据中心VPN VPN 网络网络整体防护n10 多个Lan办公网络n80 多个数据中心nVPN 网络第4页/共25页安全理念:两个原则攻防平衡原则 现实社会中,攻防本质是成本的对抗防守就是在受保护的目标价值、安全投入、性价比 三者之间做 tradeoff攻防之间是动态的平衡,攻击在不断变化,决定防守需要持续升级,否则将失去平衡自主可控原则 真正的安全来自于可控的安全团队加上可控的安全工具
2、一手抓安全防护一手抓安全工具的自主开发第5页/共25页安全理念:三个阵地三大战役第一道防线:第一道防线:争夺边境线争夺边境线产品对外服务员工重要服务器重要业务系统重要数据监控审计大数据分析最后一道防线:最后一道防线:反潜伏反潜伏纵深防线:纵深防线:保卫大城市保卫大城市第6页/共25页安全理念:四个假设如何发现漏洞利用行为如何检测攻击行为系统一定有未发现的漏洞系统一定有已发现但仍未修补的漏洞员工并不可靠系统已经被渗透及时发现漏洞强制修补漏洞如何发现系统已经被渗透如何处理已经被渗透的漏洞如果重现攻击过程如何溯源如何发现员工的异常行为如何检测并阻断来自内部的攻击第7页/共25页安全理念:想攻击者所想
3、Thinking as the Attackers第8页/共25页901防护体系第9页/共25页防护体系整体构建 网络访问控制统一管理平台 天眼威胁感知系统 无线入侵检测与防护系统 Web安全扫描系统 Webshell白盒扫描系统 Andriod漏洞半自动化扫描系统 安全扫描系统 第三方安全漏洞监测系统 办公网安全审计系统 天擎 天机 双因子认证 密码破解机 堡垒机 数据安全审计系统 服务器日志分析平台 Webshell 监控平台第一道防线纵深防线最后一道防线第10页/共25页员工:安全是责任员工是第一道防线也是最脆弱的防线制度隔离 强制策略 必须安装360天擎 24小时必须重启一次 终端有漏
4、洞必须修复 密码最少15位 最小化访问权限 IDC与办公网隔离 办公网与办公网隔离 办公网内部主机间隔离 不妥协!小问题警告(事不到三)大问题辞退(零容忍)问责诛连到主管VP问责第11页/共25页密码破解设备GPUGPU密码破解机分布式彩虹表存储阵列密码碰撞密码碰撞彩虹表MD5碰撞 彩虹表规模超5.5万亿 两台GPU服务器24小时不停机碰撞 秒杀“弱口令”密码管理规定 口令长度最少15位 凡被破解的密码均视为弱口令第12页/共25页 服务器与业务系统监控全流量听包、存储大数据分析沙箱实时检测 补洞实时扫描线上系统漏洞抓取安全论坛最新发布漏洞连夜分析影响,迅速修复日志分析修改shell,发送系统
5、日志到日志服务器 利用大数据技术识别日志异常并报警堡垒主机统一登陆认证 集中运维审计异地容灾 三地机房在线同步 负载均衡,灾难调度离线备份作为后援第13页/共25页核心监控设备天眼:沙箱+大数据分析鹰眼:一网打尽Web漏洞监控100Gbps的实时带宽每天存储50TB的流量数据沙箱分析平均延时10秒每天存储的日志条数4000亿第14页/共25页核心将控设备:服务器日志异地存储与分析系统1501线上服务器日志存储与分析服务器服务器shell日志自动上传修改过的服务器shellShell日志远程存储Shell日志大数据异常分析第15页/共25页产品:源代码/二进制程序板子半自动检查情况一:开发人员主
6、动提交上线程序及代码情况二:开发人员私自将所开发的程序上线服务器上的监控程序会自动将新增、变化的文件送到代码检查服务器进行检查代码检查服务器C、C+、PHP Web漏洞扫描Webshell扫描Andriod漏洞扫描漏洞扫描后门扫描.第16页/共25页网络访问控制统一管理平台R2621R3680ER3680ENE08EE100IDC办公网R2631ER2631E360大厦R3680ENE40R3680E分支内部内部线路路VPNVPNVPN防火墙管理员网络访问控制统一管理平台配置ACL第17页/共25页Wifi终端设备:受控使用只有注册IMEI才能使用公司内部的Wifi上网只有使用域账号才能连接上
7、公司内部的Wifi可以通过鹰隼系统定位到Wifi终端的物理位置绵羊墙第18页/共25页Wifi接入设备(AP):入侵检测与防护鹰隼:无线AP入侵检测与防护实时掌握360办公区内的所有热点对非360提供的热点进行阻断终端关注针对AP的口令破解行为360公司内部禁止私建Wifi,包括360随身Wifi第19页/共25页BYOD远程办公:数据隔离与加密天机:沙箱系统隔离办公数据加密VPN通道加密物理定位、远程锁定、擦除数据第20页/共25页GSM?GSM第21页/共25页2201技术团队第22页/共25页安全魔方团队(信息安全部)主管:谭晓生副总裁团长:刘小雄网络安全团队Web安全团队云安全团队An
8、driod安全团队无线安全硬件团队IOS安全团队协议与逆向分析团队安全开发团队第23页/共25页感谢聆听Q&A北 京 市 朝 阳 区 酒 仙 桥 路 6 号 院 2 号 楼 1 0 0 0 1 5 B l d g 2,6 H a o y u a n,J i u X i a n Q i a o R d,J i a n G u o R o a d,C h a o Y a n g D i s t r i c t B e i j i n g 1 0 0 0 1 5,P.R.C.T e l:+8 6 1 0 5 8 7 8 1 0 0 0 F a x:+8 6 1 0 5 6 8 2 2 0 0 0第24页/共25页2501感谢您的观看!第25页/共25页