【廉环话】漫谈信息安全设计与治理之互联网接入设计

消息来源: 51CTO         消息类型: 行业新闻         发布日期:2016-08-11

背景

人物:廉哥,信息安全战士大专毕业后就雄心勃勃的从中部二线城市来到魔都一线城市打拼。凭着一点点“工匠精神”,携带者CISSP和信息安全师等证,在信息安全领域摸爬滚打数载。多年来遍历了各种IT项目从计划、执行到完结,也“浸淫”内外部资源与风险的管控等各个安全环节。平时工作中,他开朗活泼,甚至有些talktive,经常热心的把自己的一些经验分享给周围的小伙伴,并供大家探讨。这次他跳到51CTO的广阔的舞台上,尝试着和大家漫谈信息安全的设计与治理。

大家千万不要觉得这是一个挺高大上且技术门槛高的漫谈。记得鲁迅先生曾说过:把文章念给街坊老太能懂,即好文章。那么廉哥是以“好文章”的标准自居的,所以他会将枯燥的技术和幽默的语言杂糅在一起,遵从入门到深入的“学习曲线”,图文并茂,寓教于乐,陪伴看官们渐入佳境。所以说小伙伴们不必屏气凝神、正襟危坐的阅读,完全可以一种“葛优躺”的方式点开该系列漫谈。那么会不会谈着聊着就没有然后了?No!正所谓“教之道,贵以专”,他是有备而来,这里多的是“料”。大家大可放宽心,不会变成“太监贴”的,只要你愿意读,他都会以亲切的第一人称和您连(廉)环话下去的。

长久以来,国内很多中小型企业本着“先有业务,再有系统”的特性,专注业务的发展而忽略了网络信息系统的跟进。内部网络信息系统从“够用就好”慢慢沦为“能用就行”,软硬件一直停滞不前,很多本是1.0的产品撑到了如今的3.0的时代,从而没有太大的动力去改造升级的动力。现如今,我们发现一般企业信息化系统存在着如此普遍问题:

1. 互联网接入速度缓慢,网络脆弱;硬件设备超年限服役,经常出现单点故障,断网等类故障频发。

2. 用户电脑或服务器一旦中病毒或出现网络风暴,很容易蔓延,导致系统瘫痪,直接影响业务的连贯性和可用性。

3. 备份策略不及时且恢复质量无法保证。

4. IT技术传统且陈旧,无法实现远程甚至是移动办公。

另一方面,不少企业顺应“互联网+”的大潮,快速开启并上马了类似O2O的各种在线和移动服务,利用Apps或HTML5等受理各种业务。虽然企业一般能给网络信息系统方面投入有限,但面对这些来自内在和外在的倒逼,我们亟待在基于总体拥有成本(TCO)和投资回报率(ROI)的环境下,利用现有的IT预算,构建并维护一个安全、稳定、可控、实用的网络信息系统,使企业保持竞争优势,实现可持续发展。

举例来说,下面是我上次做项目的客户单位的现状。他们是一家拥有几个分支机构的中型企业,其对IT系统改进需求的民意调查结果如下,供大家“批判”一下:

1. 建立安全、稳定的网络架构,总部与分支机构以IPSec的VPN方式进行网络连接。

2. 安全网络部署,应用数据与系统保密性高,确保企业正常运行。

3. 办公区域内无线接入点覆盖范围广、配置灵活,方便移动办公。

4. 为出差的人员提供SSL的VPN方式。

5. 网络架构便于升级和灵活拓展,有利于投资保护。

爱思考爱总结的我一开始就抛出自己的总体设计与治理的思路和概念,我称之为一个基本具备P2DR2W模型(重新定义了业界的P2DR2安全模型的概念哦!)。所谓P2DR2W模型其函括了六大部分,即Protection(防护)、Policy(策略)、Detection(检测)、Recovery(恢复)Remote(远程)、和Wireless(无线)。其中,防护是安全的第一步,它包括安全设备的安装配置,安全技术的运用;策略是指安全规则的制定;检测包括运用丰富的安全技术对各种入侵手段和异常行为的发现;恢复则是在系统发生灾难时所能采取的信息与服务的还原;而远程是指无论一般用户还是运维人员都可远程使用和管理系统资源;最后是对无线—这个打破了传统网络边界的热门应用的管控。

既然是廉环话(画),没图怎行!何况大家常说有图有真相,那么我先给一个典型信息网络系统的架构拓扑图,以方便我们直观的看图说话。

【廉环话】漫谈信息安全设计与治理之互联网接入设计

如上图所示,这是一个三维度立体的系统架构。整个IT系统在功能上被分为外网和内网,外网分别与互联网和以VPN的方式与总部网络连接,而内网不允许访问互联网,但需要和外网里的服务器做数据交换。在服务上,分为对外提供网站的信息发布和用户登录服务,对内提供员工日常上网和通过应用程序与总部信息系统实现业务数据交换。在方式上,既实现固定工作位的有线接入,又满足各类用户的各类自带设备(BYOD)的无线连接与访问。

互联网接入设计

互联网接入是整个IT系统与外部连接的出入口,一旦出现问题,企业将失去与外部网络的联系甚至会影响到正常运营。本人采用的“三ISP”的设计方式,即向三大通信线路供应商(如:中国电信,中国联通和中国移动)租用上网线路,选择10M的带宽。通过设置,实现不同应用业务从各自的线路与外部连接并实现互相备份。具体说来:将需要与其他区域办公室(或总部)协作的应用业务都通过一个ISP线路进出;该线路开启VPN建立数据通信的专有通道,以实现业务数据的保密性。而另一条ISP线路供所内员工上网以及法律服务网站供公网访问。这两个ISP线路上的接入路由器上通过配置,实现任何一台设备出现故障时自动热切换,不对正常的服务提供和用户上网造成影响。

第三条ISP线路则是为员工和来访客人的各种自带无线设备上网所使用,与本所的日常业务无关,从而避免的外来设备及其异常上网行为给企业内网安全造成威胁。

记得我早年备考CISSP的时候就常看到这么一句:“one mile wide, but just one inch deep”,我想这个基调也可以运用到我们这个主题上的。读完这一期开篇,大家可能注意到了,我在这里和大家聊到并不是什么很高精尖的安全技术或理念,只是将我们身边企业里典型且普遍采用的设计、运维以及治理的经验总结出来分享给大家,在某种意义上,可以说是“全都是套路”。如今我们都养成了夜深人静之时追美剧or追韩剧的习惯。最近貌似追剧的空档期,大家就不要去围观什么“辣眼睛”的神剧了,来抽空追一下咱这个系列专题吧。相信爱看廉环话的同学运气都不会差。我也更期待乃们的神回复哦!

第二届XCTF国际联赛总决赛圆满谢幕

消息来源: 51CTO         消息类型: 行业新闻         发布日期:2016-07-17

2016年7月17日下午四点,第二届XCTF国际联赛总决赛正式落下帷幕。经过两天的激战,来自韩国CyKor战队拿下本届大赛的冠军,并赢取20000美元奖金。来自俄罗斯的LC↯BC战队取得大赛的亚军,上海交通大学的0ops团队获得季军。此外,217、Forx、FlappyPig、六星战队(******)以及Nu1l,五支队伍获得优胜奖。

第二届XCTF国际联赛总决赛最终成绩

第二届XCTF国际联赛总决赛最终成绩

攻击图

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

CyKor战队获得冠军

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

LC↯BC战队获亚军

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

0ops战队获季军

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

217战队获奖

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

Forx战队获奖

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

FlappyPig战队获奖

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

六星战队(******)战队获奖

第二届XCTF国际联赛总决赛谢幕 韩国CyKor战队夺冠

Nu1l战队获奖

XCTF国际联赛简介

国内外战队齐聚上海 0CTF暨XCTF联赛上海站决赛即将开战

2016年第二届XCTF国际联赛由网络空间安全人才发展基金主办,国家创新与发展战略研究会联合主办,南京赛宁信息技术有限公司总体承办。由福州站、西安站、北京站、上海站四站国际赛,郑州、成都、武汉等数站国内赛,以及南京总决赛和北京全明星赛等系列赛事组成,赛季从2015年11月份延续到 2016年8月份。

8支获奖安全战队简介

DEFCONCTF全球总决赛新科冠军-韩国CyKor

你没有听说过这支战队?那你一定不是“韩国神童”Lokihardt的忠实粉丝!虽然PPP战队在2015年以“全球第一CTF战队”收官,可在最关键的DEFCONCTF大赛上,却有一支黑马战队突然杀出,击败PPP夺冠,这就是有“韩国神童”Lokihardt坐镇的DEFKOR战队!而CyKor战队是DEFKOR队伍的一个分队,由KoreaUniversity网络安全俱乐部成员组成,曾获得TrendMicroCTF冠军。

俄罗斯超级联队-LC?BC

LC?BC——一支来自俄罗斯的超级联队,最近两年迅速崛起,2015年打进DEFCONCTF总决赛并获得了第十名的成绩,当年的最佳成绩是 HITCONCTF获得季军。LC?BC今年的表现抢眼,BostonKeyPartyCTF2016获得第四名,CodegateCTF2016初赛排 名第三,本届XCTF联赛上海站0CTF资格赛位居榜首,并在决赛中力克美国PPP等强队夺冠,目前其 CTFTIME全球排名迅速上升到第七位。

闪耀世界的豪门—0ops战队

0ops团队组建于2013年,大部分成员来自上海交通大学,近年来频繁参与国内外信息安全领域竞赛,成绩十分出色,是首届XCTF联赛总决赛亚军获得者,2015年度权威CTFtime世界战队积分榜排名全球第三位。

首届XCTF联赛总决赛卫冕冠军-台湾大学217

来自台湾大学队伍,2014年DEFCONCTF总决赛亚军HITCON主力,目前CTFTIME全球排名第四位,首届XCTF联赛总决赛卫冕冠军,在强手如林的国际队伍和奋起直追的大陆队伍环绕之下,能否再度捧杯将是XCTF国际联赛总决赛的一大看点。

中国台湾科技大学新秀战队-forx

来自台湾科技大学队伍,由HITCON队长Orange率领,获得本届XCTF国际联赛西安站SSCTF冠军,以及上海站0CTF决赛第七名等成绩。

“笨猪先飞”—多高校联合的FlappyPig战队

队名的由来:“出于猪和飞这一矛盾的现象,象征着勤能补拙之意,我们不聪明,但是我们坚信坚持下去终能获取成功的果实,以笨猪先飞的姿态诠释FlappyPig的含义。”

最早源于参与XCTF联赛前身BCTF2014的“无名战队”,勤勤恳恳地几乎参加了XCTF联赛所有分站的比赛,首届XCTF联赛积分排名第7位,今年排名已上升至第二位,仅次于217,以RCTF福州站国际赛冠军夺得第二届XCTF联赛总决赛首张入场券。

随着XCTF联赛共同成长的复旦大学六星战队

来自复旦大学的六星战队是一支比较年轻的队伍,在过去3年的比赛中迅速成长。2015年曾获得首届XCTF联赛浙大站ACTF冠军,在本届XCTF联赛福州站RCTF、上海站0CTF也都取得了不错的成绩,以上海站0CTF在XCTF联赛注册队伍排名第三获得总决赛入场券(排名第一217和第二名forx已入围)。目前战队的XCTFTIME2015~2016年度排名第四位。

XCTF联赛最年轻的实力战队-Nu1L

战队组建源于两只web狗的某夜深讨,队名源于“NULL”,战队的小伙伴们来自于全国各地,都热爱CTF,热爱信息安全。从各大CTF比赛一步一步走来,大家一起努力,一起欢笑,经历了很多,也收获了很多,相互学习、交流经验,不断地成长。NU1L战队在 XCTF联赛成都站国内赛SCTF中夺冠,获得总决赛入场券,目前该战队在XCTFTIME2015~2016年度排名中位居第三位。

服务热线
025-8660 3700

微信公众号