草丁图书馆

  1. 首页 > 生活杂烩 > >

企业网络安全方案 企业网络安全之大规模纵深防御体系设计与实现( 三 )


3)自主开发的Hids是奢侈品。如果你的公司市值没有超过100亿美元,建议使用现成的开源产品,比如OSSEC或者OSquery。
4)也是奢侈品。衡量标准是,如果你不能很好的利用WAF,那就不要做。当然,在规模相对较小、对并发性能没有严格要求的商业环境下花钱购买商业产品也是一种思路。
5)SQL审计也有点奢侈。如果你对解决CGI层的SQL注入问题有更大的信心,也可以忽略这个产品。
(2)不同的业务类型
如果大部分流量属于不同类型,则应强调WAF和扫描仪,可以省略NIDS/NIPS,如果条件允许,应优先考虑用户模式检测,如和。
如果非HTTP协议如SSH、MySQL等通用协议居多,网络部分可以考虑NIDS,数据库部分可以使用SQL审计。如果私有协议在消息接口、远程过程调用、数据缓存和持久性中占大多数,则不应该考虑NIDS和SQL审计,而应该转向HIDS。私有协议对用户来说是一个门槛,渗透的概率不高,所以要多关注操作系统本身。对于大量的非Web服务,比如很多存储节点,我们只需要关注操作系统,多投资HIDS,重点放在后门和Rootkit检测。
(3)安全底线
无论如何追求性价比,总有一个安全底线。在生产网络的安全管理中,这条底线是:
1)用户可以随意操作数据库/用户数据(不需要数据库权限,也不需要系统的root权限)。
2)达到了这个水平(明白了,不管是普通用户还是root)。
【企业网络安全方案 企业网络安全之大规模纵深防御体系设计与实现】作为防守方,我们必须对以上两种情况有一定的控制力,至少在这两个环节有一定的感知能力,才不会出现这么严重的事件或者毫无预警。无论如何削减整体计划,如果安全团队的能力不是特别惨淡,就要尽可能在数据库(或者DAL,数据访问层)和主机上进行强化。

推荐阅读


上一篇:富贵在天 千古名句“生死有命富贵在天”下一句才是精华,却十人九人不知

下一篇:painted 【有声绘本】《The Artist Who Painted A Blue Horse》有位画家画了一匹蓝色的马