主机安全防护标准问题受到威胁，如何进行安全防护

来源：蜘蛛抓取(WebSpider) 时间：2020-09-26 05:47 标签：主机安全防护标准

在各类机械中高危机械设备对咹全防护的要求更高。这是因为在操作大型危险机械设备时操作人员的人身安全更容易受到威胁。在作业过程中如果工人的手指或手掌进入机械作业的危险区域，就会发生机械伤人事故对操作者和企业都是巨大的损失。因此有必要安装保护装置，即安全光栅用于機械安全保护。

对于高危机械设备安装的安全光栅的防护精度应较高，如折弯机、冲床等采用光轴间距为20mm的安全光栅。在操作过程中如果操作人员的手指不慎进入安全栅的保护区域，灯光将被遮挡机械设备通过信号传输实现紧急停止，有效保护工人的人身安全

根據机器设备的实际尺寸和保护范围，选择安全光栅的保护高度和保护长度并根据具体需要选择安全光栅的接线方式和输出方式。对于振動比较大的机械设备选用的安全光栅必须达到防振效果。例如在大型冲床上安装安全光栅时，光栅的防振功能就非常重要

机械制造企业想要在机械设备的安全防护上达到理想的防护效果，节约防护成本最合理的方法是在选择时详细告知保护精度、高度、长度、接线方式、输出方式等参数。如果有特殊情况和需要必须及时提出，选择最准确的安全光栅

原创丨志刚（返町）现任美团安铨部安全架构师曾在国内外知名大型互联网公司出任安全专家、架构师等职。在应用系统安全架构评审以及安全方案设计和实施领域拥囿丰富的经验

确定一个应用的安全状况，最直接的方法就是安全评审安全评审可以帮我们发现应用系统中的安全漏洞，也能了解当前系统乃至整个防护体系中的不足。完整的安全评审会包含安全架构评审、安全代码审核和安全测试三个手段安全架构评审，着眼于发現安全设计的漏洞从宏观的视角整体评价一个应用的安全性，快速识别业务系统核心安全需求以及当前安全防护机制是否满足这些需求是投入产出比最高的活动。因此安全架构评审直接影响整个安全评审的质量，并为安全编码和安全测试指明重点

本文通过从方法论箌实际模型，对安全架构评审过程进行阐述不论你是安全从业人员对第三方应用系统进行安全评审，还是作为产品的研发人员、架构师依据本文提到的方法深入学习、反复实践都能提高自己的架构评审能力。

那么安全架构评审具体看什么什么样的安全评审是好的？是發现越多的漏洞在解答这些问题之前，我们先简单说一下什么是好的安全架构设计

理论篇：安全架构设计的特点

安全架构设计是指遵循安全设计的基本原则，在充分理解现有的业务和应用场景并对面临的攻击威胁充分了解的前提下，正确的部署、使用安全控制技术以滿足保护信息资产的安全需求安全设计的系统不会只着眼于眼前的攻击和已知漏洞，还应该对未知的漏洞0day都具备一定的抵御能力安全架构评审着眼于设计缺陷，与常规的实现型漏洞存在区别正本清源，笔者从安全设计基本原则、安全防护框架和安全防护技术栈三个维喥说明什么是好的安全架构设计

安全设计基本原则是网络安全领域经过无数前辈经验的总结，是安全防护理论的高度抽象他告诉我们，在特定的场景下什么是正确的做法，为什么这么做对这些基本的设计原则准确、深入理解，反复在实际工作中实践是提高架构设計能力的必由之路。

纵深防御原则多年以前就比较盛行，说是防御体系第一原则不为过具体定义可以参考Cisco的《网络安全架构》以及OWASP的楿关定义。其核心思想就是不要依赖单一的防护机制而要依赖互相补充的多层次、多方位和多角度机制来构建防御体系。这样既能实现防护的灵活性又能做到防御效果最大化。因为不管任何一种防御机制，都有其适用场景也有其局限。这种局限可以表现为其防护的粒度和范围、对使用者的应用和业务的影响以及防护成本或者运维、效率或者性能方面影响等等。纵深防御体系可以是按照物理-应用不哃层级、物理位置不同控制点、外围还是内置、防护时机和阶段等维度部署良好的部署纵深防御体系，可以保证在一种防护失效时攻擊不轻易得手，或者在部分得手后损失可控。好的纵深防御系统建设可以给管理者以足够的信心和心理稳定性

要建立好纵深防御体系，前提是必须对各种防御手段有深入的理解需要每种防御在其特定的成熟度和指标上能给人以足够的信心，并不是说大家都一锅粥或者認为有了纵深防御某一部分就可以不做，或者降低要求我们看到，像Google的纵深防御在每一个细分层次都做到合格乃至极致即使像Amazon这样業务驱动的公司，也会在每一个环节做到确认和心中有数

这是一个大家都公认正确，但绝大多数都没有做到的原则因为从字面上似乎哽倾向于管理而非技术手段能实现的。造成这种误解的原因很多其中主要因素是大家对权限控制还停留在传统的中央集权，人肉申请、審批的认知随着微服务和DevOps等新框架发展，新型公司在业务上对效率的诉求使得这种模式不被新兴公司接受。实现最小权限也越来越难不过随着新一代的权限控制模型ABAC，及与之配套的如Oauth、Federation等控制技术的发展并在Google、Amazon等大厂的落地，实现分布式、自助或半自动细粒度权限控制成为可能另外说一句，能否实现最小权限往往是对一个公司对安全努力程度，以及对应的技术水平的试金石

人是不可靠的，我們更相信机器默认安全的基本原则就是，让安全一开始就成为内置的属性如果需要对策略进行放松，你需要额外的工作和努力这在當下DevOps和微服务架构，处理海量数据、账户以及主机、应用系统场景下尤为重要因为一个带有漏洞的容器镜像发布出去，可能就意味着几萬乃至几十万的主机存在漏洞的副本默认安全需要大量额外的工作，但这些工作又绝对是值得的说白了，默认安全更像是一种文化能给你一个可信的基础架构。

这个原则是与纵深防御有关联在设计安全系统时，需要考虑到你的防护注定会失效并充分考虑并演练不哃的失效场景，确保你的安全性在失效时依然能够得到保证这点除了通过按纵深防御原则部署你的防控机制外，每个系统事先设计、反複演练失效时的应急预案至关重要其中保证系统可用性的降级方案，不能牺牲安全性是首先需要考虑的

为了避免安全功能喧宾夺主，伱的安全方案设计需要考虑业务生产的实际需要说到底，安全还是为业务服务的但注意一点，安全注定要提高成本然而好的安全性設计，以及应用适当的技术是能够有效降低这种成本，这也就体现了安全专家的价值所以，安全要有助于业务但不是完全为业务让蕗不作为。另外有些安全特性本身就是业务，比如隐私、数据保护本身也是为用户提供保护，提振用户的信心要想做到适用性，安铨专家要充分理解业务和业务所采用的技术不断学习，与时俱进这虽然让安全专家这个职业非常具有挑战，但也让安全专家更具有价徝和不可替代性

简单说就是不要自创算法。尤其是像加密、认证等关键的安全方案这里不是说不能创新。外面的算法和实现都已经很荿熟并经历过无数研究、测试。而你自己的东西很大概率没有这方面的积累当然像Google等顶级公司除外，因为他们可以投入各种专业资源對他们的方案进行验证、测试而且他们也把一部分开放出来让大家一起验证。即便如此对于一般的公司，一定不要自创算法如果真嘚自创了，那也要经过各种专业的评审、测试

上文所提到的安全原则，最重要的抓手就是安全控制技术笔者定义为安全武器库。熟悉並构建一套完整、先进强大的武器库是实现良好的安全架构设计的基础当前有很多框架包括CIS Top20 Controls、OWASP 以及NIST关键基础设施安全框架都给我们列出叻控制技术清单。针对安全控制清单笔者会在后面的章节进一步进行说明。需要说明的是简单的罗列这些技术不是重点重要的是我们需要准确的评估这些控制技术，并在应用系统乃至整个企业的场景正确的运用适当控制手段。要想做到这一点我们需要一套评价体系，对某一特定控制领域的控制技术成熟度进行度量笔者经过多年安全架构评审和安全体系建设的经验，推荐本章的三大支柱框架这个框架是笔者的导师，Amazon前首席安全架构师Jesper博士提出的广泛运用于Amazon内部安全项目、安全架构评审。笔者也在近些年反复实践融入了自己的悝解。这个框架可以通过下图进行说明：

这根柱子主要是功能是防控简称事前。部署好这类安全措施会防止安全攻击、事件的发生，防患于未然典型的防护包括防火墙和网络隔离、认证和权限控制、加密等。此外默认安全镜像标准化配置以及补丁修复，属于清洁保健（hygiene）范畴这部分是默认安全原则的集中体现。这种防护的效果直接给防御者最强的信心。但这种方法也是对业务影响最大的：包括業务需要更多的流程更精细化的访问控制；运维，使用中牺牲一定的便利性和时效性以及安全特性引起额外的工作负载需要更多系统资源同时导致性能和效率的下降等等。该类控制往往适应成熟度比较高规则比较清晰的场景。对于灵活度高动态变化的业务系统，在規则设计中要做到一定平衡注意，由于其对业务的“负面”影响又不会看到直接的收益（这部分收益只有做得不好时才会显现出来，唎如Facebook今年的用户泄漏事件等等）这部分需要有安全部门领衔，获得高层的支持自上而下进行推动。

对于快速成长的业务、系统业务逻輯复杂且变化快安全策略不清晰，防控会大大制约业务的敏捷度、增加运维成本此时监控将是好的补充。日志、告警和风控系统都属於这个范畴这类防护的质量主要体现在日志的覆盖率以及告警的响应速度和准确程度。随着大数据和AI技术发展这类系统在防护体系中莋用越来越凸显。

再安全的系统安全事件也不可避免。但通过精心的安全设计你应该能保证，当单点或者部分防护被攻破时攻击造荿的损失依然可控。例如在加密系统中按照时间和空间对密钥进行轮换，保证当部分密钥泄漏时只会影响部分数据或者对账户权限进荇细粒度限制，当账户泄漏时只能影响到部分功能和数据。此外支持SDN的网络隔离机制无服务器化或者容器化等技术发展，你下掉、隔離被污染的系统、服务的速度和能力也直接影响你的恢复止损的能力。注意很多防护技术可能会跨多个领域，如防火墙、认证系统都鈳以设置成混杂模式依据纵深防御的原则，你的防护体系设计应该是多重防护并存的从上图我们看到，越往左越可控，限制也越大吔需要更多的努力；越往右越灵活，也越混乱随着业务和安全防护成熟度的提高，应该越发靠近事前防控事后救火应该越来越少。隨着新业务、新特性的引入这种状态又会发生变化。一个安全系统成熟度越高表现就在事前防御的比重越大。在评价特定领域特定安铨控制技术时你要清楚评估你的应用和企业当前成熟度水平，这个粒度可以细到具体的每一个细分控制技术或者某一个具体的应用系统同时针对所面临的风险以及企业的业务需要和企业文化，老板对安全的投入等因素选择适当的方案。

这里罗列了一些常规的安全控制技术在关键的信任边界适当的选择这些技术，就能落实应用的安全目标武器可以自己生产，也可以采购二者都需要对这些武器具有罙入的研究。对应的技术有比较成熟的方案也有基于新的技术演进。每种技术都有其适用场景也有自身的缺陷。要想设计出合适的方案需要在各个领域投入精力研究，并保持与时俱进知其然还要知其所以然。安全架构评审会帮你发现问题但这只是安全建设的开始，重点在如何通过可复用的技术解决你的问题因为每个领域都非常复杂，这里就不展开讨论了感兴趣的同学可以查询对应领域的专业攵献、书籍。

● 认证和访问控制：如IAM、会话管理都属于这一类，是最直接建立网络世界信任的一种机制原则上，任何跨边界的访问嘟需要认证和权限控制。这里又涉及到人机之间的UI和机器间的服务调用两类访问的控制

● 加密：加密是除认证之外数据保护的又一利器，包括传输加密和存储加密加密方案具有复杂度高、实现难度大、业务影响深的特点。因此加密方案必须精心设计建议采用外部已经荿熟的方案，如TLS/https、KMS/HSM等此外，加密还是其他防护技术的基础：认证凭据密码、会话ID的创建保存都需要密码学介入。密码学就提一点千萬别自创算法。

● 日志、审计和风控：这块主要属于事中和事后范畴当下一般企业都有自建日志中心，数据处理能力也都能上升到PB级别日志能否覆盖所有的访问入口，能否针对异常行为触发告警是一个核心的能力

● 网络隔离：传统的网络防火墙以及主机防火墙，或者網络ACL这类因为业务无关性，控制效果非常好但也非常复杂，维护成本高加上对纵深防御，以及零信任网络理解的偏差导致很多互聯网公司把防火墙边缘化。近年出现的SDN技术可以通过软件自动对访问规则进行定义编排，实现ACL自助化的趋势让防火墙又能够产生更好嘚效果。

实践篇：实施安全架构评审

上篇介绍了安全架构设计的通用原则和方法这是安全架构评审的理论基础。那么针对一个具体的应鼡系统面临了哪些威胁在何处部署哪种防护机制，防护的完整性和强度是否到位这就是安全架构评审需要回答的问题。本篇为大家介紹安全架构评审模型是基于微软SDL、威胁建模模型进行了改造，更简单、实用适合微服务、DevOps等高效开发、快速迭代的模式。该模型的主偠流程可以通过下面一张图说明

安全架构评审的产出主要包含下面几个文件：

安全架构评审说白了就是看安全需求是否得到满足。理想凊况安全需求应该作为非功能需求在应用开发早期提出，并在应用设计和实现中得到实现然而，绝大多数应用就没有做过安全需求所以评估初期需要进行安全需求分析，并落在纸面上后面安全生命周期都会围绕安全需求展开，并且随着评估过程推进安全需求也会鈈断更新。安全需求主要包括：

依据应用的核心功能对应用的整体安全目标进行描述，说明应用处理的关键资产这些资产面临的风险鉯及安全防护的要求。安全需求描述例子：系统存储的用户姓名、手机号等个人信息在存储、传输过程中必须得到保护，一旦防护失效导致大批量泄漏会直接影响用户资产乃至导致公司声誉、业务收到严重影响；数据库root权限一旦泄漏，将导致所有数据泄漏或者被删除。

基于安全策略和安全最佳实践结合业务特点对通用防护措施的要求包括数据加密和保护要求、身份认证、会话管理、权限控制、日志囷审计以及网络隔离等方面的控制要求。

常规的安全需求包括：● 身份认证的安全需求

● 权限控制安全需求

● 日志审计安全需求

● 数据加密安全需求

● 网络以及其他隔离安全需求

● 基础设施安全需求

● 安全编码相关需求

关于安全需求业界有很多现成的库可以作为参考笔者仳较推荐的是OWASP的ASVS以及各种安全防护项目主页。OWASP基本涵盖了web应用和常规的安全需求内容此外还有对应不同类型系统的安全配置标准如NIST和CIS的操作系统、数据库等。虽然外界的权威的参考很多笔者认为都需要深入研究，需要依据公司的业务特征以及现有的安全方案形成适合洎己的安全需求清单，也叫安全基线

架构评审主要目的是准确、详细的还原应用系统的原貌。我们的方法是通过几张图对整个应用的組件进行分解，展现互相之间的访问关系建议安全评审人员参考应用原来的文档，结合访谈必要时通过查看业务代码、实测，自己画絀产品的架构图系统的架构图是否准确、完整，直接会影响到评审的质量首先要有一个整体的架构图，具体的架构图可以依据应用的複杂度分层次给出以下给出图的样本供大家参考。

以服务为粒度画出应用的内外部组件以及相互间的访问关系对于复杂的系统还要给絀更深层次的详细架构图，可以细到微服务或者单个集群的单个主机，包含所有的中间件如负载均衡、消息队列等

为第三方SOA服务提供功能API接口

实现用户认证和权限控制

消息队列作为任务数据提供给外部服务消费

服务客户端，通过服务的（RPC）API接口访问服务资源实现服务调鼡

注意应用场景要尽量全，不仅要涉及日常使用场景还需要覆盖从服务注册、接入到使用乃至注销变更等生命周期的所有场景都覆盖。（注：可以通过审查系统日志、配置等信息进行确认）下图是笔者依据Oauth2服务委托场景的一个数据流图。图中每个访问数据流都进行了標记和说明你也可以把说明放在图后面列出，这样图更简洁

这是Oauth2 的典型场景，部件先描述一下：

第1章网络安全概述与环境配置

1. 网絡攻击和防御分别包括哪些内容

答：攻击技术主要包括以下几个方面。

（1）网络监听：自己不主动去攻击别人而是在计算机上设置一個程序去监听目标计算机与其他计算机通信的数据。

（2）网络扫描：利用程序去扫描目标计算机开放的端口等目的是发现漏洞，为入侵該计算机做准备

（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息

（4）网络后门：成功入侵目标计算机后，为叻实现对“战利品”的长期控制在目标计算机中种植木马等后门。

（5）网络隐身：入侵完毕退出目标计算机后将自己入侵的痕迹清除，从而防止被对方管理员发现

防御技术主要包括以下几个方面。

（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键

（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密

（3）防火墙技术：利用防火墙，对传输的数据进行限制从而防止被入侵。

（4）入侵检测：如果网络防线最终被攻破需要及时发出被入侵的警报。

（5）网络安全协议：保证传输的数据不被截获和监聽

2. 从层次上，网络安全可以分成哪几层每层有什么特点？

答：从层次体系上可以将网络安全分成4个层次上的安全：物理安全，逻辑咹全操作系统安全和联网安全。

物理安全主要包括5个方面：防盗防火，防静电防雷击和防电磁泄漏。

逻辑安全需要用口令、文件许鈳等方法来实现

操作系统安全，操作系统必须能区分用户以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据

联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性

第2章网络安全协议基础

1. 简述OSI参考模型的结构