网络安全防护体系建设经验分享v1.0.ppt

360网络安全防护体系建设实践分享 目录 防护体系 技术团队 301 安全理念 安全理念 一 二 三 四 360安全理念 四个假设 三个阵地 一个中心 两个原则 安全理念 一个中心 办公网 数据中心 VPN网络 整体防护10多个Lan办公网络80多个数据中心VPN网络 安全理念 两个原则 攻防平衡原则现实社会中 攻防本质是成本的对抗防守就是在受保护的目标价值 安全投入 性价比三者之间做tradeoff攻防之间是动态的平衡 攻击在不断变化 决定防守需要持续升级 否则将失去平衡 安全理念 三个阵地 产品对外服务员工 重要服务器重要业务系统重要数据 监控审计大数据分析 最后一道防线 反潜伏 纵深防线 保卫大城市 安全理念 四个假设 如何发现漏洞利用行为如何检测攻击行为 系统一定有未发现的漏洞 系统一定有已发现但仍未修补的漏洞 员工并不可靠 系统已经被渗透 及时发现漏洞强制修补漏洞 如何发现系统已经被渗透如何处理已经被渗透的漏洞如果重现攻击过程如何溯源 如何发现员工的异常行为如何检测并阻断来自内部的攻击 安全理念 想攻击者所想 ThinkingastheAttackers 1001 防护体系 防护体系整体构建 网络访问控制统一管理平台天眼威胁感知系统无线入侵检测与防护系统Web安全扫描系统Webshell白盒扫描系统Andriod漏洞半自动化扫描系统安全扫描系统第三方安全漏洞监测系统办公网安全审计系统天擎天机 双因子认证密码破解机堡垒机数据安全审计系统 服务器日志分析平台Webshell监控平台 第一道防线 纵深防线 最后一道防线 员工 安全是责任 员工是第一道防线也是最脆弱的防线 制度 隔离 强制策略必须安装360天擎24小时必须重启一次终端有漏洞必须修复密码最少15位 最小化访问权限IDC与办公网隔离办公网与办公网隔离办公网内部主机间隔离 不妥协 小问题警告 事不到三 大问题辞退 零容忍 问责诛连到主管VP 问责 密码破解设备 GPU GPU 密码破解机 分布式彩虹表存储阵列 密码碰撞 彩虹表MD5碰撞彩虹表规模超5 5万亿两台GPU服务器24小时不停机碰撞秒杀 弱口令 密码管理规定口令长度最少15位凡被破解的密码均视为弱口令 服务器与业务系统 监控全流量听包 存储大数据分析沙箱实时检测 补洞实时扫描线上系统漏洞抓取安全论坛最新发布漏洞连夜分析影响 迅速修复 日志分析修改shell 发送系统日志到日志服务器利用大数据技术识别日志异常并报警 堡垒主机统一登陆认证集中运维审计 异地容灾三地机房在线同步负载均衡 灾难调度离线备份作为后援 核心监控设备 天眼 沙箱 大数据分析 鹰眼 一网打尽Web漏洞 监控100Gbps的实时带宽每天存储50TB的流量数据沙箱分析平均延时10秒每天存储的日志条数4000亿 核心将控设备 服务器日志异地存储与分析系统 1601 线上服务器 日志存储与分析服务器 服务器shell日志自动上传 修改过的服务器shell Shell日志远程存储Shell日志大数据异常分析 产品 源代码 二进制程序板子半自动检查 情况一 开发人员主动提交上线程序及代码 情况二 开发人员私自将所开发的程序上线 服务器上的监控程序会自动将新增 变化的文件送到代码检查服务器进行检查 代码检查服务器 C C PHP Web漏洞扫描Webshell扫描Andriod漏洞扫描漏洞扫描后门扫描 网络访问控制统一管理平台 防火墙 管理员 网络访问控制统一管理平台 配置 ACL Wifi终端设备 受控使用 只有注册IMEI才能使用公司内部的Wifi上网只有使用域账号才能连接上公司内部的Wifi可以通过鹰隼系统定位到Wifi终端的物理位置绵羊墙 Wifi接入设备 AP 入侵检测与防护 鹰隼 无线AP入侵检测与防护实时掌握360办公区内的所有热点对非360提供的热点进行阻断终端关注针对AP的口令破解行为360公司内部禁止私建Wifi 包括360随身Wifi BYOD远程办公 数据隔离与加密 天机 沙箱系统隔离办公数据加密VPN通道加密物理定位 远程锁定 擦除数据 GSM GSM 2301 技术团队 安全魔方团队 信息安全部 主管 谭晓生副总裁 团长 刘小雄 网络安全团队 Web安全团队 云安全团队 Andriod安全团队 无线安全硬件团队 IOS安全团队 协议与逆向分析团队 安全开发团队 感谢聆听Q A 北京市朝阳区酒仙桥路6号院2号楼100015Bldg2 6Haoyu