网络安全防护体系建设经验分享

防护体系整体构建
第一道防线
最后一道防线
纵深防线
• 双因子认证 • 堡垒机
• 服务器日志分析平台 • Webshell 监控平台
密码破解机 数据安全审计系统
• 网络访问控制统一管理平台
• 天眼威胁感知系统 无线入侵检测与防护系统
• Web安全扫描系统 Webshell白盒扫描系统 Andriod漏洞半自动化扫描系统
GSM？
GSM
技术团队
2301
安全魔方团队（信息安全部）
主管：谭晓生副总裁
协议与逆向 分析团队
安全开发 团队
网络安全 团队
团长：刘小雄
IOS安全 团队
Web安全 团队
云安全 团队
Andriod 安全团队
无线安全 硬件团队
感谢聆听 Q&A
北京市朝阳区酒仙桥路6号院2号楼 100015 Bldg 2, 6 Hao yuan, JiuXianQiao Rd, JianGuo Road, ChaoYang District Beijing 100015, P.R.C. Tel: +86 10 5878 1000 Fax: +86 10 5682 2000
• 安全扫描系统
第三方安全漏洞监测系统
• 办公网安全审计系统 天擎 天机
员工：安全是责任
最小化访问权限
• IDC与办公网隔离 • 办公网与办公网隔离 • 办公网内部主机间隔离 • ……
制度
员工wenku.baidu.com第一道防线 也是最脆弱的防线
隔离
强制策略
• 必须安装360天擎 • 24小时必须重启一次 • 终端有漏洞必须修复 • 密码最少15位 • ……
Wifi接入设备（AP）：入侵检测与防护
鹰隼：无线AP入侵检测与防护
➢ 实时掌握360办公区内的所有热点 ➢ 对非360提供的热点进行阻断 ➢ 终端关注针对AP的口令破解行为 ➢ 360公司内部禁止私建Wifi，包括360随身Wifi
BYOD远程办公：数据隔离与加密
天机： ➢ 沙箱系统隔离 ➢ 办公数据加密 ➢ VPN通道加密 ➢ 物理定位、远程锁定、擦除数据
修改过的
服务器shell
线上服务器
服务器shell日志
自动上传
1601
产品：源代码/二进制程序板子半自动检查
情况一：
开发人员主动提交
上线程序及代码
情况二：
开发人员私自将所开
发的程序上线
代码检查服务器
服务器上的监控程序会自动将 新增、变化的文件送到代码检 查服务器进行检查
C、C++、PHP ……
➢ Web漏洞扫描 ➢ Webshell扫描 ➢ Andriod漏洞扫描 ➢ 漏洞扫描 ➢ 后门扫描 ➢ ….
360网络安全防护体系建设 实践分享
目录
1
安全理念
2
防护体系
3
技术团队
安全理念
301
安全理念：一、二、三、四
一个中心 三个阵地
360 安全理念
两个原则 四个假设
整体防护
10 多个Lan办公网络 80 多个数据中心 VPN 网络
办公网
数据中心
VPN 网络
安全理念：一个中心
安全理念：两个原则
第一道防线：争夺边境线
✓ 产品 ✓ 对外服务 ✓ 员工
三大 战役
最后一道防线：反潜伏
✓ 监控 ✓ 审计 ✓ 大数据分析
安全理念：三个阵地
纵深防线：保卫大城市
✓ 重要服务器 ✓ 重要业务系统 ✓ 重要数据
✓ 如何发现漏洞利用行为 ✓ 如何检测攻击行为
系统一定 有未发现的漏洞
安全理念：四个假设
✓ 及时发现漏洞 ✓ 强制修补漏洞
管理员
配置
网络访问控制统一管理平台
网络访问控制 统一管理平台
ACL
防火墙
R2631E
E100 NE08E R3680E
VPN
VPN
R2631E
分支
R3680E
R3680E NE40
内部线路
IDC
R2621
办公网
360大厦
R3680E
VPN
Wifi终端设备：受控使用
➢ 只有注册IMEI才能使用公司内部的Wifi上网 ➢ 只有使用域账号才能连接上公司内部的Wifi ➢ 可以通过鹰隼系统定位到Wifi终端的物理位置 ➢ 绵羊墙
系统一定 有已发现但仍未修补的漏洞
系统已经被渗透
✓ 如何发现系统已经被渗透 ✓ 如何处理已经被渗透的漏洞 ✓ 如果重现攻击过程 ✓ 如何溯源
员工并不可靠
✓ 如何发现员工的异常行为 ✓ 如何检测并阻断来自内部的攻击
安全理念：想攻击者所想
Thinking as the Attackers
防护体系
1001
监控
全流量听包、存储 大数据分析
沙箱实时检测
补洞
实时扫描线上系统漏洞 抓取安全论坛最新发布漏洞
连夜分析影响，迅速修复
日志分析
修改shell，发送系统日志到日志服务器 利用大数据技术识别日志异常并报警
服务器与业务系统
堡垒主机
统一登陆认证 集中运维审计
异地容灾
三地机房在线同步 负载均衡，灾难调度 离线备份作为后援
问责
不妥协！
• 小问题警告（事不到三） • 大问题辞退（零容忍） • 问责诛连到主管VP
GPU
密码破解机 GPU
密码碰撞
分布式彩虹表存储阵列
密码破解设备
彩虹表MD5碰撞 • 彩虹表规模超5.5万亿 • 两台GPU服务器24小时不停机碰撞 • 秒杀“弱口令” 密码管理规定 • 口令长度最少15位 • 凡被破解的密码均视为弱口令
攻防平衡原则
✓ 现实社会中，攻防本质是成本的对抗
✓ 防守就是在受保护的目标价值、安全投入、 性价比 三者之间做 tradeoff
✓ 攻防之间是动态的平衡，攻击在不断变化，决
定防守需要持续升级，否则将失去平衡
自主可控原则
✓ 真正的安全来自于可控的安全团队 加上可控的安全工具
✓ 一手抓安全防护 ✓ 一手抓安全工具的自主开发
鹰眼：一网打尽Web漏洞
核心监控设备
天眼：沙箱 + 大数据分析
➢ 监控100Gbps的实时带宽 ➢ 每天存储50TB的流量数据 ➢ 沙箱分析平均延时10秒 ➢ 每天存储的日志条数4000亿
核心将控设备：服务器日志异地存储与分析系统
✓ Shell日志远程存储 ✓ Shell日志大数据异常分析
日志存储与 分析服务器