【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。
安全防护架构规划
一. 安全SDLC(软件开发生命周期)
立项
1. 规范立项流程,确保所有项目通知安全团队
• 项目定级
• 安全介入产品流程
需求设计
1. 安全和隐私风险评估
架构设计
安全要求
1. 合规基线
2. 开发红线
3. 框架、组件安全
• 推荐的组件
• 禁用的组件
4. 安全开发培训
• 安全开发规范
• 测试培训
• java开发场景的安全培训(安全常见问题及修复方案)
开发迭代
1. 代码扫描
• sonar + sonarqube
• gitee企业版
上线提测
满足提测标准
安全测试
1. 静态扫描
• 产品:黑盒扫描
2. 渗透测试
• 测试环境渗透
3. 代码审计
• 上线代码review:人工
• 产品:安全监测
4. IAST(灰盒检测)
• 运行时安全检测
维护
事件应急响应
1. 事件响应计划
2. 安全事件演练、模拟
巡检
1. 红蓝对抗
2. 自动化扫描
3. 自动化监控
• 域名、IP、资产、应用、互联网暴露面
• API监控
• 敏感信息监控:代码
4. 运营
• 漏洞管理
• 安全流程
安全防护
边界防护
1. 网络隔离
• 办公、测试、生产
2. 互联网边界
• 高防: 抗DDOS、抗CC攻击
• WAF: 七层业务流量防护能力
• IPS/IDS: 弥补四层的检测能力
• 防毒墙: 如果有需要,弥补防毒能力
3. 内网边界
• 防毒墙
• 网络准入
• 敏感部门vlan隔离
• WAF: 办公区发起访问,跨区域的边界防护
• 防毒墙: 如果有需要,弥补防毒能力
• 办公区域
4. 测试区域
• WAF: 访问测试区域,边界防护
• 堡垒机: 有必要的情况下,增加堡垒机
5. 生产区域
• DMZ
• 堡垒机: 只能通过堡垒机进行访问生产环境
6. 办公-终端安全
• 终端杀毒: 实时查杀
• 终端防泄密DLP: 实时检测、阻断
• 终端EDR: 实时检测、拦截
7. 远程办公
• 零信任
• 软件基线
8. 移动应用安全
• 安全加固
安全监控
办公环境
1. 全流量审计
测试环境
1. 全流量审计
生产环境
1. 全流量审计
2. 主机安全
• HIDS
• EDR
• XDR
3. 容器安全
• HIDS
4. 数据库安全
• 数据库审计
云平台
1. 事件监控审计
• 云存储
• EKS
• 基线config
安全运营
1. 安全运营中心SOC
• 安全日志采集
• 安全事件场景: 日志监控与审计
• 安全Soar
• 安全处置流程
1. 安全应急响应
• 安全事件管理
• 安全事件演练、模拟
• 安全事件响应计划
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...