脑图知识点整理三

2017-09-11 00:00:00 myh0st 信安之路

网游安全运营管理体系

基础建设阶段

运营网络

安全预警

漏洞通告

网络层

IDS、Honeypot、抗DDOS设备(黑洞)、安全域划分、网络层ACL

主机层

安全检查、补丁管理、后门检测、日志管理、AV管理、主机层ACL、本机策略、配置模板、漏洞扫描、漏洞管理

应用层

DB安全配置、WEB扫描、服务,中间件安全配置(Resin/Tomcat/JBOSS/PHP/Apache...)、代码审计、WebShell目录扫描、ARP内部访问控制(RBAC或其他)、账号安全

人员

安全技术培训、安全意识培训

QA

运营体系

  • 运营公司所有职能部门

域AD:分组策略(账号、密码、登录、补丁Push)

客户端管理(SEP):接入验证、企业版AV、企业版HIDS策略集

网络流量:网关设备(防火墙)、IDS、流量报警、核心交换机划VLAN、多VPN入口和策略集

客户端:lotus Notes、Outlook、foxmail

无线&移动办公:无线网络(WPA2、Radius动态口令、公共会议室限定ACL)、BlackBerry(BB服务器安全、服务端策略)

研发体系

  • 研发子公司、工作室

项目组划分VLAN:CEO/VP决定项目组外网权限开放细粒度、版本管理(加密)、客户端防拷贝(物理安全)、测试环境、公共上网环境、与育英公司的资源传递交互

安全运营建议阶段

统一监控平台

主机层agent

通用性OSSEC,Nagios、商业软件Tivoli,MOM、商业HIDS对游戏服务端性能影响(?)、自定制开发(监控安全、入侵检测、关键变更、Push策略功能、检测资产变动-ITIL准备、检测上层应用-Game Daemn等、配置模板、数据采集、报表展现、alert?)

网络层

交换机(黑洞等抗DDOS设备流量图)、What'Up、Cacti、MRTG、IDS(如采购可自定义特征做抓包器)、端口监控(检测ACL失效)

应用层

DB状态性能/安全监控:Mysql、Oracle

web应用:APP后台登录及日志、bot自动检测、关键位置变更检测、CDN源检测

数据层

存储设备健康检查(为DRP准备)

访问途径

堡垒主机:统一认证登录平台(命令行登录、屏幕录像、客户端APP限制)、资产管理系统监控

内部流程改造阶段

植入ITIL精髓

为日常IT服务、运维、安全提供基础流程框架

ITSM平台(中间件)

关联:OA审批工作流、监控agent联动信息采集、后端与数据中心、报表展现(运维、客服、产品经理、共享状态信息)

内容:配置管理、发布管理、变更管理(工作流引擎)、问题管理、事件管理、容量管理、可用性管理

ISO27001/17799/Cobit

传统视角的安全管理制度和流程建设、主要对象为公司内部以及对第三方的风险控制、流程制度策略集

游戏运营流程

资产管理制度、服务器上/下线流程、版本更新流程、开区关区流程、版本测试/发布流程、反外挂流程、游戏bug处理流程、在线活动数据采集流程、道具发放流程

BCM&DRP

资产分类、分级、规划DR战略

数据中心建设(多点异地)

虚拟设备管理

EA(企业架构)

硬件架构、应用架构、数据库架构

BC/DR相关流程

文档、培训、演练

SDL(初步)

开发管理流程风控(SCRUM?)

small Release、big Release

APP设计标准

编码标准

架构风险评估

测试、发布、版本更新控制

代码审计

应用与业务安全建设阶段

运营平台

用户、注册、激活、官网、商城、BBS

数据流分析(仅针对关键应用:更细粒度化)、后台页面、CMS、三层认证、加密、强日志

盗号

专题页面安全教育(在线活动推广)、矩阵卡、令牌。手机、web密保、登录数据监测和实施计算

盗金、盗充

动态口令、限额划账/消费、快速冻结和查账(GM工具、后端流程)

反DDOS

反向肉鸡处理

游戏内容

服务端程序

状态监控、Daemon Proxy畸形封包过滤、Daemon无人值守管理

架构

DB/cache架构支持水平扩展、MMORPG底层平台功能

反外挂

反外挂系统:客户端、服务端(后端数据中心--报表分析-封号--客服流程--GM工具)

研发公司(工作室):SDL、设计环节

内部欺诈和交易

客服流程和GM工具集、GM监控

反动言论

过滤、关键字、xss

游戏内部平衡体系

DW/DM

响应体系(危机管理)

产品、运维、客服、测试、研发快速支持流程集、内部IT平台(前段运营数据在公司内部的展现、挖掘、共享与流转)


企业内网准入控制规划

准入控制

接入控制系统

接入账号管理

账户的批量初始,发放email账号、账户周期自行修改口令、账户的过期、禁用设置、账户权限等级

接入策略管理agent

agent安装前:重定向提示页面下载安装、访问权限guest vlan(可以访问互联网?与内部网络隔离)

agent安装后:非法账户--guest vlan、补丁,病毒安全检查(内部网络--内部部门间和内部服务器资源、修复区域--wsus、nod32)、防arp欺骗、agent占用资源,支持平台,其他软件兼容性如vista agent检测获取ip方式限制、弱系统口令检查

其他特定进程,文件存在检查?

特定软件版本检测,如暴风影音,winrar

接入策略管理switch

基于账户,部门动态划分vlan或基于mac、基于mac/mac地址数限制接入==防止多mac接入hub、无缝wireless接入

验证系统管理

账户口令、vlan、mac的组合绑定。冗余、负载均衡,bypass功能

接入异常报警

mail:异常终端,病毒,恶意进程、异常接入事件、异常的定位

存档、报表

IP规则

静态ip

DHCP

DHCP分域/vlan分配、sw dhcp snooping,sw上限制ip获取方式、agent ip获取方式限制、mac与账户,mac与接口绑定、保留IP--指定的mac-ip分配、预留ip

无线接入

接入控制--802.1x

账户口令radius集中认证、账户+mac验证、系统安全检查

无线认证

空,仅做802.ax、wpa/wpa2自适应

无线ssid对应vlan

访客vlan、合作vlan、内部员工vlan

网络维护

性能分析

802.1x时的终端数量考虑

目前500点,要求可扩展至700点

汇聚交换,接入交换的选型

无线AP的性能,传输宽带

冗余设计

单点故障、负载均衡

设备管理

vlan的维护管理

vlan配置的统一管理

日志集中管理

日志采集(syslog)、日志分析、日志归档、统计信息发布

设备集中监控和维护

snmp、openview、quidview

设备安全

telnet ssh登录限制、账户权限级别、账户集中维护、SNMP访问限制


企业安全工作要点

安全预警体系、安全检测体系、安全防御体系、安全评估体系、安全审计体系、规范标准流程、安全交流培训

办公网络安全

周期安全评估、模拟渗透测试、反弹后门的检测Websense、网络入侵检测系统IDS/snort/Suricata、网络流量监测系统Ntop、网络防病毒系统Symantec/NOD32、统一补丁管理系统WSUS、网络准入控制系统NAC/联软、流量带宽控制系统TC/HTB/iptables、网络访问控制Vlan/ACL/iptables(HR/Finance/Mgmt/TEST/DEV/AD/MAIL/SVN/WIKI/Exchange)/防火墙FW/入侵保护系统IPS(办公网络出口ACL、IT Server机房映射/出口ACL)、无线网络安全、VPN安全(账户/权限审批、存档,周期审计,VPN User Group/ACL,双因素认证RSA)、邮件Mail安全(反垃圾邮件、反病毒邮件C;amAV、内容过滤系统)、AD域重要服务器账号/权限/登录范围检测和管理、弱口令审计、数据库账户、口令、权限审计、米冠网络Honeynet、集中日志审计系统Ossec/Splunk、内网病毒/蠕虫应急响应流程、账户统一认证体系建设(AD)、内网安全管理制度(IT机房服务器上线/下线流程、IT服务器账户/权限审批流程、VPN账户/权限审批流程、IT机房网络ACL开放审批流程、员工上网行为规范--P2P/敏感信息、口令安全标准、管理规范、信息安全等级与保密制度、重要数据的加密、存储、传输规范/铁卷)

生产网络安全

周期安全评估、模拟渗透测试,网络入侵检测系统(IDS/Snort/Suricata),系统反弹木马检测、集中日志审计系统(Ossec、Splunk--secure/message)、网站漏洞检测系统(系统网络层面的安全扫描、web应用层面的安全扫描Xss/Csrf/Sql Inject、其他危险管理后台检测、人工渗透测试),网站反挂马检测系统(原理基于特征/行为检测、范围 企业内部/合作伙伴),防火墙FW/入侵保护系统IPS、WEB应用防火墙WAF、网站反CC攻击系统(DDoS),防DDoS--流量型/连接型(DDoS攻击相应流程、流量牵引CiscoGuard、Ntop/Netflow)、网络防病毒系统Symantec/nod32、统一补丁管理系统WSUS、跳板机/堡垒机建设(账户/权限审批与行为日志审计、双因素认证RSA、集中管理、授权。审计),生产网络安全域的划分/ACL策略(CoreDB、Intra-System/CRM、Admin domain/DNS/Syslog/NTP、Product、DEV/BETA、DMZ),SOC/SIEM安全运维中心--OSSIM(安全信息的预警、安全事件的监测、安全事件的跟踪)、安全事件应急响应(应急响应流程--入侵事件、DDoS、病毒蠕虫、应急响应工具包)、服务器/网络设备/安全设备/数据,库周期安全审计(有效账户列表、弱口令审计、权限审计、ACL访问控制、行为日志审计、设置自身配置安全审计),IDC相关的制度/规范/标准(生产网服务器/网络设备上线,下线流程、IDC边界端口/内部互访的ACL开放审批流程、服务器/网络设备账户、权限行为审批流程,系统、网络、安全设备安全加固标准、重要数据的存储、传输加解密规范、流程),安全交流、分享、培训(部门内部分享/交流、跨部门培训--运维/QA/DEV、面向企业的安全习惯/意识/Tips)

业务应用安全

周期安全评估、模拟渗透测试、网站漏洞检测系统(系统网络层面的安全扫描、WEB应用层面的安全扫描Xss/Csrf/Sql Inject、其他危险管理后台检测、人工渗透测试),开发编码规范(Java/PHP/ASP/ASP.net/Python/JavaScript编码规范)、应用软件与框架统一/版本规范/安全配置标准、应用管理后台的统一安全管理(内部系统--统一账户认证体系、外部系统)、应用系统的账户/口令审计、WEB应用防火墙WAF、WEB SHELL检测、集中统一前端Proxy/Ngnix、网站反挂马检测系统(原理基于特征/行为检测、范围-企业内部/合作伙伴),网站应用上线安全测试规范/流程,网站应用安全(恶意注册、垃圾信息)、钓鱼站点的反击、集中日志审计系统Ossec/Splunk(access.log)、网站反cc攻击系统(DDoS)

制度流程规范

内网安全管理制度

IT机房服务器上线/下线流程、IT服务器账户/权限审批流程、VPN账户/权限审批流程、IT机房网络ACL开放审批流程、员工上网行为规范(P2P/敏感信息)、口令安全标准、管理规范、信息安全等级与保密制度、重要数据的加密、存储、传输规范/铁卷

IDC相关的制度/规范/标准

生产网服务器/网络设备上线、下线流程,IDC边界端口/内部互访ACL开放审批流程,服务器/网络设备账户、权限、行为审批流程,系统、网络、安全设备安全加固标准,重要数据的存储、传输加解密规范、流程

应用软件与框架统一/版本规范/安全配置标准

开发编码安全规范(Java/PHP/ASP/ASP.net/Python/JavaScript编码规范)

安全相关规范流程

网络端口开放策略规范、漏洞修补流程、安全事件处理流程、网站应用上线安全测试规范/流程

安全交流、分享、培训

部门内部分享/交流、跨部门培训(运维/QA/DEV)、面向企业的安全习惯/意识/Tips

总结

本次分享的脑图是《网游安全运营管理体系》、《企业内网准入控制规划》、《安全工作要点》,都是关于企业安全建设的知识点与流程,同样想要查看原图的点阅读原文查看。