中小企业平台安全建设如何落地

随着XX领域最近几次重大安全事件发生，各个供应厂商都受到严重的波及，使得我们重新认识安全的重要性，安全建设不得不做好了。
一直以来也想快速做好平台安全，但是都没有实际落地，一个是安全体系建设包含的内容实在太多，另一个是安全建设实际具体落地没有规划，中小企业大部分时间应该都是开发有价值的业务功能， 组织架构里也没有专门的安全部门，不可能给研发团队大块时间来专门搞安全建设。另外，即使客户环境出了重大安全事件，客户也是对这个小领域进行一顿安全整顿，不会关注太长时间，毕竟安全这东西不是日常业务工作内容，这也促使开发商随之放松下来，直至慢慢淡忘。
我们必须清楚这个现状，然后做好一定的安全建设规划，然后从细处着手，一步步在平台建设过程中把平台安全落地, 不要想去一下子做一个高深复杂强大的东西，而是用时间慢慢去堆叠一个个功能，时间长了也是一种技术积累，安全建设也是一样。
下面章节记录了一点粗略的安全建设规划，先形成一个大致目标和思路，细节在实际操作过程中再细化和优化, 其实说落地都谈不上。

1. 安全建设概述

从软件生命周期角度，安全贯穿设计、开发、测试和运维四个阶段，不仅仅是最终的运维阶段。
SDL(SDLC): 是微软提出的一种软件开发安全生命周期管理的一种最佳安全实践，全称为Security Development Lifecycle。

从平台运营角度，安全体系包括系统安全、数据安全、设备安全、网络安全、通信安全、应用安全、软件安全、硬件安全、制度安全等。
系统安全一般包括软件系统安全、硬件系统安全。
数据安全一般包括数据采集、传输、存储、处理、使用的安全。
设备安全一般包括软件安全和硬件安全，也涉及数据安全。
网络安全一般指网络访问、网络传输的安全性，考虑因素有无线网络、有线网络、路由器、交换机、服务器等。
通信安全一般专指网络通讯上的安全性，比如通讯协议是否有漏洞、通道是否加密、数据包是否混淆和加密。
应用安全一般指应用系统业务流程的安全性，比如业务逻辑上设计是否有安全漏洞、数据泄密等问题。
软件安全一般指软件系统的安全性，在云时代软件系统一般部署在机房，用户通过网络远程访问系统接口，那么系统接口的安全性就很重要。
硬件安全一般硬件设备的安全性，比如防水、防破坏、防盗窃等。
制度安全一般指运营过程中流程制度的安全性问题，防止泄密、不安全操作、破坏性操作等。

软件开发活动里一切安全行为都是最终为平台运营安全性服务的，目标就是平台能够安全地运营。
DevSecOps: 是“开发、安全和运营”的缩写，在软件开发生命周期的每个阶段自动集成安全性, 从最初的设计到集成、测试、部署直至软件交付。

2. 设计阶段安全建设

系统架构设计过程中就要考虑安全性，架构师就要设计出一个具有一定安全性的架构出来，对开发团队、测试团队和运维团队都具有指导作用。
总体上要考虑平台的硬件安全、软件安全、网络安全、通信安全、数据安全、应用安全、设备安全、制度安全等。
根据我们平台实际情况，具体考虑的安全因素如下，但不仅仅限于这些方面：

• 采集设备的硬件安全，部署安全
• 采集设备的软件系统安全：操作系统安全、账号安全、应用系统安全、漏洞修复、通讯加密、网络访问安全
• 4G网的网络安全：路由器、交换机、服务器的网络通讯安全，防火墙规则配置，通道加密
• 视频网的网络安全：路由器、交换机、服务器的网络通讯安全，防火墙规则配置，通道加密
• 内网的网络安全：路由器、交换机、服务器的网络通讯安全，防火墙规则配置，通道加密
• 软件系统API服务接口访问安全：访问者有效性和合法性验证，访问安全审计
• 数据安全：数据传输加密、数据存储加密、数据存储备份、数据存储访问安全
• 应用安全：业务逻辑安全、业务涉密、用户访问权限、用户访问审计
• 流程制度安全：运营过程中的流程制度的安全性

3. 开发阶段安全建设

3.1 安全编码

IDE集成环境使用安全插件

开源SonarLint支持Eclipse、VSCode、JetBrains IDE(IntelliJ IDEA, PyCharm, WebStorm, Android Staudio).
利用集成开发环境的安全插件提示进行代码安全修复。

遵循SDL安全编码规范

编码过程中遵循SDL Checklist规范。

遵循OWASP安全编码规范

编码过程中遵循OWASP安全编码规范参考指南。

账号安全

• 管理员用户名不要取常见的容易猜中的名称，如admin, root等。
• 管理员密码必须按涉密规范要求，长度10位以上，必须包括数字、字母和特殊字符三种组合, 并且在数据库里不能明文存放，必须hash并加盐。
• 用户的密码必须按涉密规范要求，长度8位以上，必须包括数字、字母和特殊字符三种组合, 并且在数据库里不能明文存放，必须hash并加盐。
• 业务系统访问存储系统的密码，长度10位以上，必须包括数字、字母和特殊字符三种组合, 如MySQL、Elasticesearch、Redis、RabbitMQ等等。
• 不永许任何系统没有登录就直接可访问。
• 不永许把用户名或密码写死在代码里、配置文件里。
• 不能把代码和配置发布到github、gitee等任何外部系统。
• 开发人员引入一个开源系统，开源系统自带的管理系统必须要有登录机制, 用户名和登录密码不能使用默认，不能简单设置，必须和上面描述的规则一样。

API接口安全

禁止免密免登录免认证鉴权的访问，swagger也需要进行访问认证，外部访问采用https协议。

• API接口要具有用户身份的验证机制，包括合法性和有效性
• API接口要具有用户鉴权机制，包括模块权限和数据权限
• API接口要具有应用令牌的验证机制，对一个应用系统访问另一个应用系统进行鉴权

web访问安全

web访问需要采用https方式，支持国密。

数据通道安全

数据传输通道需要加密，或者数据包进行加密, 支持国密。

Java开源框架和组件库进行漏洞修复

• JDK
• log4j
• Spring Boot
• 所有使用到的开源库，到国家安全中心等发布漏洞的机构定期查询，有漏洞出现则及时打上补丁。

3.2 静态代码扫描分析

对源代码进行质量和安全等方面的静态分析，采用开源SonarQube系统, 把gitlab系统和SonarQube系统结合起来。

3.3 开源库扫描分析

对系统使用的开源库进行扫描分析，防止可疑代码注入，木马植入等, 如采用开源ossf/package-analysis工具。

4. 测试阶段安全建设

待补充。

5. 运维阶段安全建设

5.1 账号安全

操作系统账号安全

• root账号不能远程登录
• 坚持最小权限原则，不能把一个普通账号设置的权限和root账号一样大
• 登录密码必须足够复杂，长度10位以上，必须包括数字、字母和特殊字符三种组合
• 禁用或删除无用账号, 把系统一些自带的账号注释掉
• 禁用或删除无用用户组
• 用户密码不能包含用户名
• 设置用户密码过期时间, 定期修改密码
• 密码输错三次，锁定用户5分钟
• 禁止普通用户su到root用户，只允许指定的用户su到root用户
• 配置证书密钥登录

应用系统账号安全

• 管理员用户名不要取常见的容易猜中的名称，如admin, root等。
• 管理员密码必须按涉密规范要求，长度10位以上，必须包括数字、字母和特殊字符三种组合。
• 用户的密码必须按涉密规范要求，长度8位以上，必须包括数字、字母和特殊字符三种组合。

存储系统账号安全

• 不永许未登录直接访问
• 登录密码必须按涉密规范要求，长度10位以上，必须包括数字、字母和特殊字符三种组合。

消息队列账号安全

• 不永许未登录直接访问
• 登录密码必须按涉密规范要求，长度10位以上，必须包括数字、字母和特殊字符三种组合。

缓存系统账号安全

• 不永许未登录直接访问
• 登录密码必须按涉密规范要求，长度10位以上，必须包括数字、字母和特殊字符三种组合。

第三方系统账号安全

• 不永许未登录直接访问
• 登录密码必须按涉密规范要求，长度10位以上，必须包括数字、字母和特殊字符三种组合。

5.2 API接口访问安全

• 不永许未登录直接访问
• swagger界面要关闭, 或者提供登录认证机制

5.3 Web系统访问安全

• 不永许未登录直接访问
• 外部用户必须采用https协议进行访问
• 最好采取Ukey+CA证书进行登录认证

5.4 防火墙安全

有一个定时任务在监测防火墙规则的启用, 但要注意以下几点：

• 定时任务的频率，太短影响运维任务执行，太长给黑客入侵给足空间；
• 定时任务内容的更新，新增规则是否及时写入脚本；
• 定时任务发现未上防护措施，应发告警信息并写入日志，管理人员应判别是正常运维的善后处理未完成，还是系统被入侵规则被改变。前者要对多次违规者批评教育，避免技术人员依赖监控脚本，后者是及时发现入侵及时处理。

5.5 服务器漏洞扫描

对开发环境和线上环境的服务器群定期进行漏洞扫描，尽量多组合漏扫工具，有针对性进行扫描，至少对一下目标进行扫描：

• Linux操作系统，以及附带的系统软件，如OpenSSL、SSH等;
• 所有Web系统，以及相关软件，如SpringMVC/Springboot开发的系统、Go开发的API系统、Python开发的API系统等;
• 所有引入的开源系统，如docker、hadoop、kafka、rabbitmq、redis、elasticsearch、minio、seaweedfs、milvus、nginx、traefik、consul等;
• 所有自己开发的业务系统.

在开发环境搭建一个全真的覆盖线上环境配置的环境，实时或定期进行漏扫，发现问题及时全网修复。

5.6 服务器安全审计

• 对Linux系统日志进行审计
• 监控所有Linux系统登录和注销
• 跟踪用户帐户和组的所有更改
• 监控在网络中插入或取出可移动设备的所有实例
• 跟踪所有sudo命令执行
• 识别在每个严重性级别发生的所有事件，包括关键事件
• 跟踪一些其他事件，例如，会话连接、NFS安装等等

5.7 数据安全备份

关键数据进行备份，并进行物理隔离:

1. 用专门一台机器作为备份机，进行热备份，或短频率备份。备份机坚持最小软件安装原则，仅仅备份功能，只有它向其它服务器发起连接，不提供其它任何端口让外部链接, 减少被攻击的可能性。
2. 定期进行冷备份，从备份机复制到磁盘或光盘进行保存，比如1个月一次。

关键数据包括MySQL里的一些数据表，consul里的配置文件, 系统源代码和文档等，非关键数据就是不断增长的采集日志数据，这种数据量太大且不停增长。
线上平台关键数据和开发环境里关键数据都要做好备份措施。