360網(wǎng)絡(luò)安全防護(hù)體系建設(shè)經(jīng)驗(yàn)分享

360網(wǎng)絡(luò)安全防護(hù)體系建設(shè)經(jīng)驗(yàn)分享v10第一頁，共25頁。目錄1安全理念23防護(hù)體系技術(shù)團(tuán)隊(duì)第二頁，共25頁。301安全理念第三頁，共25頁。安全理念：一、二、三、四360安全理念四個(gè)假設(shè)三個(gè)陣地一個(gè)中心兩個(gè)原則第四頁，共25頁。安全理念：一個(gè)中心辦公網(wǎng)數(shù)據(jù)中心VPN網(wǎng)絡(luò)整體防護(hù)10多個(gè)Lan辦公網(wǎng)絡(luò)80多個(gè)數(shù)據(jù)中心VPN網(wǎng)絡(luò)第五頁，共25頁。安全理念：兩個(gè)原則攻防平衡原則

現(xiàn)實(shí)社會(huì)中，攻防本質(zhì)是成本的對(duì)抗防守就是在受保護(hù)的目標(biāo)價(jià)值、安全投入、性價(jià)比三者之間做tradeoff攻防之間是動(dòng)態(tài)的平衡，攻擊在不斷變化，決定防守需要持續(xù)升級(jí)，否則將失去平衡自主可控原則

真正的安全來自于可控的安全團(tuán)隊(duì)加上可控的安全工具一手抓安全防護(hù)一手抓安全工具的自主開發(fā)第六頁，共25頁。安全理念：三個(gè)陣地三大戰(zhàn)役第一道防線：爭(zhēng)奪邊境線產(chǎn)品對(duì)外服務(wù)員工重要服務(wù)器重要業(yè)務(wù)系統(tǒng)重要數(shù)據(jù)監(jiān)控審計(jì)大數(shù)據(jù)分析最后一道防線：反潛伏縱深防線：保衛(wèi)大城市第七頁，共25頁。安全理念：四個(gè)假設(shè)如何發(fā)現(xiàn)漏洞利用行為如何檢測(cè)攻擊行為系統(tǒng)一定有未發(fā)現(xiàn)的漏洞系統(tǒng)一定有已發(fā)現(xiàn)但仍未修補(bǔ)的漏洞員工并不可靠系統(tǒng)已經(jīng)被滲透及時(shí)發(fā)現(xiàn)漏洞強(qiáng)制修補(bǔ)漏洞如何發(fā)現(xiàn)系統(tǒng)已經(jīng)被滲透如何處理已經(jīng)被滲透的漏洞如果重現(xiàn)攻擊過程如何溯源如何發(fā)現(xiàn)員工的異常行為如何檢測(cè)并阻斷來自內(nèi)部的攻擊第八頁，共25頁。安全理念：想攻擊者所想Thinking

as

the

Attackers第九頁，共25頁。1001防護(hù)體系第十頁，共25頁。防護(hù)體系整體構(gòu)建網(wǎng)絡(luò)訪問控制統(tǒng)一管理平臺(tái)

天眼威脅感知系統(tǒng)無線入侵檢測(cè)與防護(hù)系統(tǒng)Web安全掃描系統(tǒng)Webshell白盒掃描系統(tǒng)Andriod漏洞半自動(dòng)化掃描系統(tǒng)

安全掃描系統(tǒng)第三方安全漏洞監(jiān)測(cè)系統(tǒng)

辦公網(wǎng)安全審計(jì)系統(tǒng)天擎天機(jī)雙因子認(rèn)證密碼破解機(jī)

堡壘機(jī)數(shù)據(jù)安全審計(jì)系統(tǒng)服務(wù)器日志分析平臺(tái)Webshell監(jiān)控平臺(tái)第一道防線縱深防線最后一道防線第十一頁，共25頁。員工：安全是責(zé)任員工是第一道防線也是最脆弱的防線制度隔離強(qiáng)制策略必須安裝360天擎24小時(shí)必須重啟一次終端有漏洞必須修復(fù)

密碼最少15位……最小化訪問權(quán)限IDC與辦公網(wǎng)隔離辦公網(wǎng)與辦公網(wǎng)隔離辦公網(wǎng)內(nèi)部主機(jī)間隔離……不妥協(xié)！

小問題警告（事不到三）

大問題辭退（零容忍）

問責(zé)誅連到主管VP問責(zé)第十二頁，共25頁。密碼破解設(shè)備GPUGPU密碼破解機(jī)分布式彩虹表存儲(chǔ)陣列密碼碰撞彩虹表MD5碰撞

彩虹表規(guī)模超5.5萬億

兩臺(tái)GPU服務(wù)器24小時(shí)不停機(jī)碰撞秒殺“弱口令”密碼管理規(guī)定口令長(zhǎng)度最少15位

凡被破解的密碼均視為弱口令第十三頁，共25頁。服務(wù)器與業(yè)務(wù)系統(tǒng)監(jiān)控全流量聽包、存儲(chǔ)大數(shù)據(jù)分析沙箱實(shí)時(shí)檢測(cè)

補(bǔ)洞實(shí)時(shí)掃描線上系統(tǒng)漏洞抓取安全論壇最新發(fā)布漏洞連夜分析影響，迅速修復(fù)日志分析修改shell，發(fā)送系統(tǒng)日志到日志服務(wù)器

利用大數(shù)據(jù)技術(shù)識(shí)別日志異常并報(bào)警堡壘主機(jī)統(tǒng)一登陸認(rèn)證

集中運(yùn)維審計(jì)異地容災(zāi)

三地機(jī)房在線同步

負(fù)載均衡，災(zāi)難調(diào)度離線備份作為后援第十四頁，共25頁。核心監(jiān)控設(shè)備天眼：沙箱+大數(shù)據(jù)分析鷹眼：一網(wǎng)打盡Web漏洞監(jiān)控100Gbps的實(shí)時(shí)帶寬每天存儲(chǔ)50TB的流量數(shù)據(jù)沙箱分析平均延時(shí)10秒每天存儲(chǔ)的日志條數(shù)4000億第十五頁，共25頁。核心將控設(shè)備：服務(wù)器日志異地存儲(chǔ)與分析系統(tǒng)1601線上服務(wù)器日志存儲(chǔ)與分析服務(wù)器服務(wù)器shell日志自動(dòng)上傳修改過的服務(wù)器shellShell日志遠(yuǎn)程存儲(chǔ)Shell日志大數(shù)據(jù)異常分析第十六頁，共25頁。產(chǎn)品：源代碼/二進(jìn)制程序板子半自動(dòng)檢查情況一：開發(fā)人員主動(dòng)提交上線程序及代碼情況二：開發(fā)人員私自將所開發(fā)的程序上線服務(wù)器上的監(jiān)控程序會(huì)自動(dòng)將新增、變化的文件送到代碼檢查服務(wù)器進(jìn)行檢查代碼檢查服務(wù)器C、C++、PHP……Web漏洞掃描Webshell掃描Andriod漏洞掃描漏洞掃描后門掃描….第十七頁，共25頁。網(wǎng)絡(luò)訪問控制統(tǒng)一管理平臺(tái)R2621R3680ER3680ENE08EE100IDC辦公網(wǎng)R2631ER2631E360大廈R3680ENE40R3680E分支內(nèi)部線路VPNVPNVPN防火墻管理員網(wǎng)絡(luò)訪問控制統(tǒng)一管理平臺(tái)配置ACL第十八頁，共25頁。Wifi終端設(shè)備：受控使用只有注冊(cè)IMEI才能使用公司內(nèi)部的Wifi上網(wǎng)只有使用域賬號(hào)才能連接上公司內(nèi)部的Wifi可以通過鷹隼系統(tǒng)定位到Wifi終端的物理位置綿羊墻第十九頁，共25頁。Wifi接入設(shè)備（AP）：入侵檢測(cè)與防護(hù)鷹隼：無線AP入侵檢測(cè)與防護(hù)實(shí)時(shí)掌握360辦公區(qū)內(nèi)的所有熱點(diǎn)對(duì)非360提供的熱點(diǎn)進(jìn)行阻斷終端關(guān)注針對(duì)AP的口令破解行為360公司內(nèi)部禁止私建Wifi，包括360隨身Wifi第二十頁，共25頁。BYOD遠(yuǎn)程辦公：數(shù)據(jù)隔離與加密天機(jī)：沙箱系統(tǒng)隔離辦公數(shù)據(jù)加密VPN通道加密物理定位、遠(yuǎn)程鎖定、擦除數(shù)據(jù)第二十一頁，共25頁。GSM？GSM第二十二頁，共25頁。2301技術(shù)團(tuán)隊(duì)第二十三頁，共25頁。安全魔方團(tuán)隊(duì)（信息安全部）