网络安全架构设计

没有绝对的安全，网络安全的核心是对抗，对抗的核心是知己知彼，不断更新始终强于攻击者，从而提高攻击者成本，促使攻击者攻击我们收益底下，不战而屈人之兵。

一是风险发现与治理。依托默认安全机制，我们能够实时感知各类业务变更，结合自动化扫描、AI能力与安全专家判断，实现大部分风险在业务上线前规避，做到“上线即安全”。此外，业务上线后还会进行持续巡检，确保安全闭环。

二是纵深防御体系建设。通过安全平行切面覆盖应用、主机等多个层面，实现对业务的透视感知与实时干预。基于内部丰富的数据能力，我们构建了“可信防御”体系，从传统基于攻击特征的防御模式，升级为仅允许业务“预期行为”运行的机制，从根本上抵御0day等未知威胁，解决防御总是落后攻击一步的痛点。

三是风险感知与响应。我们基于图计算引擎，融合海量日志进行多维分析，并通过自动化脚本编排，形成高效、弹性的安全响应能力，确保风险一旦出现，能够快速定位并处置。

四是情报驱动与实战检验。我们通过安全有效性验证、SRC平台、安全众测、内部蓝军演练及外部红蓝对抗，持续提升面对真实攻击的防御能力。同时，基于全球威胁情报，实时掌握APT攻击、最新漏洞及攻击基础设施动态，围绕真实攻击路径开展针对性实战演练与复盘改进。

• 从不同细分方向都抽象融合
• 网络安全和数据安全是一件事。
• 网络安全是一个随着互联网技术发展而起来的行业，有很多新的技战术，但与所有安全一样，战略是极其相似的。比如军事、生物安全、核安全等等。

安全资产画像

资产是后续一切工作的基础。

• 全面
  • 基于内外部视角交叉验证。
  • 内部视角不仅仅是通过运维等基础渠道汇总，基于安全视角从底层采集。
• 实时
  • 对于不同访问范围资产采取不同的时效。
• 准确
  • 推动修订所有同类不准确问题。
  • 归属、分类分级、安全属性等
• 串联
  • 所有资产都不应该是独立存在的。
  • 业务访问全流程（账户/设备/业务/域名/IP/端口/服务/应用A/应用Z/数据库/表/字段/行）
  • 数据流程全流程（采集/加工/储存/消费/输出/销毁）
• 易用

风险发现治理

风险到底是什么？安全风险的成因源自于产品设计与研发实现过程中未考虑好预期外的行为处理，这些预期外的行为会导致安全性和稳定性风险。

相较于外部攻击者，我们最大的优势是上先前的黄金时间段，应避免在上线后和世界上所有的攻击者在统一起跑线竞争。风险越早发现，越早解决，成本越低。目标应该是不写出漏洞，所有风险在上线前规避掉，实现上限即默认安全。

• 安全意识提升。通过岗位职能差异，按需提升安全意识。通过全渠道安全宣导内容推送，实现全员对安全的高度重视，打造守土有责的文化氛围。了解各种历史发生的安全事件和攻击方式，研发要避免写出风险，运营要避免配置风险，所有人员避免社工钓鱼等攻击手法。
• 感知所有实体的变更。安全并不是独立存在的，是由于变化产生的。不仅仅是网络资源、储存资源、需求设计、应用迭代，也包括策略配置等。
  • 重点项目贴身保障。
• 利用各种优势能力发现风险。自动化扫描器解决各种通用基础风险，人工安全评估以及测试一些需要理解业务的复杂风险，AI进行兜底。
• 防护能力变更时默认集成。所有的防护能力在上线前都默认覆盖上，而非上线后推动覆盖。
• 安全准入卡点。没有经过安全评估的、评估发现风险的、没有接入防护能力的都将被识别出来，并能够进行卡点。
• 上线后复核与巡检。上线后的应用接口等是否都在上线前评估过，并进行二次风险review，避免遗漏。同时各种自动化能力常态对生产环境进行巡检扫描。

依赖以下理念：SDLC、DevSecOPS、攻击面管理、内生安全、风险闭环、安全编码规范、研发安全检查项、基于甲方视角的漏洞发现、个人如何避免被APT攻击、基于加密资源ID缓解水平越权影响

依赖以下安全能力：IAST、DAST（一种收集黑盒扫描规则的思路）、SAST、安全修复组件、统一认证与权限、水印、脱敏组件、漏洞管理平台、电子邮件安全实践、密码安全实践、侧信道安全

可信纵深防御

安全没有一招鲜，没有银弹能防护所有风险。

上线前风险一定会出现遗漏，所有风险要能有防护能力，且有多层防护能力。

• 可信：充分利用甲方对内部数据的优势，从基于攻击特征的拦截升级为基于预期行为的可信防御。
• 多层：不存在绝对安全的单点防线，历史上被寄予厚望的安全单点防线都被突破过。要单点增强，多层防御，交叉补位，发挥各层优势，为下一阶段的感知响应赢得时间。

可信纵深防御：只允许符合预期的行为运行，摆脱攻防不对等，应对高级和未知威胁。

• 应用行为可信。
• 网络访问可信。
• 接口调用可信。
• 安全容器。
• 数据访问可信。

常规防护

• 移动端（APP/小程序/H5）：防逆向（APKTool、dex2jar、JEB、IDA、readelf），防篡改（开发者签名校验/代码资源配置文件完整性校验/数据透明加密及设备绑定/配置数据库文件加密/资源文件加密），防调试（防进程线程附加/防进程注入/防Hook攻击/防内存Dump/App完整性保护/SO数据动态清除/模拟器检测），防窃取（本地数据加密/通信协议加密/密钥白盒加密）；设备指纹；安全SDK；网络组件；
  • WebView JSAPI权限控制方案（高权限域名XSS/iFrame主体盗用/条件竞争）
• 网络层：WAF、防火墙、HTTPS、云桌面、SASE、DNS Filter、入网网关
  • DDoS/CC，高防EIP，可通过双网卡绑定自动切换高防来降低成本。
• 主机层：HIDS、出网网关、SDN
• 身份识别与访问控制：SSO、统一权限系统、IAM、用户名密码、密码键盘、MFA、堡垒机/跳板机、数字证书、验证码、指纹、LDAP
• 应用与系统层：RASP、Service Mesh、DB Mesh、Security Header、KMS、数据加密
• 数据层：数据脱敏、数据加密（全盘加密/传输加密/储存加密）、数据备份、防篡改
• 办公网络/终端：Wi-Fi、VPN、EDR、DLP、全盘加密、MDM/MAM、杀毒、补丁、上网行为、云桌面/浏览器、信创电脑
• 云：K8S、VPC、AK/SK、RAM、云产品安全准入、账号安全、KMS
• 物理层：园区物理安全，机房物理安全；监控摄像、门禁、人脸、IC/ID卡

依赖基础技术：云原生、零信任、安全平行切面、一种去掉企业密码的方案

威胁感知响应

安全威胁情报：收集攻击背后的信息（C2）。

知己知彼，建立全域全图黑产技术对抗情报。

• 情报收集：
  • 为用户提供反馈入口：SRC、举报
  • 黑产情报：通过暗网/黑市/Telegram等渠道，数据泄漏、买卖账号、羊毛点、社工库等
  • 漏洞情报：CNVD/CVE/厂商公告/安全社区等
  • 舆情情报：社交网站/黑猫投诉等
  • 生态情报：商业情报服务、SRC、特殊渠道
  • 攻击情报：IP库、手机号、邮箱、域名库、恶意软件样本、银行卡、设备等；打码平台、VPN平台、DDoS平台等；新型攻击方法研究；
  • 内部情报：业务异常/投诉反馈/异常感知等
• 情报分析与应用：事件深度调查还原（画像/行为全链路/设备资金关联扩线/原因定位/特征挖掘）、漏洞应急响应、产品和政策完善、防护策略增强等。

感知覆盖

能看见，才能防。基于图数据引擎，实现海量日志融合多维分析。

• 移动端（Android/iOS/小程序）：环境、指纹、行为
• 网络：Web/DNS/NAT，DDoS、CC、攻击探测、漏洞、扫描、爬取、爆破、指纹等。
• 应用（Java/Python等）：邮箱/VPN/主机日志，命令、网络、文件、漏洞、内存马、钓鱼等
• 数据（OSS/DB/MSG）：无鉴权、AK泄漏、未脱敏、特权账号、遍历、时序异常、未授权访问、身份异常、拖库等
• 电脑（Windows/macOS/Linux）：PAN、EDR、DLP、SEP、网络等。
• 物理层：入网、门禁、摄像头。非法入网、无人值守设备、mac伪造、Wi-Fi钓鱼、U盘病毒等。

威胁研判

通过攻击者及使用的攻击信息和攻击链路，识别出攻击意图。

• 攻击者：真实身份（姓名/身份证/手机号）、情报关联信息（所在公司/行业/职业等）
• 攻击信息：IP、账号（手机/邮箱）、攻击工具等
• 对什么做了什么：当前行为序列、历史行为
• 意图判断：自动化探测扫描、白帽子挖漏洞、漏洞利用、定向针对性攻击

响应止血

没有进攻和威慑的被动防守注定是失败的，让对手相信攻击代价是超过收益的。

• 前置取证
• 柔性处置
• 实时止血
• 弹性响应：如何实现7×24小时告警处置
• 溯源攻击者：
  • 如何通过网络 ID 溯源到真人
  • 0号嫌疑人、基于图的多因素关联推理
  • 攻击特征、攻击作息时间
• 诱骗反制：一些常见反制攻击者的思路
  • 通过投放诱饵（MySQL/LDAP/VPN等）使其下载执行或连接
  • 挖掘常见安全攻击工具的RCE漏洞
• 威慑打击：立案打击、民事诉讼、刑事诉讼、媒体报道
• 复盘提升

专项风险实践：爬虫与反爬

安全实战检验

安全水位是一个不断变化、此消彼长的过程，维持某个安全水位是有成本的。

没有绝对的安全，安全是相对的。

• BAS（安全有效性检验）
• 紫军实战演练：自动化模拟真实攻击，检验所有安全能力面临真实攻击时实际防护效果。
• 充分利用白帽子力量
  • SRC（安全应急响应中心）
  • 安全众测、高倍奖励活动等
• 蓝军双盲实战演练
  • 盗取数据和资金演练（社工钓鱼、0day漏洞、业务滥用、供应链等）
  • 黑灰产演练（薅羊毛、欺诈、洗钱、非法内容等）
  • 预设场景演练（各种环境沦陷、内鬼、勒索等）
• 外采头部安全公司红蓝演练
• 积极参与各级安全实战比赛
  • 正确认识国家实战演练的价值

安全效果和结果

善战者，无赫赫之功。安全绝大部分的时候价值是没有太多亮眼的成绩，默默在背后守护安全。

专家驱动安全运营，数据驱动安全运营，智能驱动安全运营

安全行业贡献

如果只是一家企业安全水位高，价值与意义是有限的。就像阿里巴巴的愿景，让天下没有难做的生意。作为头部企业，理应承担对应的社会责任，推动合作伙伴、行业安全水位的上升，是一件非常有意义的事情。

• 安全赛事：通过高价值漏洞挖掘，参加各类实战比赛并取得好成绩，建立攻击威慑能力。
• 高校合作：针对重难点安全问题，与高校科研机构开展前沿重难点安全课题研究。
• 安全专利：针对存在技术壁垒的创新点，储备安全专利。
• 安全标准：主动或参与安全标准建设，通过标准推动行业践行最佳实践。
• 安全分享：将安全实践经验、安全理念、安全趋势等，通过自身或和行业企业、协会、咨询组织，以白皮书、安全会议（KCON、HITB、MOSEC、CSS、SSC、NSC、ISC、TENSEC、HACKPWN、UCON、GEEKPWN、HITCON、FIT、EISS）、安全文章、安全论文等方式与行业共享。