如何构建一个可靠、可用的安全报警系统
2012-07-19 15:17
399 查看
做安全业务也有两年多了,一直在思考如何才能跳出救火队的角色。如果能够设计一个优秀的安全报警系统,及时通知相关人员将损失减小到最低,那么安全问题带来的危害就会大大降低。
对于一个线上服务器,每天都将面对各种各样的访问,我大致将访问对象分为:正常用户、想手动找出系统bug的“坏人”、漫无目的的黑客(一般是批量扫一个段)、专门来找服务器漏洞的黑客、DDOS攻击者。我们要设计一个报警系统其实很容易,但是如果仅仅是一个小孩扫描了下我们的服务器端口就弹出个报警,我想运维人员肯定要疯掉。这时就要分析下哪些是我们无法忍受的hack行为。根据业务的种类可以为安全设置一个级别,比如分成高中低三种,当然还可以细化,有点类似等保的思想,虽然我觉得等保有点形式化。
举个例子,如果服务器运行着一个互联网企业的应用,企业希望的是自己的业务能够正常对用户服务,核心数字资产不受到威胁。就我观察目前互联网企业遇到的很大一个安全问题是受到DDOS攻击,这种攻击无需了解应用的逻辑bug和程序bug,完全就是一个网络流氓做的事情,这时企业应该如何防范这个问题呢。首先我认为要分析下自己为什么会被别人DDOS,因为现在的黑客已经逐步倾向于追求利益,因此DDOS发起方无非是竞争对手或者是有不满的客户;其次应该多多了解黑客市场的DDOS工具,毕竟知己知彼,方能百战百胜。通过多次的实战,我们会惊讶地发现DDOS发起者大多是一些小孩,他们从网络中搜集到黑客工具,然后傻瓜式地对需要攻击的目标进行攻击。到此我们基本了解了对手的动态,这时我们就可以针对这些特征做出一些监控系统,通过二十四小时不间断地分析,实时地将DDOS攻击给报警出来,及时通知相关人员调整防护策略。
上面一个例子是我工作中根据与黑客多次地交手,不断改进监控系统而得到的。由此可以总结出对于互联网这种开放式的应用,要不根据业务就能做出一个完全好用的监控系统简直就是天方夜谭。经常有人说银行的钱就不会这么容易被黑客弄到嘛,那是自然的!银行的核心数据都是封闭在内部的,这大大提升了攻击的难度,同时银行的监控级别也非常之高,他们可以不计成本地去花钱做监控以及监控分析,最后更是有着刑事法律的约束。而互联网的应用则完全没有上面的特征,这也就是为何会出现这么多黑客的原因了。我做个假设,如果你在网上对别人的系统做个端口扫描,就会被公安带进监狱,还会有这么多黑客吗?当然这个是完全不能做的,如果真的这样,国家的信息安全将永远停滞不前,而别的国家就能随意对我国进行网络战了。。。
很少写这么多,感觉写得好乱啊,下次有什么想法再写吧。
对于一个线上服务器,每天都将面对各种各样的访问,我大致将访问对象分为:正常用户、想手动找出系统bug的“坏人”、漫无目的的黑客(一般是批量扫一个段)、专门来找服务器漏洞的黑客、DDOS攻击者。我们要设计一个报警系统其实很容易,但是如果仅仅是一个小孩扫描了下我们的服务器端口就弹出个报警,我想运维人员肯定要疯掉。这时就要分析下哪些是我们无法忍受的hack行为。根据业务的种类可以为安全设置一个级别,比如分成高中低三种,当然还可以细化,有点类似等保的思想,虽然我觉得等保有点形式化。
举个例子,如果服务器运行着一个互联网企业的应用,企业希望的是自己的业务能够正常对用户服务,核心数字资产不受到威胁。就我观察目前互联网企业遇到的很大一个安全问题是受到DDOS攻击,这种攻击无需了解应用的逻辑bug和程序bug,完全就是一个网络流氓做的事情,这时企业应该如何防范这个问题呢。首先我认为要分析下自己为什么会被别人DDOS,因为现在的黑客已经逐步倾向于追求利益,因此DDOS发起方无非是竞争对手或者是有不满的客户;其次应该多多了解黑客市场的DDOS工具,毕竟知己知彼,方能百战百胜。通过多次的实战,我们会惊讶地发现DDOS发起者大多是一些小孩,他们从网络中搜集到黑客工具,然后傻瓜式地对需要攻击的目标进行攻击。到此我们基本了解了对手的动态,这时我们就可以针对这些特征做出一些监控系统,通过二十四小时不间断地分析,实时地将DDOS攻击给报警出来,及时通知相关人员调整防护策略。
上面一个例子是我工作中根据与黑客多次地交手,不断改进监控系统而得到的。由此可以总结出对于互联网这种开放式的应用,要不根据业务就能做出一个完全好用的监控系统简直就是天方夜谭。经常有人说银行的钱就不会这么容易被黑客弄到嘛,那是自然的!银行的核心数据都是封闭在内部的,这大大提升了攻击的难度,同时银行的监控级别也非常之高,他们可以不计成本地去花钱做监控以及监控分析,最后更是有着刑事法律的约束。而互联网的应用则完全没有上面的特征,这也就是为何会出现这么多黑客的原因了。我做个假设,如果你在网上对别人的系统做个端口扫描,就会被公安带进监狱,还会有这么多黑客吗?当然这个是完全不能做的,如果真的这样,国家的信息安全将永远停滞不前,而别的国家就能随意对我国进行网络战了。。。
很少写这么多,感觉写得好乱啊,下次有什么想法再写吧。
相关文章推荐
- 听讲又有礼:如何构建安全可靠的医院存储系统?
- 如何构建一个高可用的IM系统
- Linux下如何利用Sendmail构建安全可靠的邮件服务器(在家实验成功)
- 如何构建一个简单的CAAS系统
- 如何逐步去构建一个大型网站系统
- 如何构建日请求数十亿次高性能高可用广告系统:微博广告架构解密
- 日志采集框架Flume以及Flume的安装部署(一个分布式、可靠、和高可用的海量日志采集、聚合和传输的系统)
- 9 月 16 日极光开发者沙龙北京站 | 如何构建安全稳定的系统架构
- 创业公司如何构建一个分布式文件存储系统
- 如何构建一个ERP系统(需求分析、系统架构、系统设计、系统编码、测试、交付程序及文文件)。
- 如何设计一个安全的账户系统
- 如何逐步去构建一个大型网站系统
- [转]如何使用国际开源项目构建一个完整的GIS(地理信息)应用系统
- 如何逐步去构建一个大型网站系统 3ff8
- 如何构建一个安全,稳定,高效的互联网平台体系架构
- 如何使用国际开源项目构建一个完整的GIS(地理信息)应用系统
- 如果是你来构建火车票订票系统,你如何实现? ——关于构建安全、稳定、高吞吐量的火车票网络售票系统几个方面
- Flume(NG)架构设计要点及配置实践 Flume NG是一个分布式、可靠、可用的系统,它能够将不同数据源的海量日志数据进行高效收集