十年安全路 信息安全的从1到10 信息安全总监 凌云 2016.4 About Me 凌云 10年信息安全从业经验 待过乙方：绿盟科技 也待过甲方：1号店 中国平安等 目前在携程担任信息安全总监 关注电商业务安全，企业研发安全 信息安全，安全产品设计及合规审计 CISA、ISO27001LA认证 目录 I. 信息安全的从1到10 II.运维安全之路 III.应用安全之路 IV.业务安全之路 V. 一起在路上 信息安全的从1到10 先分类 •运维安全 •应用安全 •业务安全 •安全合规 再摸底 •访谈 •扫描 •乌云 定目标 走起 •同行交流 •我在哪里 •我要去哪 里 •招人 •单点突破 •预埋伏笔 信息安全的从1到10 携程一年时间20 +人 成长到 40人 50%的人员会开发python,Java。 运维安全 运维安全工程师，研发工程师 应用安全 web安全工程师，无线安全工程师 业务安全 安全分析工程师，安全开发工程师 安全运营 安全运营人员，安全合规 服务携程3000+人的技术团队。 目录 I. 信息安全的从1到10 II.运维安全之路 III.应用安全之路 IV.业务安全之路 V. 一起在路上 运维安全 ü ü ü ü ü ü ü ü ü 定运维安全规范 安全域划分 巡检弱口令、漏洞 新增主机扫描 日志收集分析 蜜罐 OSSEC APT防御 …… 能否加大入侵难度 能否第一时间发现入侵 办公网日志入Storm 规则实时分析 数值化反映 当前安全情况 APT监控 目录 I. 信息安全的从1到10 II.运维安全之路 III.应用安全之路 IV.业务安全之路 V. 一起在路上 安全开发生命周期 SDL 什么是SDL？ Security Development Lifecycle from Microsoft 军事学说法：纵深防御 培训 安全制度 技术培训 意识培训 需求分析 安全需求 风险识别 娱乐化解读：塔防 产品设 计 安全设计 风险分析 威胁建模 编码 开发安全手册 安全工具 安全API 测试 安全测试 渗透测试 维护 安全响应 安全预警 事前管控，抓大放小 1.1密码支持 1.身份鉴别 1.2账户策略 1.3辅助安全设备 2.授权管理 3.访问控制 2.1 功能授权 3.1 系统内访问控制 3.2 系统外访问控制 4.1 WEB应用访问日志完备性 4.2 用户认证日志完备性 4.系统安全审计 4.3 应用操作日志完备性 4.4 后台日志完备性 4.5 日志信息安全存储 5.通信安全 5.1 通讯协议 5.2 通讯安全认证 6.1 用户数据的输入与输出 6.数据安全 6.2 用户数据保密性 6.3 用户数据完整性鉴别 6.4 用户数据的存储 7.1 原发抗抵赖 7.抗抵赖 7.2 接收抗抵赖 7.3 数字证书 8.软件容错 9.资源控制 8.1 降级容错 8.2 受限容错 9.1 内部资源控制 9.2 外部资源控制 登录注册风险 注册 1. 遍历已注册手机号 2. 允许弱密码注册 3. 抢注他人手机号 4. 绕过短信验证 5. 注册时可短信炸弹 6. 批量注册 7. 注册处存在SQL注入、跨站脚本、跨站请求欺骗类漏洞 8. 注册时图形验证码可绕过 9. 邮箱注册时验证值可猜解 登录 1. 登录处可SQL注入 2. 登录处图形验证码可绕过 3. 登录时短信验证码各类问题，如正确的短信验证码在反回数据包中、爆破、短信轰炸、 4. 登录错误提示过于详细 事中自动化，扩大覆盖面 CMDB Git代码库 JIRA DNS服务器 监控？ 我们来点更高大上的黑科技 ——— 被动扫描，主动感知 每一个员工都是安全测试工程师 开发测试人员第一时间访问测试环 境新功能URL 抓住每一个新功能 水平权限自动化检测 通过自定义Cookies访问含有订单信息的页面 自动化检测水平权限问题