企业安全之如何开发安全性架构？

什么是安全性？

安全包括网络层面、传输层面、系统层面、应用层面、数据层面的安全，要考虑安全性架构需要从这5方面入手，当然最不能忽视的还是业务本身。

如何构建网络层面的安全？

代理服务器，用于隐藏真实应用服务器地址，当然这只是很小的一部分，网络层面发生的入侵事件一般以DoS攻击为主，而DoS指向是通过DNS解析或者真实IP而判定的，那么隐藏真实IP有助于迷惑DoS攻击目标。而通过DNS解析到的一般采用CDN或者SLB负载均衡来达到抗DoS的效果，如果涉及云架构，基础云防护就有抗DDoS黑洞，会把超过阀值的ip拉到运营商黑洞，从而解决DoS攻击产生的威胁。

如何构建传输层面的安全？

在数据传输层面，通常发生的是监听行为，或者中间人攻击，这里其实涉及到保密性架构的东西，我们假如业务是使用的HTTP协议，那么明文的HTTP流量显然是不安全的，通过wireshark、burp等工具都可以轻松抓到，这时个人信息就一览无余。那么使用了HTTPS就能解决这个问题吗？这种说法并不绝对，早在多年以前SSL加密算法就爆出安全漏洞，随后推出TLS，目前TLS1.0也已经被广大解密极客突破，信息赤裸裸的被泄露，2018年PCI DSS推出3.2.1版本，已经明令TLS1.1为过检的必要项，而且是最低要求，也从侧面证实了解密极客团队的实力。仅采用HTTPS的方式是远远不够的，重要信息的加密应该通过更复杂的加密手段来进行，这块留在保密性架构中叙述。

如何构建系统层面的安全？

近日Linux出现0day漏洞，TCP-sack存在重大漏洞，可利用此漏洞造成DoS攻击，使服务器瘫痪，具体信息详见：https://access.redhat.com/security/vulnerabilities/tcpsack

操作系统一直不太平，包括Windows、Linux、MAC OS其实都是在不断的修复与曝光中，像这次的TCP-sack内核漏洞等等，我们没有办法提前发现操作系统底层的为止漏洞，但是我们可以很大程度上预防这样的漏洞，那么归根结底还是隐藏目标，在隐藏目标的同时要发现系统上存在的异常，并且进行日常监控。