应用安全治理思路和实践，从零基础到精通，收藏这篇就够了！-CSDN博客

本文链接：https://blog.csdn.net/Python_0011/article/details/144684030

图片来自 https://blog.csdn.net/fctel/article/details/118486558

1 安全产品太多，如何选择

    上篇说到，《[应用安全为什么老是做不好](https://mp.weixin.qq.com/s?__biz=MzkzMTgyMzQ1NA==&mid=2247483662&idx=1&sn=36052466b8411816c055335d83d065e8&chksm=c2646b3ff513e229c20aa71f00fb0808edc977275aa909a629e08b45e3894137e0248ef528c1&token=456601142&lang=zh_CN&scene=21#wechat_redirect)》， 是因为我们忽视了重要的一点，就是应用安全是需要治理的，那么作为管理者/网络安全负责人你想怎么治理应用安全，以下药方（产品/服务）都能够提升应用的安全能力，在经费和人力有限的情况下，你应该先选择哪些？

RASP，RASP是Runtime Application Self-Protection（运行时应用自我保护）的缩写，是一种应用程序安全技术。能够检测和切断命令执行、文件访问、反序列化、JNDI、SQL注入等入侵行为。需要安装在主机侧，需要注入到例如java、php等中。
安全左移SDL，将安全测试融入安全开发生命周期（SDL）过程中，在开发人员编码或者测试阶段就可以发现漏洞，提早修复。这里顺便提一下，为什么说是安全坐移，是因为安全工作分为事前（安全培训、安全开发等），事中（安全防护，安全监测等），事后（溯源调查，应急响应等），安全SDL工作左移到事前了。
渗透测试是一种黑客攻击模拟演练服务，自动化漏洞扫描工具结合人工服务进行。
WAF，Web Application Firewall，是对HTTP/HTTPS的请求做安全检查和监测，为Web应用提供保护。
IPS/IDS，入侵防御/监测系统，加密流量越来越多，能监测的东西越来越少，等保合规要求
零信任应用访问安全，这里指企业所有应用（包括隧道应用，WEB应用，小程序应用，H5应用，APP应用等）的访问安全，包含零信任VPN。

2应用安全的核心诉求和需求

    作为管理着众多应用的企业来说，可能已经买了很多安全设备，但是WEB上的一些核心问题没有得到根本性的好转。

    我们先再来梳理下您应用安全的核心需求和诉求

知道应用暴露在互联网风险大，但不知道还有多少其他应用暴露在互联网，如何搞？
知道应用开发商能力比较弱，各个层面都会有0day,不知道如何解决？
最终用户需求是不被攻击、不被通报，而且用户体验不能差。

3应用安全的基本优先级

    这个最佳的药方要如何抓？

    从攻防的实践角度来讲，我们必须先要解决应用访问过程中的安全问题（应用访问安全），这是最为重要的第一道防线.这是一个从外到内的一个访问过程，所以圈内也把这个流量叫做**南北向流量**。在解决应用访问安全的过程中，可以做渗透测试前后对比。假如要过等保三级，就需要配置IDS/IPS。等应用访问安全问题解决差不多了，可以考虑在重要系统的主机侧安装RASP防御。再有余力的话，可以试着引入安全SDL，提升软件开发的安全质量。

4 应用访问安全如何做

    应用访问安全如何做，传统的做法是没有连通的应用上VPN，WEB应用上WAF。这种思路导致了 上篇中 《应用安全为什么老是做不好》中提到诸多问题。本着攻防实践效果出发，既然应用漏洞/0day没有办法避免，对于企业应用，我们是否可以把身份校验的工作前置，只有进入了该虚拟身份网络后才能够提供服务。这样应用就相当于在一个虚拟内网中了，有漏洞/0day应用我们也可以慢慢解决了，无需半夜爬起来打补丁了。这个就跟零信任理念非常一致，默认不信任，始终校验，我们把这个产品品类称为**零信任应用访问安全**。对于类似官网的匿名流量应用，还是接入WAF。

5应用安全七问

第一：零信任应用访问安全为什么最近被提出来？

零信任概念本身是在2010年提出的，为什么国内最近几年才开始推这个品类？这是因为第一：攻防已经到了组织间的对抗，随着应用越来越多，越来越复杂，不这么搞没有办法防御了。第二：因为从概念到落地需要时间，国内包括我们在内的一些安全厂家通过努力，终于形成了一些最佳实践方案，产品也越来越成熟，越来越多的客户家开始接受这样的理念和应用管理方式。

第二：应用要分类吗？

目前应用要分类处理

1:类似官网的匿名流量应用
2:企业内部应用，例如OA等

不同的类型需要不同的防御手段。官网类应用接入WAF。企业内部应用（可包括官网后台）接入零信任应用访问安全。为了用户更加的便利，体验更好，相信不久的未来零信任应用访问安全会和WAF融合。

第三：身份从哪里来-统一身份

一些稍微大一点的公司已经自己建设了**统一身份认证**系统（含SSO单点登录），现在开源的统一身份认证也不少，需要让零信任访问安全系统支持对接企业统一身份认证系统。假如公司没有统一身份认证系统的话，零信任访问系统应该能够支持钉钉、企业微信、飞书等账号体系作为认证源，并且作为小型统一身份认证系统提供给企业WEB应用单点登录能力。便于零信任访问安全与应用账号体系打通，一次扫码登录，所有其他应用无需登录，用户体验大大提升。当做互联网暴露面收敛场景，一般会覆盖到全体员工，这时候零信任访问安全与应用账号贯通是必须要解决的问题，影响到项目落地成败。

第四：企业应用种类非常多，如何搞？统一应用接入

企业内部应用全部接入零信任访问安全，很多企业应用种类有非常多，那么零信任访问安全应该统一支持各种应用的接入能力，隧道应用（零信任VPN），钉钉、企业微信、飞书等超级APP H5应用接入，微信小程序接入，WEB应用接入，CDN的WEB应用接入，各种SDK接入等。让所有的应用访问在同一个控制平面来管理。

第五：隧道应用和WEB应用都有如何操作？统一支持4层网关和7层网关

传统VPN只管4层应用，也就是4层网关，当前所有应用（上面说到的各类应用）的互联网暴露风险都是巨大的，当前用户的安全需求等级和管理方式差异较大，例如有的用企业WEB应用接入7层网关，但是希望有些员工或者外包访问该应用的时候是需要安装客户端（增强安全性）。所以4层网关和7层网关的融合是一个大趋势。

第六：公司有多云/混合云，能够统一管控不？

零信任访问安全要能够接入所有的企业应用，就必须支持多云分布式架构，而且当多云下内网IP地址冲突的情况下，还能够提供用户无感的应用访问体验。

第七：安全性和稳定性如何？

零信任访问安全作为唯一的互联网暴露面，他自身的安全性就显得无比重要，这就考验各家的安全功底了。

零信任访问安全作为所有应用的接入平台，服务全公司员工和外包，稳定性就变得无比重要，需要考虑高可用方案和逃生方案。

6用户视角看该平台是什么

从技术上来看，该平台是零信任应用访问安全这个品类。
从流量层面来看，该平台已经是所有企业应用的统一流量入口。
从用户角度来看，其实演变成了企业应用统一网关与安全发布平台，是应用安全的中台，赋能企业的每一个应用。
从功能上来讲，我们把该平台定义为集零信任VPN、设备管控、应用门户、最小化权限访问、互联网暴露面收敛、IOT安全接入、统一身份认证等一体化应用访问安全平台。

7与平台配套的管理制度

**产品制度化，制度产品化**，为了更好地做好企业应用安全，我们需要给企业出台一些**企业应用开发要求**和**企业应用安全发布规范**。

1企业应用开发要求

为了避免开发的应用接入不了安全发布平台，也避免因为验收完后需要改造造成的二次费用问题，需要对企业应用开发做一些简单要求，例如要使用统一账号体系，不能自建账号体系；不能写死域名/IP和端口等。

2:企业应用安全发布规范

为了避免影子资产，避免资产管理失控，在互联网上发布的应用必须发布在安全发布平台内进行服务，否则不予验收。



以上两个简单的管理要求，就可以让您的应用安全的水位整体上大大地提升，关键还能省钱。

8 用户体验

假如能够让企业慢慢做到习惯应用发布时候接入该平台，那么“两高一弱”（高危漏洞、高危端口和弱密码）的问题会得到根本性解决，甚至即使应用没有做多因子认证该平台可以帮应用配置出这个能力，无需应用改造。而且用户体验反而会提升，对于普通使用用户来说，扫码一下就可以登录应用门户，你能看到的应用就有权限，看不到就没有权限，点击应用，无需输入额外的应用密码就单点登录了应用。零信任访应用问安全平台默默把安全嵌入在用户的访问的各个过程中（覆盖虚拟内网设备准入过程，用户登录过程，访问应用过程以及持续的校验过程等），有问题才会去打扰用户，这样体验是比较好些。

9写在最后

未来的网络数据安全产品一定是融合产品，零信任应用访问安全平台也是一个融合平台，它是4层网关和7层网关的融合，是网关能力和终端能力的融合，是安全和体验的融合，在一个平台中构建出相对有厚度的纵深防御能力，融合是为了用户体验更好，为了安全效果更好。在解决应用安全这个问题上，越来越多的企业开始认识到零信任应用访问安全平台的重要性。我们也一直思考和实践在新时代下如何低成本高效果解决应用安全问题。我们把零信任应用访问安全分为三个迭代版本（有机会跟大家聊聊零信任应用访问安全的这三个迭代版本)，我们有些客户已经开始走到了零信任应用访问安全v3.0版本阶段，再做完外网零信任访问安全后进一步部署实施内外网一致的零信任应用访问安全以解决大内网隔离管控的需求。



有人说SAP是厉害不在于软件，而是在于它把先进的管理理念融入到产品中。其实应用安全治理也是一样的，你愿意接受这样的应用管理模式吗？假如你是甲方企业（1000用户内）需要部署和免费使用该平台，可以跟我(a7@tiger-sec.cn) 联系申请（前三名），唯一要求就是到时候要交作业，写一篇从甲方视角的应用安全治理经验跟朋友们一起分享。

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：