网络系统安全建设
安全域划分
-
内部网络系统:主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统。
-
外部网络系统:主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统(不限于:公有云、Github、云存储等)。
安全域风险等级
- 外部网络系统 > 生产网内部网络系统 > 测试开发网内部网络系统 > 办公网内部网络系统 > 其他网络系统
安全域风险对象
- 外部系统:外部攻击者(黑客、白帽子)。
- 内部系统:内部违规操作员工、已渗透到内网系统的外部攻击者。
安全建设方案
由于不同安全域的风险等级、风险对象有所区别,因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。
办公网-网络安全建设
WiFi安全
-
事前安全措施:
- 建立双因素认证(通过个人账户密码+短信、动态密码);
- 建立设备安全认证(限定特定的设备才能连接)。
-
事中安全措施:
-
建议WiFi账号爆破监控;
-
WiFi账号爆破封禁策略运营。
-
VPN安全
-
事前安全措施:
- 远程接入公司内部网络进行双因素认证(个人账户密码+短信、动态密码);
- 硬件指纹获取识别。
-
事中安全措施:
- VPN异地登录;
- 异常登录监控;
- VPN爆破监控以及封禁策略。
-
事后安全措施:
- 联系VPN账号所属者确定攻击行为。
日志流量采集检测
-
事前安全措施:
- 办公网网络流量(到边界、到IDC);
- 日志采集检测。
-
事中安全措施:
- 员工异常行为监控(比如上传内部数据到网盘等);
- 攻击监控。
-
事后安全措施:
- 对涉事员工进行相应处罚。
Router(路由)统一管理
-
事前安全措施:
- 即统一管理内部网络映射到外网需求(可利用nginx反向代理),减少系统暴露风险。
-
事中安全措施:
- 外网端口扫描监控。
终端网络准入
-
事前安全措施:
- 办公终端(PC)需要安装准入程序,才允许上内部网络。
-
事中安全措施:
- 终端异常行为监控。
-
事后安全措施:
- 对涉事员工进行相应处罚。
安全域之间网络隔离
- 例如:办公网与生产网之间只能通过堡垒机登录,且只有特定端口才能通信等策略(根据实际情况配置)
办公网-系统安全建设
办公网服务器安全
-
事前安全措施:
- 服务器基线检查;
- 补丁检查;
- 端口服务监控;
- 服务器登录统一管理。
-
事中安全措施:
- 服务器进程监控;
- 敏感账户登录监控;
- 敏感命令执行监控;
- 文件上传下载等(依赖主机安全产品,服务器上安装Agent)。
-
事后安全措施:
-
服务器木马;
-
后门查杀;
-
服务器安全加固(服务器应急响应)。
-
办公网终端PC安全
- 事前安全措施:
- 防病毒;
- DLP(Data Loss Prevention);
- 水印;
- 行为监控。
- 事中安全措施:
- DLP(Data Loss Prevention)数据监控;
- 水印监控。
办公网-应用安全建设
SSO(Single Sign On)统一登录入口
-
事前安全措施:
- 内部所有的办公系统使用一套SSO认证系统,可有效管理员工账户密码,预防弱口令等风险。
-
事中安全措施:
- 异常登录监控;
- 弱口令监控。
-
事后安全措施:
-
强制修改用户账号密码;
-
加固SSO。
-
网站水印技术
-
事前安全措施:
- 对有重要敏感数据的网站加上水印,防止数据被截图泄露等风险。
-
事中安全措施:
- 水印攻防监控。
-
事后安全措施:
- 对涉事员工进行相应处罚。
邮箱安全
- 事前安全措施:
- 邮箱访问安全加固方案,用来解决邮箱接口被爆破风险;
- 附件安全扫描;
- 异地登录报警;
- 弱口令扫描。
- 事中安全措施:
- 邮件爆破监控;
- 账户或者IP封禁;
- 异地登录监控。
- 事后安全措施:
- 若爆破成功,则强制修改相关员工密码,且排查安全风险。
WAF(Web Application Firewall)
- 事前安全措施:
- 应用服务器上部署WAF,拦截web攻击。
- 事中安全措施:
- WAF上进行攻击监测。
- 事后安全措施:
- 更新优化WAF拦截策略。
办公网-员工安全
在职员工安全教育
-
事前安全措施:
- 定期对所有员工进行安全培训;
- 对新员工进行入职安全培训;
- 定期开展内部钓鱼测试;
- 针对RD可培训WEB安全开发;
- 针对OP可培训安全运维。
-
事中安全措施:
- 对员工行为进行监控(可通过前面介绍的几种方案);
- 对钓鱼邮件进行告警。
-
事后安全措施:
-
对涉事员工进行相应处罚;
-
钓鱼邮件影响评估。
-
离职员工安全审计
- 离职行为审计;
- 办公电脑审计;
- 人员离职账户注销。
办公网-外包安全管理
- 暂无涉猎
办公网-安全合规
- ISO 27001
- 等保 2.0
生产网-系统安全建设
除了系统层面的安全建设,生产网更多的是跟运维相关的一些安全内容(比如安全基线等),也包含项目上线的一些安全流程规范管理。
主机安全
-
内部资产发现;
-
WebShell监控;
-
反弹Shell监控等日常运营工作。
日志分析监控
-
可以偏业务一些,比如接口防刷监控运维;
-
也可以偏系统一些,攻击行为的监控运维。
网络抗DDoS、应用抗CC
- 主要靠部署一些流量清洗产品
入侵检测、防御
- IDS、IPS(对于告警记录的运维工作)
堡垒机
- 服务器统一登录管理,秘钥管理,访问控制策略运维工作。
Router层统一映射管理
- 互联网端口、IP映射管理,结合cmdb平台运维工作。
WAF(Web Application Firewall)
-
部署WAF产品,拦截WEB攻击,告警记录运营工作;
-
端口开放策略(ACL);
-
IPTABLES。
态势感知(SOC平台)
- 流量监控平台,通过监控不同方向的流量,发现攻击行为。
蜜罐(欺骗防御)
- 通过在内、外部部署蜜罐产品,发现攻击行为。
邮件沙箱、网关
- 针对邮件钓鱼、恶意附件的检测。
威胁情报
- 往往跟态势感知相结合。
外网边界安全建设
外网边界的安全建设工作,大致分为三个步骤:资产盘点、漏洞扫描、漏洞推修(定期重复),0day漏洞应急另算。
资产收集
-
域名;
-
IP地址;
-
URL;
-
数据接口;
-
端口服务监控;
-
梳理统计内外网端口映射关系;
-
业务线负责人等信息;
-
盘点边界资产。
黑盒漏洞扫描
-
WEB漏洞扫描;
-
主机漏洞扫描(可采购也可自研,定期巡检)。
业务逻辑漏洞扫描
-
通过流量;
-
日志被动式检测简单的业务逻辑漏洞。
GitHub监控
- 自动化监控github泄露的公司相关代码、服务器个人相关信息等。
SRC上报漏洞响应
- 建设SRC平台,收集白帽子提交的安全漏洞。
最新漏洞、0day响应
- 0day、1day漏洞的研究,应急团队推动漏洞修复。
威胁情报
- 暂无
渗透测试
- 定期开展从互联网边界实施的渗透测试工作,寻找安全漏洞
产品安全建设
在整个产品安全建设过程中,企业可自研沉淀 “产品安全开发库” 、 “SDL流程平台” 以及制定 “产品安全相关流程制度” 。
第一道防线
- 产品安全设计(早期可通过安全编码、意识培训使RD、PM具备信息安全意识)。
第二道防线
- 需求评审、架构评审、代码审计、白盒扫描(通过建立需求安全评审等机制,严格控制新项目上线流程)。
第三道防线
- 黑盒扫描、灰盒扫描(项目上线后可定期开展黑盒扫描)。
第四道防线
- SRC、企业蓝军(通过SRC、蓝军渗透发现的漏洞进行补充)。
企业红蓝对抗
- 企业红军:负责企业安全建设、安全监控、安全加固。
- 企业蓝军:负责攻击安全堡垒、找出安全薄弱点。网络安全红军的工作包含了以上所有的安全建设工作,而网络安全蓝军的工作是一个全新的视角,包含不限于:
- 内部钓鱼攻击
- 外部漏洞攻击
- APT攻击
- 内部爆破攻击
- 员工信息收集
- 企业在蓝军团队建设过程中,可自研沉淀
- 漏洞扫描器
- 社工库
- 漏洞库等
私有云安全
有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:
网络安全
- 租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等。
数据安全
- 数据的备份加密、数据接口防重放、数据分级分类等。
主机安全
- 防逃逸、内存溢出、入侵检测等。
安全合规
- 等保2.0云安全相关章节
安全组织架构
小规模:若公司规模小,个人认为可按事前、事中、事后划分信息安全组织架构(仅供参考)
-
系统安全
- 事前团队:负责内外网安全建设;
- 事中团队:负责入侵监控、异常监控;
- 事后团队:负责应急响应、事后处罚整改。
-
产品安全:SDL
-
安全合规
-
业务安全
大规模:若公司规模大,可按安全区域划分组织架构(仅供参考)
-
系统安全:
- 办公网团队:负责办公网安全建设、安全监控、应急响应(内部可再按照前、中、后细分,再细分,可分WEB、移动、硬件等)。
- 生产网团队:负责生产网安全建设、安全监控、应急响应。
- 外网边界团队:负责边界安全建设、安全监控、应急响应。
-
产品安全:SDL
-
安全合规
-
蓝军团队:如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的,但属于事前。
-
业务安全
-
云安全
