【共读】企业信息安全建设与运维指南(一)

本文涉及的产品
云防火墙,500元 1000GB
简介: 【共读】企业信息安全建设与运维指南(一)

640.png

一、从零开始建设企业信息安全系统:


企业信息安全体系分为:信息安全技术体系和信息安全管理体系

  • 信息安全技术体系:

       两个层面:

         1.需建设安全相关基础设施和系统,以具备解决相关安全问题的能力。          2.需具备安全运营能力,只有正确部署和使用设备,才能真正保障信息安全。

  • 信息安全管理体系:

         两个层面:

         1.具备信息安全相关的制度、规范、流程及策略。          2.具备信息安全管理体系的落地能力,即实施、保持并持续改进。

1.1企业面临的风险

  • 外部安全风险:黑客攻击和入侵
  • 内部安全风险:内部员工恶意窃取数据或无意泄露数据。
  • 安全合规风险

1.2企业安全建设需求

  • 安全基础设施和系统建设:基础安全建设需求,是安全工作开展的基石。
  • 安全运营体系建设:持续运营,让安全基础设施和系统发挥作用

       1)安全设备和系统运行维护

        2)定期开展例行化安全工作

        3)产品安全生命周期

        4)安全事件处置

        5)安全自动化能力

  • 安全管理体系建设:安全制度建设、信息安全流程建设、安全培训、安全考核等等。

1.3企业按岗位简介

  • 企业安全组织架构:中小企业中,典型的安全岗位图。

640.png

第1种:只负责渗透测试或安全测试工作。
第2种:权限较低,负责网络安全、渗透测试等工作。第3种:权限和级别较高,内容不限于技术安全,还可做安全管理等。

  • 企业安全工作岗位:

1)安全运维工程师
2)渗透测试工程师3)安全开发工程师
4)安全管理岗


1.4企业安全工作开展思路

从安全风险评估、安全工作机制的建立和安全工作规划三个层面来说:

1.4.1安全风险评估:通过资产梳理、人工访谈、技术评估等方式开展。

  • 1.资产梳理:为了全面掌握公司资产现状,需要梳理资产信息,来确定每个模块和系统对应的负责人。


资产类型
资产内容
IP/域名
互联网IP地址、办公网IP段、域名
线上系统
网站、App、公众号、小程序、运营后台(重点关注公司核心业务、账号、交易、支付等系统)
办公系统
OA、邮件、人力、财务、VPN等相关系统。
人员资产
员工、外包、供应商等;部门组织架构等
账号资产 办公类账号、测试账号、运维等账号及外部云服务账号
  • 2.人工访谈:访谈对象,访谈内容两个方面。
  • 3.技术评估:通过技术评估获取安全风险情况,安全渗透、安全基线检查、数据流分析等。
  • 4.输出安全风险列表:对风险进行等级划分,为后续工作做好基础。常见风险如下:


风险类型
风险描述
风险级别
办公网安全问题
  • 无统一 桌面安全标准,办公计算机没有加域、无企业防病毒系统
  • 无准入标准和控制设施,只要制度密码就可以接入办公内网Wi-Fi


生产网安全问题
  • 线上开放高危端口,暴露面广,开放不必要的端口和服务
  • IDC仅有防火墙,无Web入侵防护系统、无DDOS防护系统
  • 缺乏入侵检测手段
  • 服务器无统一安全基线要求
  • 缺乏安全运维审计设施


产品安全问题
  • 线上高危漏洞多,存在大量SQL注入、XSS、越权漏洞,邮箱或内部运营系统弱口令多
  • 缺乏产品安全风险控制流程,无漏洞管理机制

数据泄露风险
  • 权限控制不严,生产数据可以导出,存在数据泄露风险
  • 办公计算机、邮箱可以随意外发文件,存在信息泄露风险
  • 生产服务器可以访问任何外网资源,没有通过代理服务器进行权限控制


安全应急响应
  • 没有建立安全应急响应机制,缺少安全应急预案


安全管理
  • 员工安全意识不足,没有开展安全培训和宣传
  • 安全管理制度缺失



1.4.2安全工作机制建立

  • 建立安全接口人机制:安全接口人就是每个部门负责对接安全部门的人员。
  • 建立安全应急响应机制安全漏洞修复要求、安全事件应急响应流程。

有了安全机制,安全工作人员就能应对各类紧急事件,为开展长期安全规划打基础。


1.4.3安全工作规划

可根据实际情况分为:短期规划、中期规划、长期规划。

安全规划
工作方向
重点工作示例
短期规划
高危漏洞治理、数据泄露风险防治、合规风险处置
  • 高危漏洞修复,关闭高危端口,将内部管理后台迁移到内网
  • 弱口令治理
  • 产品上线前开展安全渗透测试
  • App个人安全隐私问题整改

中期规划
安全基础设施建设
  • 办公网:防病毒系统、准入系统
  • 生产网:抗DDOS系统、Web应用防火墙系统
  • 安全管理:堡垒机建设、安全管理规范的制定和发布

长期规划
安全自动化、系统化、安全运营体系搭建
  • 漏洞扫描系统建设
  • 入侵检测系统建设
  • 安全风控体系建设
  • 安全管理:网络安全等级保护、ISO27001认证体系建设


二、基础办公安全体系建设:


办公网承载着企业重要IT资产信息,以及存储着各种敏感信息和重要资料,一旦发生安全事件,可能会造成资料丢失或敏感信息泄露,也可能造成巨大的经济损失。

企业办公网主要面临以下安全风险:

  • 终端安全风险:易遭病毒和木马攻击,可能导致数据丢失等问题
  • 网络安全风险:如网络边界入侵、无线网络安全等问题
  • 邮件安全风险:如邮箱密码被破解,收到钓鱼邮件或含病毒木马的邮件。
  • 数据外泄风险:数据泄露防护一直是企业安全中最难解决的问题。


2.1终端基础安全

从准入系统、防病毒系统、补丁更新系统、终端数据防泄露系统四个方面介绍


2.1.1准入系统建设

市场上主流的准入系统分为:无客户端准入系统和有客户端准入系统。

  • 无客户端准入系统实现方案:

       实现方式主要有Portal认证、AD域认证:

       1)Portal认证一般使用Radius协议,会弹出web Portal。

       2)AD认证方法主要判断计算机是否加入公司AD域中。

  • 基于客户端的准入系统实现方案

       客户端会对用户的身份和计算机的安全基线进行检查,通过后才可接入网络

  • 准入系统实施方案

       1)部署准入服务端

         2)用户接入流程


640.jpg


3)例外处理

         4)终端管理

         5)逃生机制

         6)实施注意点

 

2.1.2防病毒系统

用于应对病毒和木马威胁

  • 防病毒系统主要功能:

       1)病毒和木马查杀

       2)主动防御

       3)主机防火墙和网络入侵防护

  • 防病毒系统部署方案:

防病毒系统主要是防病毒管理中心和病毒库,管理中心主要负责策略下方、病毒库更新和客户端管理,病毒库需要访问厂商的外网病毒库更新点更新。


640.png


  • 防病毒系统应用实践:

       1)防病毒策略更新:防护策略、扫描策略、更新策略

         2)使用的注意点:白名单,自身保护功能(需管理员授权才可退出卸载)


2.1.3补丁更新系统建设

  • WSUS服务器部署说明
  • WSUS安装和补丁策略

这个可以参考小编以前写的:内网部署Windows Server 2012的WSUS补丁服务器

  • 使用要点:不排除少数补丁安装后,出现不可预估的问题。

  • 第三方补丁管理系统


2.1.4终端数据防泄露方案比较


640.jpg

介绍下DLP系统方案:

1.数据分级分类保护

  • 首先梳理数据类型,做分类。
  • 然后定义数据类型级别。
  • 最后进行数据密级标记

2.终端DLP实现方案


640.png

3.终端DLP系统选型测试

  • 测试用例准备
  • 敏感数据检出率和误报率测试
  • 数据变形和转换测试
  • 测试敏感数据外泄行为发现能力
  • 测试脱离网络环境后DLP客户端的功能
  • 测试不同操作系统的兼容性和检出能力
  • 性能影响评估
  • 兼容性影响评估
  • 水印功能

4.终端DLP实施方案和建议

最好是自上而下,由管理层推动,否则很难推动下去,安装前先小规模试点运行,全面推广时,设置自动推送,且客户端不能被用户退出和卸载。


2.2防火墙、VPN和上网行为管理

640.png


  • 网络边界访问控制
  • 通信安全和传输安全
  • 安全上网


2.2.1防火墙

  • 防火墙简介和发展历程:防火墙、UTM、NGFW
  • 防火墙选型注意事项:

       1)网络吞吐量

       2)最大并发连接数

       3)VPN隧道数

       4)网络接口数

       5)模块冗余和高可用

       6)集中管理

       7)功能授权和升级

  • 防火墙应用场景:    

       1)用户上网

       2)提供外网访问服务

       3)进行边界访问控制


2.2.2 VPN网关

主要分为IPSec VPN和SSL  VPN,IPSec主要是两个网络之间的,SSL 主要用于远程接入。

  • IPSec  VPN 简介和应用

       用于不同办公场所之间建立安全通信信道。


640.png

  • SSL VPN简介和应用实践

用于远程办公用户接入办公网


2.2.3上网行为管理

主要解决用户上网过程中存在的如下问题:

  • 控制办公网访问互联网的应用
  • 避免访问恶意网站或违禁网站
  • 实现上网行为审计


2.3入侵检测/防御系统

2.3.1入侵防御系统简介

  • 入侵防御系统简介:简称IPS,部署在网络边界
  • 入侵防御系统评价指标:入侵防御能力、产品性能和功能

2.3.2入侵检测系统简介

  • 入侵检测系统简介:简称IDS,部署在网络内部。


640.jpg


  • 入侵检测系统评级指标:入侵检测能力、产品性能和功能
  • IDS日常运维管理:优化策略,持续维护


2.4邮件安全

企业邮件安全威胁主要包括如下几个方面:

  • 垃圾邮件和病毒邮件
  • 邮箱账号密码安全问题
  • 钓鱼邮件

2.4.1反垃圾邮件和防病毒

  • 垃圾邮件过滤技术
  • 反病毒邮件
  • 误报处理
  • 产品选型

2.4.2邮件账号密码安全保护

  • 账号密码暴力破解防护
  • 邮箱弱口令问题
  • 防范账号密码泄露

2.4.3防钓鱼邮件

防钓鱼邮件最重要的是要加强安全宣导,提高员工的安全意识,避免上当受骗。

2.5统一账号认证系统


本期到此结束,下期恭请期待!

相关文章
|
6月前
|
运维 监控 安全
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
191 0
|
运维 安全 Ubuntu
kali 安全/运维 开源教程2022
kali 安全/运维 开源教程2022
133 0
|
1月前
|
运维 监控 安全
安全运维:入侵检测与防御实战指南
安全运维:入侵检测与防御实战指南 【10月更文挑战第9天】
107 3
|
1月前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
41 1
|
2月前
|
消息中间件 运维 安全
云消息队列 ApsaraMQ Serverless 演进:高弹性低成本、更稳定更安全、智能化免运维
在 2024 年云栖大会上,阿里云智能集团产品专家刘尧全面介绍了云消息队列 ApsaraMQ Serverless 的落地成果和产品进展。此外,我们还邀请到杭州优行科技有限公司中间件消息研发负责人王智洋,分享了 ApsaraMQ for Kafka Serverless 助力曹操出行实现成本优化和效率提升的实践经验。
152 8
|
3月前
|
运维 监控 安全
运维之道:构建高效、稳定和安全的系统
在数字化时代的浪潮中,运维(运营与维护)的重要性日益凸显。本文深入浅出地探讨了如何构建一个高效、稳定且安全的系统,从基础设施的搭建到日常的监控管理,再到安全防护的策略实施,每一个环节都是确保业务连续性和数据安全的关键。通过实例分析和最佳实践的分享,旨在为读者提供一套完整的运维解决方案,帮助团队提升运维效率,降低风险,保障业务的稳健发展。
|
3月前
|
运维 安全 网络安全
云端安全之盾:云计算与网络安全的协同演进运维自动化之路:从传统到现代化的转变
【8月更文挑战第23天】在数字化浪潮下,云计算以其灵活性和可扩展性成为企业数字化转型的重要推手。然而,随着云服务的快速发展,网络安全威胁也日益增多。本文将探讨云计算与网络安全如何相互促进,共同成长,以确保信息安全,并分析云服务提供商采取的安全策略以及企业在采用云服务时应注意的安全实践。
|
5月前
|
运维 安全 Linux
云服务器账号密码安全运维
确保云上Linux ECS安全,需强化账号密码策略。检查并更新`/etc/login.defs`,设置`PASS_MAX_DAYS`(如90天)、`PASS_MIN_DAYS`(如7天)和`PASS_WARN_AGE`(如7天),限制密码使用期限和修改间隔。在`/etc/pam.d/common-password`启用密码复杂度规则等等
130 0
|
6月前
|
运维 Cloud Native 安全
【专栏】随着信息技术发展,运维正向自动化、智能化转型,云原生运维成为主流,大数据驱动运维决策,而安全运维日益重要
【4月更文挑战第29天】随着信息技术发展,运维正向自动化、智能化转型,云原生运维成为主流,大数据驱动运维决策,而安全运维日益重要。面对技术更新快、人才短缺和复杂性增加的挑战,企业需建立培训体系,加强人才培养,优化运维管理,以适应未来运维需求。随着这些趋势,运维领域将迎来更广阔的发展前景。
198 2
|
6月前
|
存储 运维 监控
现代化运维管理:提升企业效率与安全
随着信息技术的快速发展,企业对于运维管理的需求日益增长。本文将探讨现代化运维管理在提升企业效率和安全方面的重要作用,介绍了一些最佳实践和工具,帮助企业更好地应对挑战。