基本办公安全建设指南
基本办公安全建设指南 https://www.cnblogs.com/iAmSoScArEd/p/14183850.html ---我超怕的
办公安全需要注意及建设的点:
- 端口检测(在办公电脑或者在网服务器中关闭无关端口,屏蔽高危端口,端口是攻击者探测信息的重要渠道)
- 边界安全(VPN、WI-FI、)
- 内部应用安全(OA、企业邮箱、财务、运维及其他内部业务系统)
- 安全管理(人是整体企业安全体系最薄弱的部分,这一点正被越来越多的企业和安全人员所认识和接受。安全管理侧重于企业人员安全意识的培养和提升,核心价值在于把安全建设成为一种企业文化)
- 第三方供应商(在和企业合作的第三方合作伙伴中,安全水平也不尽相同,而且这部分通常是不可控的。所以安全团队在有精力和资源的情况下也应该关注下第三方合作伙伴的安全性)
- 防火墙(恶意网站、恶意文件隔离)
- 日志分析(不仅是外网业务需要日志分析,内网日志分析同样重要,审计服务器对日志收集服务器中的日志进行审计,提取入侵痕迹,对事件进行报警)
- 安全隔离(按需提供网络访问权限,避免权限滥用,减小黑客在办公网横向渗透以及纵向提权的攻击面,提高攻击成本)
- 部署蜜罐(蜜罐的作用不仅能够追踪最新的攻击手法,也是获取威胁情报的重要途径,以至于当服务器被入侵时,能够找到并对攻击进行溯源,从而避开了系统日志分析的短板)
- 防内网嗅探(一般攻击者拿到权限都会对网络进行扫描,发现主机漏洞并针对性进行攻击,内网中可以嗅探的协议有很多,ARP、ICMP、DNS都是可嗅探的)
- 防内网钓鱼(内网钓鱼要特别防范,在内网中的钓鱼,即使钓鱼特征非常明显,成功的几率也是非常大的,因为人都有在安全感好的地方放松警惕习惯,这个时候就需要防护策略的保障了。)
- 终端安全(对抗病毒、木马、蠕虫等,及时更新补丁、修复漏洞等方面)
建设步骤
公司的预算总是有限,人力也是捉襟见肘,从无到有建设这么个安全防护体系不是一年半载的事,需要拍优先级,下面是一个建议:
第一步,安全边界建设,风险初步可控,比如IPS、NGFW、杀毒、准入、无线加固
第二步,细化终端安全建设,进一步提高防护能力,比如终端管理、安全加固
第三步,提高安全感知能力,锦上添花,比如蜜罐、漏洞扫描、APT、siem
通过以上努力,我们基本建设起了办公网的纵深防御系统,整个办公网具有了一定的安全防护以及感知能力。
每个公司安全现状不一样,业务情况也不一样,具体实施步骤和策略需要因地制宜。安全意识教育也是非常重要的一个环节,尤其针对社工,技术防护手段效果一般。
办公网安全脆弱性
由于现代网络的复杂性,网络牵扯到的业务也不再像以前那么的单一,企业网络来自于各方面的安全威胁,要分析网络的脆弱性,就要结合网络的实际情况分析所面临的威胁。脆弱性分析应从物理层,网络层,系统层,应用层,管理层五个层面进行分析:
(一)物理层脆弱性分析
- 恶意的物理破坏
企业网络各节点交换机和服务器设备均封闭在单独的房间内,这些房间主要由管理人员负责管理,在物理上实现了安全保护,但目前不能做到实时监控和告警。
因为或多或少企业的网络管理不可能达到国家层面的高度,这样很不现实,我们能够做的只是尽可能的做到相对安全,其他的只能看管理人员的责任心和安全意识。
- 电力中断
企业网中各节点设备的用电问题,一般的电力故障仅会造成区域故障,但中心机房电力由企业机房单线供电。突然的电力中断会导致服务无法正常提供,一定会造成数据丢失,为什么说一定,我们可以知道的是,有哪个企业的机房服务器或者是办公电脑的数据是时时保存或者备份的,所以断电造成的损失看企业的业务能力而定了。企业一定要有自己的备用电源,这样在断电时不至于造成巨大的损失。
- 消防
中心机房要建有消防系统,并纳入企业消防联动系统,实现了火灾报警与紧急处置,增加机房监控投入,提前监控消防动态,有可能一个地方的短路就可造成整个机房不可挽回的损失。还有机房的散热、湿度、卫生等也是需要管控的。
(二)网络层脆弱性分析
- 非法外联
从网络边界安全的角度考虑,内网中的每个节点自身是一个安全孤岛,具备可信的性质,自身节点以外的区域为不可信区域,自身存在着遭受不可信区域攻击的危险性,那些没有受到任何访问控制保护的节点,其安全性就由节点内各个系统自身的安全性来决定。网络边界安全性能较弱。内网缺乏边界防护措施。在前文中讲过,在网络架构部署之初,我们就应该对网络的各个节点,也就是各个网络的出入口部署审计系统,以此来管控边界问题,虽不能杜绝非法外联,但是过滤和监控流量的效果是很好的。
- 内部攻击
由多数的企业网络现状可以看出,我们的服务器和用户之间没有使用安全设备进行访问控制,其中的交互连接更无过滤之说,所有应用和系统由系统自身的安全性决定。但即使有访问控制功能,还需要防护针对应用或系统漏洞进行攻击的行为。也不排除内部用户(潜在攻击者)会使用攻击工具在内网中作一些攻击试探和信息收集,这有可能会造成业务服务中断。
内部网络监管需要技术和管理上并进才能保证安全,当然安全教育和硬件软件网络监控也是必不可少的。
- 非法访问
一般企业内网中的普通员工用户安全意识不强,各系统口令设置缺乏合理性,安全性低,这为非法用户盗取数据库资源提供了可能,并且在内部局域网络中这种经常会出现的口令探测也同样缺乏有效的技术监管。主机操作系统漏洞和错误的系统设置也能导致非法访问的出现。所以在这方面企业应该有一些手段来管控。
- 互联设备安全
企业网络中的互连设备中使用了大量的交换设备和路由器。当然也包括其他办公设备,如打印机、摄像头等等。
这些互连设备的弱管理口令,网络操作系统的版本太低也会使交换设备受到入侵和拒绝服务攻击,导致不能正常工作,影响信息系统的工作。这些物联网设备的通病就是共享性严重,虽然这是特性,但是这个特性所带来的威胁是很严重的。
举一个例子:
一个物联网入侵的事件,正值wannacry勒索病毒爆发,公司某部门有几台办公电脑被入侵,找不到原因,怀疑是利用了MS17-010漏洞,事实上,公司早就做过了策略并在漏洞爆发前打上了微软补丁,在几经排查后,把源头定位在了打印机身上,这台打印机没有按照规范放进内网,而是直接暴露在公网,给了攻击者入侵机会。打印机、摄像头这类产品就会使用SNMP协议,SNMP协议通常密码都是不会改的,所以跑出敏感信息进而进行漏洞扩大化利用。缘由打印机和摄像头的共享性,即使不用协议,我都能够进行攻击,其中包括市面上100%品牌的打印机设备(能够算得上品牌的),如DOS攻击。
所以,只要是连上网络的设备,就都有可能成为攻击的对象。
(三)系统层脆弱性分析
系统层的主要问题在于以windows 2003/2008为主的应用服务器和数据库服务器上存在着重要信息,当然*nux系统的远程命令执行相对来说比较少,漏洞利用难度也是有的。由于企业各个网络不能互通,重要网络与互联网物理隔离,系统漏洞补丁不能及时更新,系统防火墙关闭,系统没有遵循最小权限原则进行安全策略配置。病毒和黑客攻击往往针对这些来进行。所以还是那句话,规范化生产和运维至关重要。
(四)应用层脆弱性分析
- 恶意代码
恶意代码在windows平台上主要是病毒和黑客软件问题,病毒主要是从诸如U盘、外部数据交换等环境引入;黑客软件和攻击代码对服务器系统形成了威胁,这些黑客软件和攻击代码的散布非常广泛且下载容易简单。
- 破坏信息完整性
信息完整性主要是指网络系统的重要应用数据遭到篡改和破坏,如果没有相应的备份措施和集中管理,一旦被攻击,数据遭到的破坏将是难以估计的。
- 数据传输抵赖性
由于目前网络协议对安全性问题考虑得很少,所以单单依靠协议地址或一些简单的通信标志来判定攻击者的身份是很难的,也是证据不足的,高水平的攻击者在攻击时一定会掩饰自己的身份和标志,这样才不会暴露自己的身份。如果企业网络数据传输无法解决接受方和发送方的抗抵赖性问题,对发送有误数据或不承认传输数据的行为无法准确追究责任。应增加身份认证和数据加密传输管控措施。内部网络防监听态势感知的建设,能够有效防止此类事件。
- 病毒的泛滥
企业网络的各应用和数据服务器都安装防病毒软件,系统对病毒的防护有保障。不过对于水坑式攻击难以有效防范,如果攻击者针对企业特别研发病毒,那么杀毒软件只能爱莫能助了,所以要有安全意识和态势感知加威胁情报来支撑。
(五)管理层脆弱性分析
- 操作失误
这是一个无法避免的问题,主要分为系统管理员和普通用户操作失误两种。前者的影响往往是致命的,直接危害到系统和数据安全;后者主要影响用户数据的完整性。
- 人为的故意攻击
来自系统内部人员和非法外联用户的攻击是很难防范的,内部工作人员本身在重要应用系统上都有一定的使用权限,并且对系统应用非常清楚,一次试探性的攻击演练都可能会对应用造成瘫痪的影响,这种行为单单依靠工具的检测是很难彻底避免的,还应该建立完善的管理制度。
内容参考:
