我所认知的甲方信息安全建设经验

标签: dev | 发表时间:2020-07-13 00:00 | 作者:
出处:http://itindex.net/relian
推开门 烟火中的红尘 宣纸上 是故事里的人

  毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作。几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变。兜兜转转的几年时间里,随着日常工作内容的改变,我对信息安全的认知也发生了一些变化。本篇我将记录总结一些甲方信息安全建设方面的经验,仅代表此时此刻我对于信息安全建设的一些认知(说明:甲方信息安全建设涉及内容太宽泛,本篇大致列举一些信息安全建设方面的措施,具体细节之后会单独记录成文)

网络系统安全建设

安全域划分

内部网络系统:主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统。
外部网络系统:主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统(不限于:公有云、Github、云存储等)。

安全域风险等级

外部网络系统>生产网内部网络系统>测试开发网内部网络系统>办公网内部网络系统>其他网络系统

安全域风险对象

外部系统:外部攻击者(黑客、白帽子)
内部系统:内部违规操作员工、已渗透到内网系统的外部攻击者

安全建设方案

  由于不同安全域的风险等级、风险对象有所区别,因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。

办公网-网络安全建设
WIFI安全

事前安全措施:1、建立双因素认证(通过个人账户密码+短信、动态密码);2、建立设备安全认证(限定特定的设备才能连接)
事中安全措施:1、建议WIFI账号爆破监控;2、WIFI账号爆破封禁策略运营

VPN安全

事前安全措施:1、远程接入公司内部网络进行双因素认证(个人账户密码+短信、动态密码);2、硬件指纹获取识别
事中安全措施:1、VPN异地登录;2、异常登录监控;3、VPN爆破监控以及封禁策略
事后安全措施:1、联系VPN账号所属者确定攻击行为

日志流量采集检测

事前安全措施:1、办公网网络流量(到边界、到IDC);2、日志采集检测
事中安全措施:1、员工异常行为监控(比如上传内部数据到网盘等);2、攻击监控
事后安全措施:1、对涉事员工进行相应处罚

Router统一管理

事前安全措施:1、即统一管理内部网络映射到外网需求(可利用nginx反向代理),减少系统暴露风险
事中安全措施:1、外网端口扫描监控

终端网络准入

事前安全措施:1、办公终端(PC)需要安装准入程序,才允许上内部网络
事中安全措施:1、终端异常行为监控
事后安全措施:1、对涉事员工进行相应处罚

安全域之间网络隔离

例如:办公网与生产网之间只能通过堡垒机登录,且只有特定端口才能通信等策略(根据实际情况配置)

办公网-系统安全建设
办公网服务器安全

事前安全措施:1、服务器基线检查;2、补丁检查;3、端口服务监控;4、服务器登录统一管理
事中安全措施:1、服务器进程监控;2、敏感账户登录监控;3、敏感命令执行监控;4、文件上传下载等(依赖主机安全产品,服务器上安装Agent)
事后安全措施:1、服务器木马;2、后门查杀;3、服务器安全加固(服务器应急响应)

办公网终端PC安全

事前安全措施:1、防病毒;2、DLP;3、水印;4、行为监控
事中安全措施:1、DLP数据监控;2、水印监控

办公网-应用安全建设
SSO统一登录入口

事前安全措施:1、内部所有的办公系统使用一套SSO认证系统,可有效管理员工账户密码,预防弱口令等风险
事中安全措施:1、异常登录监控;2、弱口令监控
事后安全措施:1、强制修改用户账号密码;2、加固SSO

网站水印技术

事前安全措施:1、对有重要敏感数据的网站加上水印,防止数据被截图泄露等风险
事中安全措施:1、水印攻防监控
事后安全措施:1、对涉事员工进行相应处罚

邮箱安全

事前安全措施:1、邮箱访问安全加固方案,用来解决邮箱接口被爆破风险;2、附件安全扫描;3、异地登录报警;4、弱口令扫描
事中安全措施:1、邮件爆破监控;2、账户或者IP封禁;3、异地登录监控
事后安全措施:1、若爆破成功,则强制修改相关员工密码,且排查安全风险

WAF

事前安全措施:1、应用服务器上部署WAF,拦截web攻击
事中安全措施:2、WAF上进行攻击监测
事后安全措施:3、更新优化WAF拦截策略

办公网-员工安全
在职员工安全教育

事前安全措施:1、定期对所有员工进行安全培训;2、对新员工进行入职安全培训;3、定期开展内部钓鱼测试;
4、针对RD可培训WEB安全开发;5、针对OP可培训安全运维。
事中安全措施:1、对员工行为进行监控(可通过前面介绍的几种方案);2、对钓鱼邮件进行告警
事后安全措施:1、对涉事员工进行相应处罚;2、钓鱼邮件影响评估

离职员工安全审计

1、离职行为审计;2、办公电脑审计;3、人员离职账户注销

办公网-外包安全管理

暂无涉猎

办公网-安全合规

1、ISO27001;2、等保2.0

生产网-系统安全建设
  • 主机安全:1、内部资产发现;2、webshell监控;3、反弹shell监控等日常运营工作

  • 日志分析监控:1、可以偏业务一些,比如接口防刷监控运维;2、也可以偏系统一些,攻击行为的监控运维

  • 网络抗DDOS、应用抗CC:主要靠部署一些流量清洗产品

  • 入侵检测、防御:IDS、IPS(对于告警记录的运维工作)

  • 堡垒机:服务器统一登录管理,秘钥管理,访问控制策略运维工作

  • Router层统一映射管理:互联网端口、IP映射管理,结合cmdb平台运维工作

  • WAF:部署waf产品,拦截WEB攻击,告警记录运营工作

  • 端口开放策略(ACL)

  • IPTABLES

  • 态势感知(SOC平台):流量监控平台,通过监控不同方向的流量,发现攻击行为

  • 蜜罐(欺骗防御):通过在内、外部部署蜜罐产品,发现攻击行为

  • 邮件沙箱、网关:针对邮件钓鱼、恶意附件的检测

  • 威胁情报:往往跟态势感知相结合

除了系统层面的安全建设,生产网更多的是跟运维相关的一些安全内容(比如安全基线等),也包含项目上线的一些安全流程规范管理。

外网边界安全建设
  • 资产收集:IP、域名、URL、数据接口、端口服务监控,梳理统计内外网端口映射关系、业务线负责人等信息,盘点边界资产。

  • 黑盒漏洞扫描:WEB漏洞扫描、主机漏洞扫描(可采购也可自研,定期巡检)

  • 业务逻辑漏洞扫描:通过流量、日志被动式检测简单的业务逻辑漏洞

  • GITHUB监控:自动化监控github泄露的公司相关代码、服务器个人相关信息等

  • SRC上报漏洞响应:建设SRC平台,收集白帽子提交的安全漏洞

  • 最新漏洞、0day响应:0day、1day漏洞的研究、应急团队,推动漏洞修复

  • 威胁情报

  • 渗透测试:定期开展从互联网边界实施的渗透测试工作,寻找安全漏洞

外网边界的安全建设工作,大致分为三个步骤:资产盘点、漏洞扫描、漏洞推修(定期重复),0day漏洞应急另算。

产品安全建设

  • 第一道防线:产品安全设计(早期可通过安全编码、意识培训使RD、PM具备信息安全意识)

  • 第二道防线:需求评审、架构评审、代码审计、白盒扫描(通过建立需求安全评审等机制,严格控制新项目上线流程)

  • 第三道防线:黑盒扫描、灰盒扫描(项目上线后可定期开展黑盒扫描)

  • 第四道防线:SRC、企业蓝军(通过SRC、蓝军渗透发现的漏洞进行补充)

在整个产品安全建设过程中,企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。

企业红蓝对抗

企业红军:负责企业安全建设、安全监控、安全加固
企业蓝军:负责攻击安全堡垒、找出安全薄弱点

网络安全红军的工作包含了以上所有的安全建设工作,而网络安全蓝军的工作是一个全新的视角,包含不限于:

  • 内部钓鱼攻击

  • 外部漏洞攻击

  • APT攻击

  • 内部爆破攻击

  • 员工信息收集
    ……

企业在蓝军团队建设过程中,可自研沉淀:漏洞扫描器、社工库、漏洞库等

私有云安全

有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:

  • 网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等

  • 数据安全:数据的备份加密、数据接口防重放、数据分级分类等

  • 主机安全:防逃逸、内存溢出、入侵检测等

  • 安全合规:等保2.0云安全相关章节

安全组织架构

小规模

若公司规模小,个人认为可按事前、事中、事后划分信息安全组织架构(仅供参考)

  • 系统安全
    事前团队:负责内外网安全建设
    事中团队:负责入侵监控、异常监控
    事后团队:负责应急响应、事后处罚整改

  • 产品安全:SDL

  • 安全合规

  • 业务安全

大规模

若公司规模大,可按安全区域划分组织架构(仅供参考)

  • 系统安全:
    办公网团队:负责办公网安全建设、安全监控、应急响应(内部可再按照前、中、后细分,再细分,可分WEB、移动、硬件等)
    生产网团队:负责生产网安全建设、安全监控、应急响应
    外网边界团队:负责边界安全建设、安全监控、应急响应

  • 产品安全:SDL

  • 安全合规

  • 蓝军团队:如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的,但属于事前。

  • 业务安全

  • 云安全



       总结说明:本篇内容用于记录我认知中,甲方信息安全建设可以涉及的一些措施或者说抓手。我认为信息安全建设就像建造一幢房子,目前我列出尚属于整体外部框架部分,具体细节需后续工作中不断实践、总结后补充沉淀

相关 [我所 认知 信息安全] 推荐:

我所认知的甲方信息安全建设经验

- - IT瘾-dev
推开门 烟火中的红尘 宣纸上 是故事里的人.   毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作. 几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变. 兜兜转转的几年时间里,随着日常工作内容的改变,我对信息安全的认知也发生了一些变化.

云环境下的信息安全

- - 技术改变世界 创新驱动中国 - 《程序员》官网
背景:阿里云已获得由BSI(英国标准协会)审核的ISO 27001信息安全管理体系国际认证,该体系涵盖基础设施、数据中心和云产品,包括阿里云弹性计算、开放数据处理服务(ODPS)、关系型数据库服务(RDS)、云安全服务(云盾). ISO 27001是一种被广泛采用的全球安全标准,它建立在定期评估风险的基础上,采用安全控制和最佳实践相结合的系统化方法来管理公司和客户信息.

企业 2013 年最高的 10 个信息安全威胁是哪些?

- - 知乎每日精选
以下是我认为如今威胁企业信息安全的威胁所在,以及排序和对应的描述:. A1-引用不安全的第三方应用. 第三方开源应用、组件、库、框架和其他软件模块;. 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加. 由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷.

高效信息安全团队常用的八种数据可视化方法

- - IT经理网
大数据时代大数据本身的安全成为一个新的安全挑战,但与此同时大数据技术也为信息安全技术的发展起到极大推动作用,例如数据可视化技术和方法的引入可以大大提高信息安全的预防、侦测和事件响应等环节的效率. 俗话说一图抵万言,本文我们将介绍高效信息安全团队常用的八种数据可视化方法. 一、层级树状图(Hierarchical Tree Map).

360周鸿祎:IOT时代的信息安全 六挑战三原则

- - 周鸿祎博客
360周鸿祎:IOT时代的信息安全 六挑战三原则.     前一段时间我干了很多和安全关系不大的事情,看到了很多传统行业的老大如何患上“互联网焦虑症”,他们害怕互联网成为传统价值的毁灭者,其实这些是对于互联网的一些误解,所以我还写了一本书,讲我的互联网方法论. 我想了想是在过去的20年里互联网最大的力量就是实现了“网聚人的力量”,互联网把我们很多人连接起来.

信息安全工程师登陆非诚勿扰,随后邮箱被黑客窃取

- RustingSword - 素包子
观看地址http://www.qiyi.com/zongyi/20100927/n41295.html. 杯具的是在节目末尾他公开了他的邮箱,没多久,黑客就进入了他的邮箱,发现了下面的邮件,看来效果不错,单身的同学可以考虑上非诚勿扰,但要准备好勇气和智慧面对24位挑剔的美女.

常州社区医院尝试区块链试点 各级医院信息安全互通 改变传统医患关系

- - TECH2IPO/创见
比特币底层技术区块链在金融领域安全可信的应用,在医疗体系也能发挥出巨大价值吗. 8 月 17 日,阿里健康宣布与常州市合作医联体+区块链试点项目:将最前沿的区块链科技,应用于常州市医联体底层技术架构体系中,并已实现当地部分医疗机构之间安全、可控的数据互联互通,用低成本、高安全的方式,解决长期困扰医疗机构的「信息孤岛」和数据安全问题.

知乎:认知盈余的实践

- - 《商业价值》杂志
时间、工具和动机,恰好因某一合适的机会结合在一起时,认知盈余的巨大能量便能迅速爆发出来,每个人的参与行为本身就是一种强大的内在激励. 《认知盈余》这本书我看的很晚,在做知乎的过程中,有用户反复问我对《认知盈余》的看法. 在看这本书之前,认知盈余所释放的价值在知乎非常明显的在发生了,所以我带着一份理论结合实践的狂喜去翻这本书的.

走神,认知给我们的礼物

- lazyzooly - 果壳网 guokr.com - 果壳网
作者:伏维阁主 我的灵魂不再沉默;它冲我呼喊,仍不失冷静:. 你是否也常因为走神而懊恼,因为心不在焉、无所事事而不满. 《连线》杂志报道,科学家近年来的种种研究,已经证实了走神自有走神的道理. 我们很容易将“无聊”或“心不在焉”贬损得一无是处. 从表面上看,人若处在这种心理状态,就好似死水一潭,心灵也仿佛槁木死灰般麻木.

体罚有损儿童认知能力

- - 《新发现》群博客
    加拿大麦吉尔大学V.Talwar等人在西非的研究证实,体罚有损儿童的言语智力及包括计划与抽象思维在内的执行能力. 在这项发表于Social Development的研究中,心理学家比较了西非两所私立学校幼儿园与小学预备班阶段63名儿童的心智发展情况. 这些儿童有着相仿的家庭环境及社会文化背景,但这两所学校的惩戒方式大有区别.