一、从零开始建设企业信息安全系统：

企业信息安全体系分为：信息安全技术体系和信息安全管理体系

• 信息安全技术体系：

        两个层面：

          1.需建设安全相关基础设施和系统，以具备解决相关安全问题的能力。

          2.需具备安全运营能力，只有正确部署和使用设备，才能真正保障信息安全。

• 信息安全管理体系：

          两个层面：

          1.具备信息安全相关的制度、规范、流程及策略。

          2.具备信息安全管理体系的落地能力，即实施、保持并持续改进。

1.1企业面临的风险

• 外部安全风险：黑客攻击和入侵

• 内部安全风险：内部员工恶意窃取数据或无意泄露数据。

• 安全合规风险

1.2企业安全建设需求

• 安全基础设施和系统建设：基础安全建设需求，是安全工作开展的基石。

• 安全运营体系建设：持续运营，让安全基础设施和系统发挥作用

        1）安全设备和系统运行维护

         2）定期开展例行化安全工作

         3）产品安全生命周期

         4）安全事件处置

         5）安全自动化能力

• 安全管理体系建设：安全制度建设、信息安全流程建设、安全培训、安全考核等等。

1.3企业按岗位简介

• 企业安全组织架构：中小企业中，典型的安全岗位图。

第1种：只负责渗透测试或安全测试工作。

第2种：权限较低，负责网络安全、渗透测试等工作。

第3种：权限和级别较高，内容不限于技术安全，还可做安全管理等。

• 企业安全工作岗位：

1）安全运维工程师

2）渗透测试工程师

3）安全开发工程师

4）安全管理岗

1.4企业安全工作开展思路

从安全风险评估、安全工作机制的建立和安全工作规划三个层面来说：

1.4.1安全风险评估：通过资产梳理、人工访谈、技术评估等方式开展。

• 1.资产梳理：为了全面掌握公司资产现状，需要梳理资产信息，来确定每个模块和系统对应的负责人。

资产类型	资产内容
IP/域名	互联网IP地址、办公网IP段、域名
线上系统	网站、App、公众号、小程序、运营后台（重点关注公司核心业务、账号、交易、支付等系统）
办公系统	OA、邮件、人力、财务、VPN等相关系统。
人员资产	员工、外包、供应商等；部门组织架构等
账号资产	办公类账号、测试账号、运维等账号及外部云服务账号

• 2.人工访谈：访谈对象，访谈内容两个方面。

• 3.技术评估：通过技术评估获取安全风险情况，安全渗透、安全基线检查、数据流分析等。

• 4.输出安全风险列表：对风险进行等级划分，为后续工作做好基础。常见风险如下：

风险类型	风险描述	风险级别
办公网安全问题	无统一 桌面安全标准，办公计算机没有加域、无企业防病毒系统 无准入标准和控制设施，只要制度密码就可以接入办公内网Wi-Fi	中
生产网安全问题	线上开放高危端口，暴露面广，开放不必要的端口和服务 IDC仅有防火墙，无Web入侵防护系统、无DDOS防护系统 缺乏入侵检测手段 服务器无统一安全基线要求 缺乏安全运维审计设施	高
产品安全问题	线上高危漏洞多，存在大量SQL注入、XSS、越权漏洞，邮箱或内部运营系统弱口令多 缺乏产品安全风险控制流程，无漏洞管理机制	高
数据泄露风险	权限控制不严，生产数据可以导出，存在数据泄露风险 办公计算机、邮箱可以随意外发文件，存在信息泄露风险 生产服务器可以访问任何外网资源，没有通过代理服务器进行权限控制	高
安全应急响应	没有建立安全应急响应机制，缺少安全应急预案	高
安全管理	员工安全意识不足，没有开展安全培训和宣传 安全管理制度缺失	中

1.4.2安全工作机制建立

• 建立安全接口人机制：安全接口人就是每个部门负责对接安全部门的人员。

• 建立安全应急响应机制：安全漏洞修复要求、安全事件应急响应流程。

有了安全机制，安全工作人员就能应对各类紧急事件，为开展长期安全规划打基础。

1.4.3安全工作规划

可根据实际情况分为：短期规划、中期规划、长期规划。

安全规划	工作方向	重点工作示例
短期规划	高危漏洞治理、数据泄露风险防治、合规风险处置	高危漏洞修复，关闭高危端口，将内部管理后台迁移到内网 弱口令治理 产品上线前开展安全渗透测试 App个人安全隐私问题整改
中期规划	安全基础设施建设	办公网：防病毒系统、准入系统 生产网：抗DDOS系统、Web应用防火墙系统 安全管理：堡垒机建设、安全管理规范的制定和发布
长期规划	安全自动化、系统化、安全运营体系搭建	漏洞扫描系统建设 入侵检测系统建设 安全风控体系建设 安全管理：网络安全等级保护、ISO27001认证体系建设

二、基础办公安全体系建设：

办公网承载着企业重要IT资产信息，以及存储着各种敏感信息和重要资料，一旦发生安全事件，可能会造成资料丢失或敏感信息泄露，也可能造成巨大的经济损失。

企业办公网主要面临以下安全风险：

• 终端安全风险：易遭病毒和木马攻击，可能导致数据丢失等问题

• 网络安全风险：如网络边界入侵、无线网络安全等问题

• 邮件安全风险：如邮箱密码被破解，收到钓鱼邮件或含病毒木马的邮件。

• 数据外泄风险：数据泄露防护一直是企业安全中最难解决的问题。

2.1终端基础安全

从准入系统、防病毒系统、补丁更新系统、终端数据防泄露系统四个方面介绍

2.1.1准入系统建设

市场上主流的准入系统分为：无客户端准入系统和有客户端准入系统。

• 无客户端准入系统实现方案：

        实现方式主要有Portal认证、AD域认证：

        1）Portal认证一般使用Radius协议，会弹出web Portal。

        2）AD认证方法主要判断计算机是否加入公司AD域中。

• 基于客户端的准入系统实现方案

        客户端会对用户的身份和计算机的安全基线进行检查，通过后才可接入网络

• 准入系统实施方案

        1）部署准入服务端

          2）用户接入流程

          3）例外处理

          4）终端管理

          5）逃生机制

          6）实施注意点

2.1.2防病毒系统

用于应对病毒和木马威胁

• 防病毒系统主要功能：

        1)病毒和木马查杀

        2）主动防御

        3）主机防火墙和网络入侵防护

• 防病毒系统部署方案：

防病毒系统主要是防病毒管理中心和病毒库，管理中心主要负责策略下方、病毒库更新和客户端管理，病毒库需要访问厂商的外网病毒库更新点更新。

• 防病毒系统应用实践：

        1）防病毒策略更新：防护策略、扫描策略、更新策略

          2）使用的注意点：白名单，自身保护功能（需管理员授权才可退出卸载）

2.1.3补丁更新系统建设

• WSUS服务器部署说明

• WSUS安装和补丁策略

这个可以参考小编以前写的：内网部署Windows Server 2012的WSUS补丁服务器

• 使用要点：不排除少数补丁安装后，出现不可预估的问题。

• 第三方补丁管理系统

2.1.4终端数据防泄露方案比较

介绍下DLP系统方案：

1.数据分级分类保护

• 首先梳理数据类型，做分类。

• 然后定义数据类型级别。

• 最后进行数据密级标记

2.终端DLP实现方案

3.终端DLP系统选型测试

• 测试用例准备

• 敏感数据检出率和误报率测试

• 数据变形和转换测试

• 测试敏感数据外泄行为发现能力

• 测试脱离网络环境后DLP客户端的功能

• 测试不同操作系统的兼容性和检出能力

• 性能影响评估

• 兼容性影响评估

• 水印功能

4.终端DLP实施方案和建议

最好是自上而下，由管理层推动，否则很难推动下去，安装前先小规模试点运行，全面推广时，设置自动推送，且客户端不能被用户退出和卸载。

2.2防火墙、VPN和上网行为管理

• 网络边界访问控制

• 通信安全和传输安全

• 安全上网

2.2.1防火墙

• 防火墙简介和发展历程：防火墙、UTM、NGFW

• 防火墙选型注意事项：

        1）网络吞吐量

        2）最大并发连接数

        3）VPN隧道数

        4）网络接口数

        5）模块冗余和高可用

        6）集中管理

        7）功能授权和升级

• 防火墙应用场景：    

        1）用户上网

        2）提供外网访问服务

        3）进行边界访问控制

2.2.2 VPN网关

主要分为IPSec VPN和SSL  VPN,IPSec主要是两个网络之间的，SSL 主要用于远程接入。

• IPSec  VPN 简介和应用

        用于不同办公场所之间建立安全通信信道。

 

• SSL VPN简介和应用实践

用于远程办公用户接入办公网

2.2.3上网行为管理

主要解决用户上网过程中存在的如下问题:

• 控制办公网访问互联网的应用

• 避免访问恶意网站或违禁网站

• 实现上网行为审计

2.3入侵检测/防御系统

2.3.1入侵防御系统简介

• 入侵防御系统简介：简称IPS,部署在网络边界

• 入侵防御系统评价指标：入侵防御能力、产品性能和功能

2.3.2入侵检测系统简介

• 入侵检测系统简介：简称IDS,部署在网络内部。

• 入侵检测系统评级指标：入侵检测能力、产品性能和功能

• IDS日常运维管理：优化策略，持续维护

2.4邮件安全

企业邮件安全威胁主要包括如下几个方面：

• 垃圾邮件和病毒邮件

• 邮箱账号密码安全问题

• 钓鱼邮件

2.4.1反垃圾邮件和防病毒

• 垃圾邮件过滤技术

• 反病毒邮件

• 误报处理

• 产品选型

2.4.2邮件账号密码安全保护

• 账号密码暴力破解防护

• 邮箱弱口令问题

• 防范账号密码泄露

2.4.3防钓鱼邮件

防钓鱼邮件最重要的是要加强安全宣导，提高员工的安全意识，避免上当受骗。

2.5统一账号认证系统

本期到此结束，下期恭请期待！