笔者的公司是一家曾从单一家电制造业已成功转型科技创新驱动的平台型公司,业务范畴涵盖消费电子(彩电、白电、手机)、半导体科技、环保科技产业、PCB产业、产业园区业务、平台服务业务及投资金融业务,在跨越式发展战略的引领下,已进入了全新的战略发展期。作为一个综合性平台型的公司,分支机构、事业部众多且业务非常复杂,公司信息化也经历了几十年的发展,尤其是近年来信息化对业务的支持越来越明显。2021年我国进入十四五规划开局之年,数字化转型成为了公司新命题,如何利用数字化赋能企业发展、构建智慧企业已经是当下必须要满足的需求。随着数字化转型的驱动,越来越多的业务迁移到互联网上,会面临各种安全问题,网络安全面临的挑战也非常大,公司网络安全防护能力提升迫在眉睫。我们公司业务多、信息资产规模大,而安全人员非常有限;安全方面的预算也并不太富裕,必须精打细算,尽量将每一分钱都花在刀刃上。我们对安全做整体性、系统性的规划,明确内外部的资源限制与目标的差距,科学地合理地开展建设、弥补空缺,逐步健全整体的安全防护体系,健全网络安全管理体系及流程。经过近几年的安全体系建设,网络安全防护能力得到明显的提升。首先明确现状与差距做好科学合理规划,早在2015年,我们就结合自身实际情况并参照ISO/IEC27001、信息系统等保条例等相关标准进行安全规划。通过安全规划、风险评估、合规差距评估、组织梳理自身需求等手段,开展针对性的安全现状分析,了解自身安全现状,识别安全风险,找出公司网络安全现状与安全战略目标之间的差距,为网络安全建设指明建设重点及目标。安全建设从来不是一蹴而就的,我们采取从无到有弥补空缺的点、由点到线、由线到面的方式,逐步形成多维度、立体纵深安全防御体系。我们是从这几个方面、按顺序展开我们的安全建设工作。
由于历史原因,网络安全分区不是很合理,一个区域混杂多种类型的流量,各个流量相互影响,容易由于某个业务遭受攻击连带影响到其他业务。梳理清楚要耗费大量的精力,有时候由于人员变动,没有人分得清楚各区域的关系,一旦发生故障将要耗费大量的时间排错。因此安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域管理过于复杂和困难。我们的划分原则是按照每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。要从粗到细根据实际情况划分到合适的颗粒度,优先考虑新建的园区,旧园区根据实际情况做适度的划分。如:视频监控网络、研发网、办公网、业务网、生产网、管理网络、智慧园区网、访客网等。办公网有分为:有线普通办公网、有线敏感部门办公网、无线办公网;业务网又可以划分为:对外业务网、对内业务网、应用区域、数据库区域等根据实际情况划分合适的颗粒度。
随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循木桶短板效应,短一漏万。重要的网络边界点有:
- 对DNS服务器要区分内外网,防止被攻击者用来放大攻击;
2)业务服务器区分内网,根据业务系统使用的用户不同,通过负载均衡设备,分为对外和对内,内外制定不同的安全策略;3)访客网络WiFi做逻辑最好做物理隔离,并现场WiFi的覆盖范围,并禁止员工私搭WiFi,防止钓鱼攻击、跳板攻击;4)网络边界,除了外部网络出口在分支机构网络汇聚点及办公网到业务服务器位置部署等安全设备做好访问控制,防止来自内部攻击及跳板攻击;5)SSLVPN账号及权限设置,不同权限访问不同的内部网络资源,采取多因素认证防止被爆破。
公司90% 以上的员工需要每天使用PC终端办公,而终端是和互联网进行数据交换的重要节点,且员工的水平参差不齐,因此企业网络中80% 的安全事件来自于终端,终端最容易成为黑客的攻击点。
1)部署终端安全软件。在公司所有的办公电脑都统一安装有企业版杀毒软件及网络安全准入软件,在网络安全准入软件上做准入策略,哪些软件必须安装,不符合条件的电脑禁止接入内网,并对安全漏洞及病毒库统一检测、统一更新,在更新过程中为防止大量电脑一起更新出现网络风暴,采取逐步部门分步更新的策略。2)设置桌面管控策略。通过技术手段禁止员工在电脑上自建WiFi热点,并对外设进行控制,员工只能使用安全U盘传输文件。部署内部软件市场,里面的软件由后台管理员统一管理、维护更新,终端用户安装软件,只允许来自内部软件市场,这样虽然投入了一些人力,却可以避免极大的风险。3)构建数据防泄密保护系统。很多研发人员精通电脑技术、很容易绕过安全管控,但实际工作中又需要通过外设烧录串口调试,还要访问代码库、数据库等。我们采取的措施是部署加密网关及数据防泄密系统,所有源代码及相关文档、编译结果都使用加密软件加密保护起来,整个计算机环境对机密数据、文件来说只进不出。若需要开放特定的PC外设(U口、COM口)、应用程序需要经过管理员审批并对操作做审计。对SVN库、数据库等业务服务器的保护,PC和服务器中间部署硬件加密网关,上传数据自动解密,下载到本地会自动加密,全透明自动加密,有效地保护研发服务器的数据安全。
邮箱的弱口令是导致内网被入侵的一个重要的突破口,我们采取了如下措施:为了防止通过暴力破解,统一使用内部LDAP账户,使用强密码策略和强身份认证;邮件系统的web登录页面,设置有人机交互验证码起到类似双因素认证的效果;后台限制每个IP登录错误的次数,当超过一定的阈值后自动阻断该IP的访问;
控制邮件外发权限。对研发等敏感部门及部位的人员,限制邮件外发权限,对邮件的主体、正文内容及附加做审计。
部署邮件安全网关,针对垃圾邮件、定向邮件攻击、恶意链接、恶意附件、勒索软件等安全威胁,采用监控、拦截等多种方式防护;
为了防范邮件钓鱼,我们在邮件地址栏会增加标注“外部用户,谨防欺诈邮件”,这样员工收到邮件就会知道这是外部邮件、不容易中招。在日常安全工作中,我们会定期对员工开展邮件钓鱼演练,向员工发送钓鱼邮件,统计点击情况,汇总后做成培训材料,在开展员工安全意识培训时进行宣教,如:不要与其他共享邮箱账户密码,不要在邮件里发送带有账户密码等敏感信息,不要在互联网注册公司邮箱公司邮箱等方面的宣贯,提高员工的邮件安全防范意识。
业务主机作为承载数据资产和业务管理的基础设施,可谓是“信息安全的最后一公里”,主机安全防护的重要性日益凸显,与此同时,虚拟机、云主机、容器等技术的落地,让主机打破虚拟和现实的安全边界,让资产盲点成倍增长,主机面临的风险和挑战也更加多元化。主机漏洞、高危端口开放、软件弱密码、病毒感染、系统或应用配置不合规等问题,都有可能造成严重的主机安全事故。我们要求新入网主机必须符合安全基线,对所有的业务主机必须安装杀毒软件并结合防火墙做漏洞、高危端口、弱口令、恶意代码等做定期扫描。针对可能出现的内网东西向攻击,对业务主机做分区分域,对外、对内、应用、数据库、测试环境都是互相隔离的网络,各网络域之间有安全设备做访问控制。开启主机防火墙按需做白名单策略,如数据库只允许特定的应用主机访问。严格控制集权系统主机,集权系统是对实现IT资源权限集中管控的平台系统的一个统称。常见的集权系统有:域控、4A、堡垒机、虚拟机管理平台、IT管控平台等。集权系统是攻击者重点攻击目标,在HW行动中也是得分权重最多的。集权主机被突破后影响如下:
1)大量主机沦陷,被突破后或被攻击者获取大量主机的权限,实现网络区域的快速横向入侵,提升入侵效率;2)容易突破网络隔离,实现网络跨越,进入其他网络区域;3)资源信息定位,获取详细的业务信息及运行的服务信息,定位核心系统,容易绘制内网拓扑;4)多重权限留存,大量后面隐匿,无法彻底阻断入侵,搜集包括OA账户、SSLVPN、邮箱等敏感信息;更改防护策略,轻松突破安全防护,避免或减少安全设备告警。因此集权系统防护非常重要,我们采取的措施有:杜绝使用默认口令、弱口令及内置账号使用双因素认证及账号强口令策略及审计;对漏洞做定期扫描技术修复;严格的访问控制策略;对登录信息做重点关注,异常登录及异常操作做实时告警及人工监控的方式,若发现异常情况及时做封堵。
业务防火墙结合堡垒机,对运维权限做管控。通过业务防火墙对业务主机的访问权限做控制,所有的运维人员只允许通过堡垒机管理业务主机,除了内部运维团队人员,分支机及外部顾问访问需要通过SSLVPN方式提供堡垒机 入口,以减少暴露面。为了防止防火墙管理员绕开堡垒机,定期对业务防火墙的权限做审计,访问擅自越权的情况。减少网络的暴露面,降低风险,加强对互联网暴露面做入口收敛,缩减、集中互联网入口、加强域名管控、压缩网站梳理,清理老旧的资产。
在安全体系逐步完善的情况下,由无到有、由点到线、由线到面逐步形成立体纵深防御,然后面临的挑战是:安全设备不断增多且类型也越来越复杂,各设备之间彼此独立单独呈现各自功能范围的安全状况,缺少对整体安全态势的及下属单位的安全量化评价。在2017年7月永恒之蓝全球大爆发的后两个多月,某生产基地生产线受到病毒影响,系统运行极其缓慢,我们安全团队连夜过去支援,记得当时是通过手动抓包的方式一台台处理,经过两天的处置才逐步恢复。痛定思痛,我们亟需一个能够将所有安全设备整合在一起,进行自动化监测分析、展示的综合性网络安全运营平台。为了慎重起见,前期测试及实施落地用了将近一年的时间,该平台上线后不久发现并处理了相当多的隐藏的安全问题,将终端杀毒、网络防火墙、安全日志等安全设备统一管理起来,形成进行关联检测、取证、响应、处置、溯源等立体防御体系,将以前的靠人工处置提升到半自动化及自动化,有效提高了安全人员的处置效率,也实现了对下属单位的安全量化考核。整体安全性能得到大幅度提升。最后,一点点思考,做好安全还需要从安全组织、安全制度、安全流程建设、安全合规建设、应急响应、安全意识宣贯等,还有高层的重视,安全要自身而下推行,没有高层的支持很难开展工作,应从各方面做工作,持续的迭代及优化。同时适当引入零信任、XDR、MSS等新框架新技术,多经历高强度的安全攻防对抗。作者目前就职于某大型上市集团公司、担任网络安全首席安全架构师。有多年的网络安全从业经验。对于大型企业安全体系规划、建立、运营有丰富的实战经验,持有CISSP、CISP、ISO/IEC27001、ITIL4等认证。
科技强大的根本在于企业创新,创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案,希望搭建一个创新型企业信息安全交流的平台,推动行业的信息安全工作交流、共享、提升。安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
还没有评论,来说两句吧...