甲方信息安全建设经验

网络系统安全建设

安全域划分

内部网络系统:主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统。

外部网络系统:主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统(不限于:公有云、Github、云存储等)。

 

安全域风险等级

外部网络系统>生产网内部网络系统>测试开发网内部网络系统>办公网内部网络系统>其他网络系统

 

安全域风险对象

外部系统:外部攻击者(黑客、白帽子)

内部系统:内部违规操作员工、已渗透到内网系统的外部攻击者

 

安全建设方案

  由于不同安全域的风险等级、风险对象有所区别,因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。

 

办公网-网络安全建设

WIFI安全

事前安全措施:1、建立双因素认证(通过个人账户密码+短信、动态密码);2、建立设备安全认证(限定特定的设备才能连接)

事中安全措施:1、建议WIFI账号爆破监控;2、WIFI账号爆破封禁策略运营

 

VPN安全

事前安全措施:1、远程接入公司内部网络进行双因素认证(个人账户密码+短信、动态密码);2、硬件指纹获取识别

事中安全措施:1、VPN异地登录;2、异常登录监控;3、VPN爆破监控以及封禁策略

事后安全措施:1、联系VPN账号所属者确定攻击行为

 

日志流量采集检测

事前安全措施:1、办公网网络流量(到边界、到IDC);2、日志采集检测

事中安全措施:1、员工异常行为监控(比如上传内部数据到网盘等);2、攻击监控

事后安全措施:1、对涉事员工进行相应处罚

 

Router统一管理

事前安全措施:1、即统一管理内部网络映射到外网需求(可利用nginx反向代理),减少系统暴露风险

事中安全措施:1、外网端口扫描监控

 

终端网络准入

事前安全措施:1、办公终端(PC)需要安装准入程序,才允许上内部网络

事中安全措施:1、终端异常行为监控

事后安全措施:1、对涉事员工进行相应处罚

 

安全域之间网络隔离

例如:办公网与生产网之间只能通过堡垒机登录,且只有特定端口才能通信等策略(根据实际情况配置)

 

办公网-系统安全建设

办公网服务器安全

事前安全措施:1、服务器基线检查;2、补丁检查;3、端口服务监控;4、服务器登录统一管理

事中安全措施:1、服务器进程监控;2、敏感账户登录监控;3、敏感命令执行监控;4、文件上传下载等(依赖主机安全产品,服务器上安装Agent)

事后安全措施:1、服务器木马;2、后门查杀;3、服务器安全加固(服务器应急响应)

 

办公网终端PC安全

事前安全措施:1、防病毒;2、DLP;3、水印;4、行为监控

事中安全措施:1、DLP数据监控;2、水印监控

 

办公网-应用安全建设

SSO统一登录入口

事前安全措施:1、内部所有的办公系统使用一套SSO认证系统,可有效管理员工账户密码,预防弱口令等风险

事中安全措施:1、异常登录监控;2、弱口令监控

事后安全措施:1、强制修改用户账号密码;2、加固SSO

 

网站水印技术

事前安全措施:1、对有重要敏感数据的网站加上水印,防止数据被截图泄露等风险

事中安全措施:1、水印攻防监控

事后安全措施:1、对涉事员工进行相应处罚

 

邮箱安全

事前安全措施:1、邮箱访问安全加固方案,用来解决邮箱接口被爆破风险;2、附件安全扫描;3、异地登录报警;4、弱口令扫描

事中安全措施:1、邮件爆破监控;2、账户或者IP封禁;3、异地登录监控

事后安全措施:1、若爆破成功,则强制修改相关员工密码,且排查安全风险

 

WAF

事前安全措施:1、应用服务器上部署WAF,拦截web攻击

事中安全措施:2、WAF上进行攻击监测

事后安全措施:3、更新优化WAF拦截策略

 

办公网-员工安全

在职员工安全教育

事前安全措施:1、定期对所有员工进行安全培训;2、对新员工进行入职安全培训;3、定期开展内部钓鱼测试;

4、针对RD可培训WEB安全开发;5、针对OP可培训安全运维。

事中安全措施:1、对员工行为进行监控(可通过前面介绍的几种方案);2、对钓鱼邮件进行告警

事后安全措施:1、对涉事员工进行相应处罚;2、钓鱼邮件影响评估

 

离职员工安全审计

1、离职行为审计;2、办公电脑审计;3、人员离职账户注销

 

办公网-外包安全管理

暂无涉猎

 

办公网-安全合规

1、ISO27001;2、等保2.0

 

生产网-系统安全建设

主机安全:1、内部资产发现;2、webshell监控;3、反弹shell监控等日常运营工作

 

日志分析监控:1、可以偏业务一些,比如接口防刷监控运维;2、也可以偏系统一些,攻击行为的监控运维

 

网络抗DDOS、应用抗CC:主要靠部署一些流量清洗产品

 

入侵检测、防御:IDS、IPS(对于告警记录的运维工作)

 

堡垒机:服务器统一登录管理,秘钥管理,访问控制策略运维工作

 

Router层统一映射管理:互联网端口、IP映射管理,结合cmdb平台运维工作

 

WAF:部署waf产品,拦截WEB攻击,告警记录运营工作

 

端口开放策略(ACL)

 

IPTABLES

 

态势感知(SOC平台):流量监控平台,通过监控不同方向的流量,发现攻击行为

 

蜜罐(欺骗防御):通过在内、外部部署蜜罐产品,发现攻击行为

 

邮件沙箱、网关:针对邮件钓鱼、恶意附件的检测

 

威胁情报:往往跟态势感知相结合

 

除了系统层面的安全建设,生产网更多的是跟运维相关的一些安全内容(比如安全基线等),也包含项目上线的一些安全流程规范管理。

 

外网边界安全建设

资产收集:IP、域名、URL、数据接口、端口服务监控,梳理统计内外网端口映射关系、业务线负责人等信息,盘点边界资产。

 

黑盒漏洞扫描:WEB漏洞扫描、主机漏洞扫描(可采购也可自研,定期巡检)

 

业务逻辑漏洞扫描:通过流量、日志被动式检测简单的业务逻辑漏洞

 

GITHUB监控:自动化监控github泄露的公司相关代码、服务器个人相关信息等

 

SRC上报漏洞响应:建设SRC平台,收集白帽子提交的安全漏洞

 

最新漏洞、0day响应:0day、1day漏洞的研究、应急团队,推动漏洞修复

 

威胁情报

 

渗透测试:定期开展从互联网边界实施的渗透测试工作,寻找安全漏洞

 

外网边界的安全建设工作,大致分为三个步骤:资产盘点、漏洞扫描、漏洞推修(定期重复),0day漏洞应急另算。

 

产品安全建设

第一道防线:产品安全设计(早期可通过安全编码、意识培训使RD、PM具备信息安全意识)

 

第二道防线:需求评审、架构评审、代码审计、白盒扫描(通过建立需求安全评审等机制,严格控制新项目上线流程)

 

第三道防线:黑盒扫描、灰盒扫描(项目上线后可定期开展黑盒扫描)

 

第四道防线:SRC、企业蓝军(通过SRC、蓝军渗透发现的漏洞进行补充)

 

在整个产品安全建设过程中,企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。

 

企业红蓝对抗

企业红军:负责企业安全建设、安全监控、安全加固

企业蓝军:负责攻击安全堡垒、找出安全薄弱点

 

网络安全红军的工作包含了以上所有的安全建设工作,而网络安全蓝军的工作是一个全新的视角,包含不限于:

 

内部钓鱼攻击

 

外部漏洞攻击

 

APT攻击

 

内部爆破攻击

 

员工信息收集

……

 

企业在蓝军团队建设过程中,可自研沉淀:漏洞扫描器、社工库、漏洞库等

 

私有云安全

有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:

 

网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等

 

数据安全:数据的备份加密、数据接口防重放、数据分级分类等

 

主机安全:防逃逸、内存溢出、入侵检测等

 

安全合规:等保2.0云安全相关章节

 

安全组织架构

小规模

若公司规模小,个人认为可按事前、事中、事后划分信息安全组织架构(仅供参考)

 

系统安全

事前团队:负责内外网安全建设

事中团队:负责入侵监控、异常监控

事后团队:负责应急响应、事后处罚整改

 

产品安全:SDL

 

安全合规

 

业务安全

 

大规模

若公司规模大,可按安全区域划分组织架构(仅供参考)

 

系统安全:

办公网团队:负责办公网安全建设、安全监控、应急响应(内部可再按照前、中、后细分,再细分,可分WEB、移动、硬件等)

生产网团队:负责生产网安全建设、安全监控、应急响应

外网边界团队:负责边界安全建设、安全监控、应急响应

 

产品安全:SDL

 

安全合规

 

蓝军团队:如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的,但属于事前。

 

业务安全

 

云安全

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/768809.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

地图爬虫工具 百度高德腾讯地图商家电话采集软件使用指南

使用地图爬虫工具可以方便地从百度、高德、腾讯地图等地图服务中获取商家的电话号码。下面是使用指南,并附带代码示例。 使用地图爬虫工具之前,我们需要安装相关的依赖库。建议使用Python作为开发语言,因为Python有一些非常好用的爬虫库可供…

详解机器学习概念、算法

目录 前言 一、常见的机器学习算法 二、监督学习和非监督学习 三、常见的机器学习概念解释 四、深度学习与机器学习的区别 基于Python 和 TensorFlow 深度学习框架实现简单的多层感知机(MLP)神经网络的示例代码: 欢迎三连哦! 前言…

Spark Map 和 FlatMap 的比较

Spark Map 和 FlatMap 的比较 本节将介绍Spark中map(func)和flatMap(func)两个函数的区别和基本使用。 函数原型 map(func) 将原数据的每个元素传给函数func进行格式化,返回一个新的分布式数据集。 flatMap(func) 跟map(func)类似,但是每个输入项和…

JUC(二)

1、wait notify Owner 线程发现条件不满足,调用 wait 方法,即可进入 WaitSet 变为 WAITING 状态 BLOCKED 和 WAITING 的线程都处于阻塞状态,不占用 CPU 时间片 BLOCKED 线程会在 Owner 线程释放锁时唤醒 WAITING 线程会在 Owner 线程调用 …

Gelato Network的创始人HILMAR ORTH确认出席HackSummit2024区块链开发者大会

随着Web3技术的日新月异,区块链领域正以前所未有的速度席卷全球。在这一变革的浪潮中,备受瞩目的区块链盛会——Hack.Summit() 2024区块链开发者大会,将于2024年4月9日至10日,在香港数码港隆重登场。这一里程碑式的大会不仅标志着…

#Linux系统编程(read,open,close,write综合练习)

&#xff08;一&#xff09;发行版&#xff1a;Ubuntu16.04.7 &#xff08;二&#xff09;记录&#xff1a; &#xff08;1&#xff09;不传参&#xff0c;指定拷贝文件&#xff0c;指定复制到文件 #include <stdio.h> #include <stdlib.h> #include <sys/typ…

大厂校招,已经在「这些平台」里卷起来了!

如今的校招卷内容&#xff0c;更卷渠道。传统的渠道已然无法满足企业的野心&#xff0c;于是他们将目光投向了主流社交平台。无论是在「微信公众号」、「B站」还是「小红书」&#xff0c;我们都不难发现大厂们「开卷」的身影。那么&#xff0c;参考它们的思路&#xff0c;企业该…

设计模式面试专题

文章目录 请列举出在 JDK 中几个常用的设计模式&#xff1f;什么是设计模式&#xff1f;Java 中什么叫单例设计模式&#xff1f;请用 Java 写出线程安全的单例模式在 Java 中&#xff0c;什么叫观察者设计模式&#xff08;observer design pattern&#xff09;&#xff1f;使用…

富格林:可信要领戒备虚假套路

富格林指出&#xff0c;为避免遭遇虚假套路而造成巨大亏损&#xff0c;投资者需灵活地采用一些可信的交易技巧作为抵抗风险的重要手段。投资者进入市场后&#xff0c;需要的系统学习正规做单技巧&#xff0c;树立正规做单的意识规避虚假套路&#xff0c;提高做单盈利。接下来总…

位运算符与位移运算符

按位与& 两个二进制数字都是1 取1否则取0 按位或I 两个二进制数字都是0取0否则取1 按位取反~如果该位为0则1 &#xff0c;为1取0 按位异或 ^ 相同为零相反为1 移位运算符 有三个: <<, >> ,>>>&#xff0c;都是二元运算符&#xff0c;且都是按…

iPhone 15 Pro LiDAR Module模组逆向(2024.3.23)

iPhone15 Pro出来后,基本上国内所有的模组厂包括舜宇,丘钛等都已经逆向了LiDAR模组,并同时测试了电学,光学,BOM成本等一系列测试。当然市面上最具备影响力的是YOLE的商业评估报告,我这边同时具有这些报告,也有一些自己的见解,当然本篇讲解可能会同时涉及到几个模组厂和…

Python爬虫-批量爬取星巴克全国门店

前言 本文是该专栏的第22篇,后面会持续分享python爬虫干货知识,记得关注。 本文笔者以星巴克为例,通过Python实现批量爬取目标城市的门店数据以及全国的门店数据。 具体的详细思路以及代码实现逻辑,跟着笔者直接往下看正文详细内容。(附带完整代码) 正文 地址:aHR0cHM…

【前端寻宝之路】JavaScript初学之旅

&#x1f308;个人主页: Aileen_0v0 &#x1f525;热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法|MySQL| ​&#x1f4ab;个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-azUa9yH16cRXQUxE {font-family:"trebuchet ms",verdana,arial,sans-serif;f…

解读EPO电梯行业数智化平台功能模块,开启电梯行业智能之旅

在当今的电梯行业中&#xff0c;数字化和智能化已经成为提升运营效率和服务质量的关键。EPO电梯行业数智化运营平台凭借其出色的功能模块&#xff0c;为行业带来了创新和变革。那么我们今天就来讲讲国辰智企的EPO电梯行业数智化运营平台的功能吧。 1、EOS土建出图&#xff1a;这…

【STK】手把手教你利用STK进行导弹和反导仿真02 - STK/MMT模块01 导弹任务分析工具概述

导弹任务分析工具 Missile Mission Toolbox MMT包括4个部分,分别是 导弹设计工具 Missile Design Tool MDT 导弹飞行工具 Missile Flight Tool MFT 拦截飞行工具 Interceptor Flight Tool MCT 导弹转换工具 Missile Conversion Tool MCT 可以用于 创建高保真弹道 评估导弹系统…

贝尔曼最优方程【BOE】

强化学习笔记 主要基于b站西湖大学赵世钰老师的【强化学习的数学原理】课程&#xff0c;个人觉得赵老师的课件深入浅出&#xff0c;很适合入门. 第一章 强化学习基本概念 第二章 贝尔曼方程 第三章 贝尔曼最优方程 文章目录 强化学习笔记一、最优策略二、贝尔曼最优方程(BOE)三…

【linux】进程1 -- 属性

文章目录 进程PCBlinux查看进程 进程属性task_struct结构体一、进程标识符父子进程 二、进程状态磁盘睡眠 -- D 暂停和跟踪暂停 -- T和t僵尸进程 -- Z孤儿进程 三、进程优先级 进程 课本概念&#xff1a;程序的一个执行实例&#xff0c;正在执行的程序&#xff0c;操作系统进行…

反序列化漏洞简单知识

目录&#xff1a; 一、概念&#xff1a; 二、反序列化漏洞原因 三、序列化漏洞的魔术方法&#xff1a; 四、反序列化漏洞防御&#xff1a; 一、概念&#xff1a; 序列化&#xff1a; Web服务器将HttpSession对象保存到文件系统或数据库中&#xff0c;需要采用序列化的…

nodejs+vue反诈科普平台的设计与实现pythonflask-django-php

相比于以前的传统手工管理方式&#xff0c;智能化的管理方式可以大幅降低反诈科普平台的运营人员成本&#xff0c;实现了反诈科普平台的标准化、制度化、程序化的管理&#xff0c;有效地防止了反诈科普平台的随意管理&#xff0c;提高了信息的处理速度和精确度&#xff0c;能够…

AIGC、3D模型、轻量化、格式转换、可视化、数字孪生引擎...

老子云3D可视化快速开发平台&#xff0c;集云压缩、云烘焙、云存储云展示于一体&#xff0c;使3D模型资源自动输出至移动端PC端、Web端&#xff0c;能在多设备、全平台进行展示和交互&#xff0c;是全球领先、自主可控的自动化3D云引擎。 平台架构 平台特性 基于 HTML5 和 Web…