基礎(chǔ)要點(diǎn)

1.機(jī)密性、完整性、可用性、以及不可否認(rèn)性。

2.保持預(yù)防、檢測、糾正之間的平衡，兼顧風(fēng)險(xiǎn)偏好。

3.將信息安全集成到日常開發(fā)與運(yùn)營中，注意培訓(xùn)員工。

4.審計(jì)流程、滲透測試、漏洞掃描、身份與訪問管理。

解讀

首先我們必須明確的是：由于企業(yè)主營業(yè)務(wù)的不同，安全管理所處置的風(fēng)險(xiǎn)偏好會有所區(qū)別。例如對于研發(fā)組織和醫(yī)療服務(wù)型單位來說，數(shù)據(jù)的機(jī)密性在CIA三性中更為重要；而對于網(wǎng)上交易平臺而言，交易的完整性與平臺的可用性尤為突出。因此，我們需要對癥下藥、有的放矢。

因此，我們在服務(wù)系統(tǒng)的日常開發(fā)與運(yùn)行中，應(yīng)當(dāng)注意把握好“任督二脈”，即：數(shù)據(jù)和流量。

無論是在企業(yè)內(nèi)網(wǎng)系統(tǒng)中所產(chǎn)生的數(shù)據(jù)，還是通過云端業(yè)務(wù)所收集整合來的信息，一般都遵循“創(chuàng)建－>存儲－>使用－>共享－>傳送－>歸檔－>銷毀”的生命周期軌跡，所以我們應(yīng)當(dāng)：

◎在創(chuàng)建與存儲階段：做好數(shù)據(jù)本身的加密。

◎在使用與共享階段：通過對元數(shù)據(jù)（如數(shù)據(jù)屬性標(biāo)簽）的檢索，來實(shí)現(xiàn)數(shù)據(jù)防泄漏（DLP）。同時(shí)利用SAML、XACML或Oauth等基于角色和權(quán)限的映射矩陣，實(shí)現(xiàn)身份和訪問管理(IAM)。

◎在傳送與歸檔階段：采用SSL/TLS、VPN或SSH來實(shí)現(xiàn)數(shù)據(jù)路徑的屏蔽。

◎在銷毀階段：予以脫敏、替換，并清理殘留數(shù)據(jù)。

而對于內(nèi)網(wǎng)中、以及主機(jī)間的流量而言，考慮到它們的源IP地址可能會被偽造，從而無法確定其真實(shí)性和唯一性，因此我們重點(diǎn)獲取并進(jìn)行管控的是相對固定的目標(biāo)地址。當(dāng)然，對于流量中的協(xié)議標(biāo)識、內(nèi)容特征、以及Webshell與攻擊簽名的匹配檢查也是非常重要的。

上面討論的是“動態(tài)”安全管理，那么我們該如何實(shí)施“靜態(tài)”檢查與監(jiān)控呢？具體包括如下幾個(gè)方面：

◎指定目錄和文件的完整性。

◎目標(biāo)操作系統(tǒng)的注冊表、服務(wù)和進(jìn)程狀態(tài)。

◎重點(diǎn)設(shè)備和系統(tǒng)端口的關(guān)開情況。

同時(shí)，我們還需要根據(jù)等級保護(hù)、或合規(guī)的要求持續(xù)審查、整改與加固，包括：

◎系統(tǒng)上多余/可疑的賬號與組。

◎文件/文件夾的屬性/訪問權(quán)限。

◎遠(yuǎn)程訪問的IP與賬戶限制。

◎靜態(tài)代碼中的漏洞。

◎各類補(bǔ)丁與防毒簽名的更新。

實(shí)務(wù)

在具體實(shí)操中，我們企業(yè)的安防系統(tǒng)需要智能識別的場景包括：

屢次嘗試性登錄失??；非活躍的VPN用戶在非常規(guī)工作時(shí)間的遠(yuǎn)程訪問；對于共享文件進(jìn)行頻繁地移動、復(fù)制甚至是刪除等操作；主機(jī)向內(nèi)網(wǎng)其他多臺設(shè)備發(fā)送探測掃描包；網(wǎng)絡(luò)設(shè)備的配置在計(jì)劃外時(shí)間被更改；以及 Web 頁 面 出 現(xiàn) 404、401、500等錯(cuò)誤代碼。

另外，我們還需定向?qū)ψ约旱南到y(tǒng)進(jìn)行如下方面的滲透測試：

◎外部攻擊測試：通過互聯(lián)網(wǎng)的遠(yuǎn)程方式，運(yùn)用ICMP Ping、Whois Lookup、以 及https://pentesttools.com等工具對公網(wǎng)范圍的IP地址進(jìn)行掃描，并予以嘗試性的攻擊。

◎內(nèi)部攻擊測試：運(yùn)用外帶的普通電腦和企業(yè)內(nèi)部的標(biāo)準(zhǔn)電腦兩種方式，使用Nmap、Autoscan工具對選定內(nèi)網(wǎng)范圍的IP地址進(jìn)行掃描與攻擊。

◎Web安全評估：針對內(nèi)網(wǎng)SharePoint之類的應(yīng)用，通過選定足夠數(shù)量的Web頁面，使用W3AF、Metasploit等工具進(jìn)行用戶賬號的相關(guān)破解。

◎?qū)ζ渌?wù)器和數(shù)據(jù)庫進(jìn)行系統(tǒng)級、應(yīng)用級、以及代碼級的滲透。

◎無線安全測試：通過對無線廣播的掃描、并利用Aircrack-ng之類的套件，破解無線路由器的 WEP 和WPA加密密碼，以獲得AP的接入口令。

◎社會工程學(xué)與安全意識：

第一，普通目標(biāo)郵件的釣魚引誘。

第二，目標(biāo)電話（冒名詐騙）誘騙。

第三，郵件鏈接（魚叉式）與自動下載（drive-by download）。

第四，運(yùn)用尾隨或當(dāng)面說服等伎倆進(jìn)入機(jī)房后展開如上內(nèi)部攻擊測試。

常言道：常在河邊走，哪有不失鞋？為了提高全員的信息安全意識，我們會定期向普通用戶發(fā)送安全相關(guān)的提醒和警告郵件。

此舉不但能增強(qiáng)普通員工的基本安全知識面，還能提高他們在可能碰到安全事件時(shí)的自愈和處理能力。