基礎(chǔ)要點(diǎn)

1.機(jī)密性、完整性、可用性、以及不可否認(rèn)性。

2.保持預(yù)防、檢測(cè)、糾正之間的平衡，兼顧風(fēng)險(xiǎn)偏好。

3.將信息安全集成到日常開發(fā)與運(yùn)營(yíng)中，注意培訓(xùn)員工。

4.審計(jì)流程、滲透測(cè)試、漏洞掃描、身份與訪問管理。

解讀

首先我們必須明確的是：由于企業(yè)主營(yíng)業(yè)務(wù)的不同，安全管理所處置的風(fēng)險(xiǎn)偏好會(huì)有所區(qū)別。例如對(duì)于研發(fā)組織和醫(yī)療服務(wù)型單位來說，數(shù)據(jù)的機(jī)密性在CIA三性中更為重要；而對(duì)于網(wǎng)上交易平臺(tái)而言，交易的完整性與平臺(tái)的可用性尤為突出。因此，我們需要對(duì)癥下藥、有的放矢。

因此，我們?cè)诜?wù)系統(tǒng)的日常開發(fā)與運(yùn)行中，應(yīng)當(dāng)注意把握好“任督二脈”，即：數(shù)據(jù)和流量。

無論是在企業(yè)內(nèi)網(wǎng)系統(tǒng)中所產(chǎn)生的數(shù)據(jù)，還是通過云端業(yè)務(wù)所收集整合來的信息，一般都遵循“創(chuàng)建－>存儲(chǔ)－>使用－>共享－>傳送－>歸檔－>銷毀”的生命周期軌跡，所以我們應(yīng)當(dāng)：

◎在創(chuàng)建與存儲(chǔ)階段：做好數(shù)據(jù)本身的加密。

◎在使用與共享階段：通過對(duì)元數(shù)據(jù)（如數(shù)據(jù)屬性標(biāo)簽）的檢索，來實(shí)現(xiàn)數(shù)據(jù)防泄漏（DLP）。同時(shí)利用SAML、XACML或Oauth等基于角色和權(quán)限的映射矩陣，實(shí)現(xiàn)身份和訪問管理(IAM)。

◎在傳送與歸檔階段：采用SSL/TLS、VPN或SSH來實(shí)現(xiàn)數(shù)據(jù)路徑的屏蔽。

◎在銷毀階段：予以脫敏、替換，并清理殘留數(shù)據(jù)。

而對(duì)于內(nèi)網(wǎng)中、以及主機(jī)間的流量而言，考慮到它們的源IP地址可能會(huì)被偽造，從而無法確定其真實(shí)性和唯一性，因此我們重點(diǎn)獲取并進(jìn)行管控的是相對(duì)固定的目標(biāo)地址。當(dāng)然，對(duì)于流量中的協(xié)議標(biāo)識(shí)、內(nèi)容特征、以及Webshell與攻擊簽名的匹配檢查也是非常重要的。

上面討論的是“動(dòng)態(tài)”安全管理，那么我們?cè)撊绾螌?shí)施“靜態(tài)”檢查與監(jiān)控呢？具體包括如下幾個(gè)方面：

◎指定目錄和文件的完整性。

◎目標(biāo)操作系統(tǒng)的注冊(cè)表、服務(wù)和進(jìn)程狀態(tài)。

◎重點(diǎn)設(shè)備和系統(tǒng)端口的關(guān)開情況。

同時(shí)，我們還需要根據(jù)等級(jí)保護(hù)、或合規(guī)的要求持續(xù)審查、整改與加固，包括：

◎系統(tǒng)上多余/可疑的賬號(hào)與組。

◎文件/文件夾的屬性/訪問權(quán)限。

◎遠(yuǎn)程訪問的IP與賬戶限制。

◎靜態(tài)代碼中的漏洞。

◎各類補(bǔ)丁與防毒簽名的更新。

實(shí)務(wù)

在具體實(shí)操中，我們企業(yè)的安防系統(tǒng)需要智能識(shí)別的場(chǎng)景包括：

屢次嘗試性登錄失??；非活躍的VPN用戶在非常規(guī)工作時(shí)間的遠(yuǎn)程訪問；對(duì)于共享文件進(jìn)行頻繁地移動(dòng)、復(fù)制甚至是刪除等操作；主機(jī)向內(nèi)網(wǎng)其他多臺(tái)設(shè)備發(fā)送探測(cè)掃描包；網(wǎng)絡(luò)設(shè)備的配置在計(jì)劃外時(shí)間被更改；以及 Web 頁 面 出 現(xiàn) 404、401、500等錯(cuò)誤代碼。

另外，我們還需定向?qū)ψ约旱南到y(tǒng)進(jìn)行如下方面的滲透測(cè)試：

◎外部攻擊測(cè)試：通過互聯(lián)網(wǎng)的遠(yuǎn)程方式，運(yùn)用ICMP Ping、Whois Lookup、以 及https://pentesttools.com等工具對(duì)公網(wǎng)范圍的IP地址進(jìn)行掃描，并予以嘗試性的攻擊。

◎內(nèi)部攻擊測(cè)試：運(yùn)用外帶的普通電腦和企業(yè)內(nèi)部的標(biāo)準(zhǔn)電腦兩種方式，使用Nmap、Autoscan工具對(duì)選定內(nèi)網(wǎng)范圍的IP地址進(jìn)行掃描與攻擊。

◎Web安全評(píng)估：針對(duì)內(nèi)網(wǎng)SharePoint之類的應(yīng)用，通過選定足夠數(shù)量的Web頁面，使用W3AF、Metasploit等工具進(jìn)行用戶賬號(hào)的相關(guān)破解。

◎?qū)ζ渌?wù)器和數(shù)據(jù)庫(kù)進(jìn)行系統(tǒng)級(jí)、應(yīng)用級(jí)、以及代碼級(jí)的滲透。

◎無線安全測(cè)試：通過對(duì)無線廣播的掃描、并利用Aircrack-ng之類的套件，破解無線路由器的 WEP 和WPA加密密碼，以獲得AP的接入口令。

◎社會(huì)工程學(xué)與安全意識(shí)：

第一，普通目標(biāo)郵件的釣魚引誘。

第二，目標(biāo)電話（冒名詐騙）誘騙。

第三，郵件鏈接（魚叉式）與自動(dòng)下載（drive-by download）。

第四，運(yùn)用尾隨或當(dāng)面說服等伎倆進(jìn)入機(jī)房后展開如上內(nèi)部攻擊測(cè)試。

常言道：常在河邊走，哪有不失鞋？為了提高全員的信息安全意識(shí)，我們會(huì)定期向普通用戶發(fā)送安全相關(guān)的提醒和警告郵件。

此舉不但能增強(qiáng)普通員工的基本安全知識(shí)面，還能提高他們?cè)诳赡芘龅桨踩录r(shí)的自愈和處理能力。