內網終端安全工作思考
內網辦公主機
辦公主機的安全需求
這裏列舉一般辦公主機的需求項:
- 病毒防禦(本地查殺選用國外廠商的產品,能接受雲查殺選用國內廠商的產品,沒有重要機密的內容的);
- 入侵檢測防禦(說白了就是HIDS或者HIPS產品,一般國內都是和殺毒軟件集成的);
- 漏洞防護(打補丁,一般國內也是集成在殺軟裏面的);
- 軟件管控(軟件中心功能,一般對win平臺比較常見);
- 日誌記錄;
- 管控場景(禁止起SSID等、數據防泄漏DLP)
這裏用來解釋一下日誌需求:
- 日誌記錄一般可以做兩件事情被攻擊的響應追查和主動攻擊的追蹤溯源;
- 日誌可以記錄郵件、進程、服務、命令等等;
辦公主機安裝和在線率提高方案
- 全員檢查
- 內網做准入
- 虛擬桌面後臺強制安裝
工作三部曲
- 推全員安裝
- 做准入推全員再現
- 推漏洞補丁自動安裝並接受實時日誌
重點管控對象
- 人力資源部門
- 法務財務部門
- 高管要職羣體
- 助理祕書羣體
- 投資融資部門
- 其他關鍵人員
重點效果預期
- 自主防禦能力提升化
- 漏洞補丁修復自動化
- 敏感數據傳存安全化
- 病毒爆發場景預知化
- 攻擊失陷發現簡單化
內外服務器端
服務器的安全需求
這裏列舉一般服務器的需求項:
Windows服務器
- 補丁安裝與漏洞組件監控升級(服務器不建議自動升級或打補丁,因爲需要重啓,而且打補丁情況不可控)
- 自主防禦能力(HIPS或HIDS能力,也可以在網絡層做NIPS)
- 可信軟件中心(軟件管控)
- 日誌監控
UnixLike服務器
- 漏洞監控與修補(監控下手動升級,建議用漏掃引擎結合POC做)
- 自主防禦模塊(HIPS或HIDS能力,也可以在網絡層做NIPS)
- 可信軟件監控(用官方AppStore或者官方源)
- 日誌監控
解決方案
- 制定好裝機模板(打好補丁,安裝上必要的程序軟件,配好日誌指向收集平臺)
- 要求上線必按照裝機模板裝機
- 對UnixLike系統服務器建立有效的漏掃機制,形成漏洞修復閉環,對Windows系統也有效,更建議安裝或自研服務器衛士類程序和統一控制平臺管理(統一做漏洞修復)。
- 日誌全部配置到統一日誌管理,自動化分析告警。
重點保障對象
- 域控、RADIUS服務器、SSO單點登錄服務器等認證類服務器;
- 路由器、交換機、防火牆、DHCP服務器、DNS服務器等重點的網絡設備;
- 財務系統、人力系統、薪資系統、招聘系統、法務系統、專利系統、文檔系統(合同、協議、招投標文件)等關鍵系統;
- 源代碼版本控制器、重要的工控生產設備等生產要素;
