基本辦公安全建設指南 ---我超怕的
通過以上努力,我們基本建設起了辦公網的縱深防禦系統,整個辦公網具有了一定的安全防護以及感知能力。公司的預算總是有限,人力也是捉襟見肘,從無到有建設這麼個安全防護體系不是一年半載的事,需要拍優先順序,下面是乙個建議:
第一步,安全邊界建設,風險初步可控,比如ips、ngfw、防毒、准入、無線加固每個公司安全現狀不一樣,業務情況也不一樣,具體實施步驟和策略需要因地制宜。安全意識教育也是非常重要的乙個環節,尤其針對社工,技術防護手段效果一般。第二步,細化終端安全建設,進一步提高防護能力,比如終端管理、安全加固
第三步,提高安全感知能力,錦上添花,比如蜜罐、漏洞掃瞄、apt、siem
由於現代網路的複雜性,網路牽扯到的業務也不再像以前那麼的單一,企業網路來自於各方面的安全威脅,要分析網路的脆弱性,就要結合網路的實際情況分析所面臨的威脅。脆弱性分析應從物理層,網路層,系統層,應用層,管理層五個層面進行分析:
(一)物理層脆弱性分析
惡意的物理破壞
企業網路各節點交換機和伺服器裝置均封閉在單獨的房間內,這些房間主要由管理人員負責管理,在物理上實現了安全保護,但目前不能做到實時監控和告警。
因為或多或少企業的網路管理不可能達到國家層面的高度,這樣很不現實,我們能夠做的只是盡可能的做到相對安全,其他的只能看管理人員的責任心和安全意識。
電力中斷
企業網中各節點裝置的用電問題,一般的電力故障僅會造成區域故障,但中心機房電力由企業機房單線供電。突然的電力中斷會導致服務無法正常提供,一定會造成資料丟失,為什麼說一定,我們可以知道的是,有哪個企業的機房伺服器或者是辦公電腦的資料是時時儲存或者備份的,所以斷電造成的損失看企業的業務能力而定了。企業一定要有自己的備用電源,這樣在斷電時不至於造成巨大的損失。
消防中心機房要建有消防系統,並納入企業消防聯動系統,實現了火災報警與緊急處置,增加機房監控投入,提前監控消防動態,有可能乙個地方的短路就可造成整個機房不可挽回的損失。還有機房的散熱、濕度、衛生等也是需要管控的。
(二)網路層脆弱性分析
非法外聯
從網路邊界安全的角度考慮,內網中的每個節點自身是乙個安全孤島,具備可信的性質,自身節點以外的區域為不可信區域,自身存在著遭受不可信區域攻擊的危險性,那些沒有受到任何訪問控制保護的節點,其安全性就由節點內各個系統自身的安全性來決定。網路邊界安全效能較弱。內網缺乏邊界防護措施。在前文中講過,在網路架構部署之初,我們就應該對網路的各個節點,也就是各個網路的出入口部署審計系統,以此來管控邊界問題,雖不能杜絕非法外聯,但是過濾和監控流量的效果是很好的。
內部攻擊
由多數的企業網路現狀可以看出,我們的伺服器和使用者之間沒有使用安全裝置進行訪問控制,其中的互動連線更無過濾之說,所有應用和系統由系統自身的安全性決定。但即使有訪問控制功能,還需要防護針對應用或系統漏洞進行攻擊的行為。也不排除內部使用者(潛在攻擊者)會使用攻擊工具在內網中作一些攻擊試探和資訊收集,這有可能會造成業務服務中斷。
內部網路監管需要技術和管理上並進才能保證安全,當然安全教育和硬體軟體網路監控也是必不可少的。
非法訪問
一般企業內網中的普通員工使用者安全意識不強,各系統口令設定缺乏合理性,安全性低,這為非法使用者盜取資料庫資源提供了可能,並且在內部區域網路中這種經常會出現的口令探測也同樣缺乏有效的技術監管。主機作業系統漏洞和錯誤的系統設定也能導致非法訪問的出現。所以在這方面企業應該有一些手段來管控。
互聯裝置安全
企業網路中的互連裝置中使用了大量的交換裝置和路由器。當然也包括其他辦公裝置,如印表機、攝像頭等等。
這些互連裝置的弱管理口令,網路作業系統的版本太低也會使交換裝置受到入侵和拒絕服務攻擊,導致不能正常工作,影響資訊系統的工作。這些物聯網裝置的通病就是共享性嚴重,雖然這是特性,但是這個特性所帶來的威脅是很嚴重的。
舉乙個例子:
乙個物聯網入侵的事件,正值wannacry勒索病毒爆發,公司某部門有幾台辦公電腦被入侵,找不到原因,懷疑是利用了ms17-010漏洞,事實上,公司早就做過了策略並在漏洞爆發前打上了微軟補丁,在幾經排查後,把源頭定位在了印表機身上,這台印表機沒有按照規範放進內網,而是直接暴露在公網,給了攻擊者入侵機會。印表機、攝像頭這類產品就會使用snmp協議,snmp協議通常密碼都是不會改的,所以跑出敏感資訊進而進行漏洞擴大化利用。緣由印表機和攝像頭的共享性,即使不用協議,我都能夠進行攻擊,其中包括市面上100%品牌的印表機裝置(能夠算得上品牌的),如dos攻擊。
所以,只要是連上網路的裝置,就都有可能成為攻擊的物件。
(三)系統層脆弱性分析
系統層的主要問題在於以windows 2003/2008為主的應用伺服器和資料庫伺服器上存在著重要資訊,當然*nux系統的遠端命令執行相對來說比較少,漏洞利用難度也是有的。由於企業各個網路不能互通,重要網路與網際網路物理隔離,系統漏洞補丁不能及時更新,系統防火牆關閉,系統沒有遵循最小許可權原則進行安全策略配置。病毒和黑客攻擊往往針對這些來進行。所以還是那句話,規範化生產和運維至關重要。
(四)應用層脆弱性分析
惡意**
破壞資訊完整性
資訊完整性主要是指網路系統的重要應用資料遭到篡改和破壞,如果沒有相應的備份措施和集中管理,一旦被攻擊,資料遭到的破壞將是難以估計的。
資料傳輸抵賴性
由於目前網路協議對安全性問題考慮得很少,所以單單依靠協議位址或一些簡單的通訊標誌來判定攻擊者的身份是很難的,也是證據不足的,高水平的攻擊者在攻擊時一定會掩飾自己的身份和標誌,這樣才不會暴露自己的身份。如果企業網路資料傳輸無法解決接受方和傳送方的抗抵賴性問題,對傳送有誤資料或不承認傳輸資料的行為無法準確追究責任。應增加身份認證和資料加密傳輸管控措施。內部網路防監聽態勢感知的建設,能夠有效防止此類事件。
病毒的氾濫
企業網路的各應用和資料伺服器都安裝防病毒軟體,系統對病毒的防護有保障。不過對於水坑式攻擊難以有效防範,如果攻擊者針對企業特別研發病毒,那麼防毒軟體只能愛莫能助了,所以要有安全意識和態勢感知加威脅情報來支撐。
(五)管理層脆弱性分析
操作失誤
這是乙個無法避免的問題,主要分為系統管理員和普通使用者操作失誤兩種。前者的影響往往是致命的,直接危害到系統和資料安全;後者主要影響使用者資料的完整性。
人為的故意攻擊
來自系統內部人員和非法外聯使用者的攻擊是很難防範的,內部工作人員本身在重要應用系統上都有一定的使用許可權,並且對系統應用非常清楚,一次試探性的攻擊演練都可能會對應用造成癱瘓的影響,這種行為單單依靠工具的檢測是很難徹底避免的,還應該建立完善的管理制度。
內容參考:
你的企業無線辦公安全有保障嗎?
企業無線辦公網路安全問題日益突出,最近一則報道稱 黑客 可以借助無線 攻擊工具 破解無線密碼 進入企業的無線 內網,導致公司重要 資訊丟失和洩露。另有一則新聞寫到 黑客通過 釋放釣魚wi f i訊號,誘導 員工接入,並 用偽造的 釣魚頁面引導員工輸入企業 內網系統賬號 和密碼,造成賬號密碼洩露,黑客...
移動物聯卡 智慧型公安守護城市安全
在現如今這個網際網路技術發達時期,物聯網已然成為主人公,物聯網能夠運用在許多製造行業內,例如公安智慧型安防等一些領域,大大提公升社會管理體系的實際效果,通過物聯網卡與物聯網大資料融合提高警務高效率,因而移動物聯卡 公安的運作模式已是公安高新科技發展方向的主要趨勢。一 移動物聯卡在公安監管所管理方面的...
辦公終端安全防範常識
1 身份鑑別安全 設定8位以上至少由字母和數字組成的口令,至少每個季度更換一次。設定螢幕保護程式及密碼保護功能。禁用guest帳戶。2 作業系統安全 定期進行作業系統補丁更新。使用ntfs檔案作業系統。啟用windows個人防火牆。關閉不必要的服務,如messager remote registry...