基礎要點

1.機密性、完整性、可用性、以及不可否認性。

2.保持預防、檢測、糾正之間的平衡，兼顧風險偏好。

3.將信息安全集成到日常開發(fā)與運營中，注意培訓員工。

4.審計流程、滲透測試、漏洞掃描、身份與訪問管理。

解讀

首先我們必須明確的是：由于企業(yè)主營業(yè)務的不同，安全管理所處置的風險偏好會有所區(qū)別。例如對于研發(fā)組織和醫(yī)療服務型單位來說，數(shù)據(jù)的機密性在CIA三性中更為重要；而對于網(wǎng)上交易平臺而言，交易的完整性與平臺的可用性尤為突出。因此，我們需要對癥下藥、有的放矢。

因此，我們在服務系統(tǒng)的日常開發(fā)與運行中，應當注意把握好“任督二脈”，即：數(shù)據(jù)和流量。

無論是在企業(yè)內(nèi)網(wǎng)系統(tǒng)中所產(chǎn)生的數(shù)據(jù)，還是通過云端業(yè)務所收集整合來的信息，一般都遵循“創(chuàng)建－>存儲－>使用－>共享－>傳送－>歸檔－>銷毀”的生命周期軌跡，所以我們應當：

◎在創(chuàng)建與存儲階段：做好數(shù)據(jù)本身的加密。

◎在使用與共享階段：通過對元數(shù)據(jù)（如數(shù)據(jù)屬性標簽）的檢索，來實現(xiàn)數(shù)據(jù)防泄漏（DLP）。同時利用SAML、XACML或Oauth等基于角色和權限的映射矩陣，實現(xiàn)身份和訪問管理(IAM)。

◎在傳送與歸檔階段：采用SSL/TLS、VPN或SSH來實現(xiàn)數(shù)據(jù)路徑的屏蔽。

◎在銷毀階段：予以脫敏、替換，并清理殘留數(shù)據(jù)。

而對于內(nèi)網(wǎng)中、以及主機間的流量而言，考慮到它們的源IP地址可能會被偽造，從而無法確定其真實性和唯一性，因此我們重點獲取并進行管控的是相對固定的目標地址。當然，對于流量中的協(xié)議標識、內(nèi)容特征、以及Webshell與攻擊簽名的匹配檢查也是非常重要的。

上面討論的是“動態(tài)”安全管理，那么我們該如何實施“靜態(tài)”檢查與監(jiān)控呢？具體包括如下幾個方面：

◎指定目錄和文件的完整性。

◎目標操作系統(tǒng)的注冊表、服務和進程狀態(tài)。

◎重點設備和系統(tǒng)端口的關開情況。

同時，我們還需要根據(jù)等級保護、或合規(guī)的要求持續(xù)審查、整改與加固，包括：

◎系統(tǒng)上多余/可疑的賬號與組。

◎文件/文件夾的屬性/訪問權限。

◎遠程訪問的IP與賬戶限制。

◎靜態(tài)代碼中的漏洞。

◎各類補丁與防毒簽名的更新。

實務

在具體實操中，我們企業(yè)的安防系統(tǒng)需要智能識別的場景包括：

屢次嘗試性登錄失??；非活躍的VPN用戶在非常規(guī)工作時間的遠程訪問；對于共享文件進行頻繁地移動、復制甚至是刪除等操作；主機向內(nèi)網(wǎng)其他多臺設備發(fā)送探測掃描包；網(wǎng)絡設備的配置在計劃外時間被更改；以及 Web 頁 面 出 現(xiàn) 404、401、500等錯誤代碼。

另外，我們還需定向?qū)ψ约旱南到y(tǒng)進行如下方面的滲透測試：

◎外部攻擊測試：通過互聯(lián)網(wǎng)的遠程方式，運用ICMP Ping、Whois Lookup、以 及https://pentesttools.com等工具對公網(wǎng)范圍的IP地址進行掃描，并予以嘗試性的攻擊。

◎內(nèi)部攻擊測試：運用外帶的普通電腦和企業(yè)內(nèi)部的標準電腦兩種方式，使用Nmap、Autoscan工具對選定內(nèi)網(wǎng)范圍的IP地址進行掃描與攻擊。

◎Web安全評估：針對內(nèi)網(wǎng)SharePoint之類的應用，通過選定足夠數(shù)量的Web頁面，使用W3AF、Metasploit等工具進行用戶賬號的相關破解。

◎?qū)ζ渌掌骱蛿?shù)據(jù)庫進行系統(tǒng)級、應用級、以及代碼級的滲透。

◎無線安全測試：通過對無線廣播的掃描、并利用Aircrack-ng之類的套件，破解無線路由器的 WEP 和WPA加密密碼，以獲得AP的接入口令。

◎社會工程學與安全意識：

第一，普通目標郵件的釣魚引誘。

第二，目標電話（冒名詐騙）誘騙。

第三，郵件鏈接（魚叉式）與自動下載（drive-by download）。

第四，運用尾隨或當面說服等伎倆進入機房后展開如上內(nèi)部攻擊測試。

常言道：常在河邊走，哪有不失鞋？為了提高全員的信息安全意識，我們會定期向普通用戶發(fā)送安全相關的提醒和警告郵件。

此舉不但能增強普通員工的基本安全知識面，還能提高他們在可能碰到安全事件時的自愈和處理能力。