內網終端安全建設(轉)
阿新 • • 發佈:2018-12-21
內網終端安全工作思考
內網辦公主機
辦公主機的安全需求
這裡列舉一般辦公主機的需求項:
- 病毒防禦(本地查殺選用國外廠商的產品,能接受雲查殺選用國內廠商的產品,沒有重要機密的內容的);
- 入侵檢測防禦(說白了就是HIDS或者HIPS產品,一般國內都是和防毒軟體整合的);
- 漏洞防護(打補丁,一般國內也是整合在殺軟裡面的);
- 軟體管控(軟體中心功能,一般對win平臺比較常見);
- 日誌記錄;
- 管控場景(禁止起SSID等、資料防洩漏DLP)
這裡用來解釋一下日誌需求:
- 日誌記錄一般可以做兩件事情被攻擊的響應追查和主動攻擊的追蹤溯源;
- 日誌可以記錄郵件、程序、服務、命令等等;
辦公主機安裝和線上率提高方案
- 全員檢查
- 內網做准入
- 虛擬桌面後臺強制安裝
工作三部曲
- 推全員安裝
- 做准入推全員再現
- 推漏洞補丁自動安裝並接受實時日誌
重點管控物件
- 人力資源部門
- 法務財務部門
- 高管要職群體
- 助理祕書群體
- 投資融資部門
- 其他關鍵人員
重點效果預期
- 自主防禦能力提升化
- 漏洞補丁修復自動化
- 敏感資料傳存安全化
- 病毒爆發場景預知化
- 攻擊失陷發現簡單化
內外伺服器端
伺服器的安全需求
這裡列舉一般伺服器的需求項:
Windows伺服器
- 補丁安裝與漏洞元件監控升級(伺服器不建議自動升級或打補丁,因為需要重啟,而且打補丁情況不可控)
- 自主防禦能力(HIPS或HIDS能力,也可以在網路層做NIPS)
- 可信軟體中心(軟體管控)
- 日誌監控
UnixLike伺服器
- 漏洞監控與修補(監控下手動升級,建議用漏掃引擎結合POC做)
- 自主防禦模組(HIPS或HIDS能力,也可以在網路層做NIPS)
- 可信軟體監控(用官方AppStore或者官方源)
- 日誌監控
解決方案
- 制定好裝機模板(打好補丁,安裝上必要的程式軟體,配好日誌指向收集平臺)
- 要求上線必按照裝機模板裝機
- 對UnixLike系統伺服器建立有效的漏掃機制,形成漏洞修復閉環,對Windows系統也有效,更建議安裝或自研伺服器衛士類程式和統一控制平臺管理(統一做漏洞修復)。
- 日誌全部配置到統一日誌管理,自動化分析告警。
重點保障物件
- 域控、RADIUS伺服器、SSO單點登入伺服器等認證類伺服器;
- 路由器、交換機、防火牆、DHCP伺服器、DNS伺服器等重點的網路裝置;
- 財務系統、人力系統、薪資系統、招聘系統、法務系統、專利系統、文件系統(合同、協議、招投標檔案)等關鍵系統;
- 原始碼版本控制器、重要的工控生產裝置等生產要素;