内网终端安全工作思考
内网办公主机
办公主机的安全需求
这里列举一般办公主机的需求项:
- 病毒防御(本地查杀选用国外厂商的产品,能接受云查杀选用国内厂商的产品,没有重要机密的内容的);
- 入侵检测防御(说白了就是HIDS或者HIPS产品,一般国内都是和杀毒软件集成的);
- 漏洞防护(打补丁,一般国内也是集成在杀软里面的);
- 软件管控(软件中心功能,一般对win平台比较常见);
- 日志记录;
- 管控场景(禁止起SSID等、数据防泄漏DLP)
这里用来解释一下日志需求:
- 日志记录一般可以做两件事情被攻击的响应追查和主动攻击的追踪溯源;
- 日志可以记录邮件、进程、服务、命令等等;
办公主机安装和在线率提高方案
- 全员检查
- 内网做准入
- 虚拟桌面后台强制安装
工作三部曲
- 推全员安装
- 做准入推全员再现
- 推漏洞补丁自动安装并接受实时日志
重点管控对象
- 人力资源部门
- 法务财务部门
- 高管要职群体
- 助理秘书群体
- 投资融资部门
- 其他关键人员
重点效果预期
- 自主防御能力提升化
- 漏洞补丁修复自动化
- 敏感数据传存安全化
- 病毒爆发场景预知化
- 攻击失陷发现简单化
内外服务器端
服务器的安全需求
这里列举一般服务器的需求项:
Windows服务器
- 补丁安装与漏洞组件监控升级(服务器不建议自动升级或打补丁,因为需要重启,而且打补丁情况不可控)
- 自主防御能力(HIPS或HIDS能力,也可以在网络层做NIPS)
- 可信软件中心(软件管控)
- 日志监控
UnixLike服务器
- 漏洞监控与修补(监控下手动升级,建议用漏扫引擎结合POC做)
- 自主防御模块(HIPS或HIDS能力,也可以在网络层做NIPS)
- 可信软件监控(用官方AppStore或者官方源)
- 日志监控
解决方案
- 制定好装机模板(打好补丁,安装上必要的程序软件,配好日志指向收集平台)
- 要求上线必按照装机模板装机
- 对UnixLike系统服务器建立有效的漏扫机制,形成漏洞修复闭环,对Windows系统也有效,更建议安装或自研服务器卫士类程序和统一控制平台管理(统一做漏洞修复)。
- 日志全部配置到统一日志管理,自动化分析告警。
重点保障对象
- 域控、RADIUS服务器、SSO单点登录服务器等认证类服务器;
- 路由器、交换机、防火墙、DHCP服务器、DNS服务器等重点的网络设备;
- 财务系统、人力系统、薪资系统、招聘系统、法务系统、专利系统、文档系统(合同、协议、招投标文件)等关键系统;
- 源代码版本控制器、重要的工控生产设备等生产要素;
