我所认知的甲方信息安全建设经验

推开门　烟火中的红尘　宣纸上　是故事里的人

　　毕业至今，从最初在乙方安全厂商做安全服务，辗转到互联网公司做安全研发，现今在金融国企做安全建设工作。几年信息安全职业生涯，我经历了从乙方到甲方的角色转换，经历了从互联网到国企的转变。兜兜转转的几年时间里，随着日常工作内容的改变，我对信息安全的认知也发生了一些变化。本篇我将记录总结一些甲方信息安全建设方面的经验，仅代表此时此刻我对于信息安全建设的一些认知（说明：甲方信息安全建设涉及内容太宽泛，本篇大致列举一些信息安全建设方面的措施，具体细节之后会单独记录成文）

网络系统安全建设

安全域划分

内部网络系统：主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统。
外部网络系统：主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统（不限于：公有云、Github、云存储等）。

安全域风险等级

外部网络系统>生产网内部网络系统>测试开发网内部网络系统>办公网内部网络系统>其他网络系统

安全域风险对象

外部系统：外部攻击者（黑客、白帽子）
内部系统：内部违规操作员工、已渗透到内网系统的外部攻击者

安全建设方案

　　由于不同安全域的风险等级、风险对象有所区别，因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅，我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。

办公网-网络安全建设

WIFI安全

事前安全措施：1、建立双因素认证（通过个人账户密码+短信、动态密码）；2、建立设备安全认证（限定特定的设备才能连接）
事中安全措施：1、建议WIFI账号爆破监控；2、WIFI账号爆破封禁策略运营

VPN安全

事前安全措施：1、远程接入公司内部网络进行双因素认证（个人账户密码+短信、动态密码）；2、硬件指纹获取识别
事中安全措施：1、VPN异地登录；2、异常登录监控；3、VPN爆破监控以及封禁策略
事后安全措施：1、联系VPN账号所属者确定攻击行为

日志流量采集检测

事前安全措施：1、办公网网络流量（到边界、到IDC）；2、日志采集检测
事中安全措施：1、员工异常行为监控（比如上传内部数据到网盘等）；2、攻击监控
事后安全措施：1、对涉事员工进行相应处罚

Router统一管理

事前安全措施：1、即统一管理内部网络映射到外网需求（可利用nginx反向代理），减少系统暴露风险
事中安全措施：1、外网端口扫描监控

终端网络准入

事前安全措施：1、办公终端（PC）需要安装准入程序，才允许上内部网络
事中安全措施：1、终端异常行为监控
事后安全措施：1、对涉事员工进行相应处罚

安全域之间网络隔离

例如：办公网与生产网之间只能通过堡垒机登录，且只有特定端口才能通信等策略（根据实际情况配置）

办公网-系统安全建设

办公网服务器安全

事前安全措施：1、服务器基线检查；2、补丁检查；3、端口服务监控；4、服务器登录统一管理
事中安全措施：1、服务器进程监控；2、敏感账户登录监控；3、敏感命令执行监控；4、文件上传下载等（依赖主机安全产品，服务器上安装Agent）
事后安全措施：1、服务器木马；2、后门查杀；3、服务器安全加固（服务器应急响应）

办公网终端PC安全

事前安全措施：1、防病毒；2、DLP；3、水印；4、行为监控
事中安全措施：1、DLP数据监控；2、水印监控

办公网-应用安全建设

SSO统一登录入口

事前安全措施：1、内部所有的办公系统使用一套SSO认证系统，可有效管理员工账户密码，预防弱口令等风险
事中安全措施：1、异常登录监控；2、弱口令监控
事后安全措施：1、强制修改用户账号密码；2、加固SSO

网站水印技术

事前安全措施：1、对有重要敏感数据的网站加上水印，防止数据被截图泄露等风险
事中安全措施：1、水印攻防监控
事后安全措施：1、对涉事员工进行相应处罚

邮箱安全

事前安全措施：1、邮箱访问安全加固方案，用来解决邮箱接口被爆破风险；2、附件安全扫描；3、异地登录报警；4、弱口令扫描
事中安全措施：1、邮件爆破监控；2、账户或者IP封禁；3、异地登录监控
事后安全措施：1、若爆破成功，则强制修改相关员工密码，且排查安全风险

WAF

事前安全措施：1、应用服务器上部署WAF，拦截web攻击
事中安全措施：2、WAF上进行攻击监测
事后安全措施：3、更新优化WAF拦截策略

办公网-员工安全

在职员工安全教育

事前安全措施：1、定期对所有员工进行安全培训；2、对新员工进行入职安全培训；3、定期开展内部钓鱼测试；
4、针对RD可培训WEB安全开发；5、针对OP可培训安全运维。
事中安全措施：1、对员工行为进行监控（可通过前面介绍的几种方案）；2、对钓鱼邮件进行告警
事后安全措施：1、对涉事员工进行相应处罚；2、钓鱼邮件影响评估

离职员工安全审计

1、离职行为审计；2、办公电脑审计；3、人员离职账户注销

办公网-外包安全管理

暂无涉猎

办公网-安全合规

1、ISO27001；2、等保2.0

生产网-系统安全建设

• 主机安全:1、内部资产发现；2、webshell监控；3、反弹shell监控等日常运营工作

• 日志分析监控：1、可以偏业务一些，比如接口防刷监控运维；2、也可以偏系统一些，攻击行为的监控运维

• 网络抗DDOS、应用抗CC：主要靠部署一些流量清洗产品

• 入侵检测、防御：IDS、IPS（对于告警记录的运维工作）

• 堡垒机：服务器统一登录管理，秘钥管理，访问控制策略运维工作

• Router层统一映射管理：互联网端口、IP映射管理，结合cmdb平台运维工作

• WAF：部署waf产品，拦截WEB攻击，告警记录运营工作

• 端口开放策略（ACL）

• IPTABLES

• 态势感知（SOC平台）：流量监控平台，通过监控不同方向的流量，发现攻击行为

• 蜜罐（欺骗防御）：通过在内、外部部署蜜罐产品，发现攻击行为

• 邮件沙箱、网关：针对邮件钓鱼、恶意附件的检测

• 威胁情报：往往跟态势感知相结合

除了系统层面的安全建设，生产网更多的是跟运维相关的一些安全内容（比如安全基线等），也包含项目上线的一些安全流程规范管理。

外网边界安全建设

• 资产收集：IP、域名、URL、数据接口、端口服务监控，梳理统计内外网端口映射关系、业务线负责人等信息，盘点边界资产。

• 黑盒漏洞扫描：WEB漏洞扫描、主机漏洞扫描（可采购也可自研，定期巡检）

• 业务逻辑漏洞扫描：通过流量、日志被动式检测简单的业务逻辑漏洞

• GITHUB监控：自动化监控github泄露的公司相关代码、服务器个人相关信息等

• SRC上报漏洞响应：建设SRC平台，收集白帽子提交的安全漏洞

• 最新漏洞、0day响应：0day、1day漏洞的研究、应急团队，推动漏洞修复

• 威胁情报

• 渗透测试：定期开展从互联网边界实施的渗透测试工作，寻找安全漏洞

外网边界的安全建设工作，大致分为三个步骤：资产盘点、漏洞扫描、漏洞推修（定期重复），0day漏洞应急另算。

产品安全建设

• 第一道防线：产品安全设计（早期可通过安全编码、意识培训使RD、PM具备信息安全意识）

• 第二道防线：需求评审、架构评审、代码审计、白盒扫描（通过建立需求安全评审等机制，严格控制新项目上线流程）

• 第三道防线：黑盒扫描、灰盒扫描（项目上线后可定期开展黑盒扫描）

• 第四道防线：SRC、企业蓝军（通过SRC、蓝军渗透发现的漏洞进行补充）

在整个产品安全建设过程中，企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。

企业红蓝对抗

企业红军：负责企业安全建设、安全监控、安全加固
企业蓝军：负责攻击安全堡垒、找出安全薄弱点

网络安全红军的工作包含了以上所有的安全建设工作，而网络安全蓝军的工作是一个全新的视角，包含不限于：

• 内部钓鱼攻击

• 外部漏洞攻击

• APT攻击

• 内部爆破攻击

• 员工信息收集
  ……

企业在蓝军团队建设过程中，可自研沉淀：漏洞扫描器、社工库、漏洞库等

私有云安全

有些企业内部会建设私有云，关于私有云安全我接触不多，大致列一下所涉猎的内容：

• 网络安全：租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等

• 数据安全：数据的备份加密、数据接口防重放、数据分级分类等

• 主机安全：防逃逸、内存溢出、入侵检测等

• 安全合规：等保2.0云安全相关章节

安全组织架构

小规模

若公司规模小，个人认为可按事前、事中、事后划分信息安全组织架构（仅供参考）

• 系统安全
  事前团队：负责内外网安全建设
  事中团队：负责入侵监控、异常监控
  事后团队：负责应急响应、事后处罚整改

• 产品安全：SDL

• 安全合规

• 业务安全

大规模

若公司规模大，可按安全区域划分组织架构（仅供参考）

• 系统安全：
  办公网团队：负责办公网安全建设、安全监控、应急响应（内部可再按照前、中、后细分，再细分，可分WEB、移动、硬件等）
  生产网团队：负责生产网安全建设、安全监控、应急响应
  外网边界团队：负责边界安全建设、安全监控、应急响应

• 产品安全：SDL

• 安全合规

• 蓝军团队：如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的，但属于事前。

• 业务安全

• 云安全

       总结说明：本篇内容用于记录我认知中，甲方信息安全建设可以涉及的一些措施或者说抓手。我认为信息安全建设就像建造一幢房子，目前我列出尚属于整体外部框架部分，具体细节需后续工作中不断实践、总结后补充沉淀