信息安全管理

基礎要點

1.機密性、完整性、可用性、以及不可否認性。

2.保持預防、檢測、糾正之間的平衡，兼顧風險偏好。

3.將信息安全集成到日常開發與運營中，注意培訓員工。

4.審計流程、滲透測試、漏洞掃描、身份與訪問管理。

解讀

首先我們必須明確的是：由于企業主營業務的不同，安全管理所處置的風險偏好會有所區別。例如對于研發組織和醫療服務型單位來說，數據的機密性在CIA三性中更為重要；而對于網上交易平臺而言，交易的完整性與平臺的可用性尤為突出。因此，我們需要對癥下藥、有的放矢。

因此，我們在服務系統的日常開發與運行中，應當注意把握好“任督二脈”，即：數據和流量。

無論是在企業內網系統中所產生的數據，還是通過云端業務所收集整合來的信息，一般都遵循“創建－>存儲－>使用－>共享－>傳送－>歸檔－>銷毀”的生命周期軌跡，所以我們應當：

◎在創建與存儲階段：做好數據本身的加密。

◎在使用與共享階段：通過對元數據（如數據屬性標簽）的檢索，來實現數據防泄漏（DLP）。同時利用SAML、XACML或Oauth等基于角色和權限的映射矩陣，實現身份和訪問管理(IAM)。

◎在傳送與歸檔階段：采用SSL/TLS、VPN或SSH來實現數據路徑的屏蔽。

◎在銷毀階段：予以脫敏、替換，并清理殘留數據。

而對于內網中、以及主機間的流量而言，考慮到它們的源IP地址可能會被偽造，從而無法確定其真實性和唯一性，因此我們重點獲取并進行管控的是相對固定的目標地址。當然，對于流量中的協議標識、內容特征、以及Webshell與攻擊簽名的匹配檢查也是非常重要的。

上面討論的是“動態”安全管理，那么我們該如何實施“靜態”檢查與監控呢？具體包括如下幾個方面：

◎指定目錄和文件的完整性。

◎目標操作系統的注冊表、服務和進程狀態。

◎重點設備和系統端口的關開情況。

同時，我們還需要根據等級保護、或合規的要求持續審查、整改與加固，包括：

◎系統上多余/可疑的賬號與組。

◎文件/文件夾的屬性/訪問權限。

◎遠程訪問的IP與賬戶限制。

◎靜態代碼中的漏洞。

◎各類補丁與防毒簽名的更新。

實務

在具體實操中，我們企業的安防系統需要智能識別的場景包括：

屢次嘗試性登錄失敗；非活躍的VPN用戶在非常規工作時間的遠程訪問；對于共享文件進行頻繁地移動、復制甚至是刪除等操作；主機向內網其他多臺設備發送探測掃描包；網絡設備的配置在計劃外時間被更改；以及 Web 頁 面 出 現 404、401、500等錯誤代碼。

另外，我們還需定向對自己的系統進行如下方面的滲透測試：

◎外部攻擊測試：通過互聯網的遠程方式，運用ICMP Ping、Whois Lookup、以 及https://pentesttools.com等工具對公網范圍的IP地址進行掃描，并予以嘗試性的攻擊。

◎內部攻擊測試：運用外帶的普通電腦和企業內部的標準電腦兩種方式，使用Nmap、Autoscan工具對選定內網范圍的IP地址進行掃描與攻擊。

◎Web安全評估：針對內網SharePoint之類的應用，通過選定足夠數量的Web頁面，使用W3AF、Metasploit等工具進行用戶賬號的相關破解。

◎對其他服務器和數據庫進行系統級、應用級、以及代碼級的滲透。

◎無線安全測試：通過對無線廣播的掃描、并利用Aircrack-ng之類的套件，破解無線路由器的 WEP 和WPA加密密碼，以獲得AP的接入口令。

◎社會工程學與安全意識：

第一，普通目標郵件的釣魚引誘。

第二，目標電話（冒名詐騙）誘騙。

第三，郵件鏈接（魚叉式）與自動下載（drive-by download）。

第四，運用尾隨或當面說服等伎倆進入機房后展開如上內部攻擊測試。

常言道：常在河邊走，哪有不失鞋？為了提高全員的信息安全意識，我們會定期向普通用戶發送安全相關的提醒和警告郵件。

此舉不但能增強普通員工的基本安全知識面，還能提高他們在可能碰到安全事件時的自愈和處理能力。