有幸拜读了李斌老师的《企业信息安全建设与运维指南》,书中详细介绍了基础安全建设、自动化系统建设、业务安全体系建设,受益匪浅。
结合李斌老师的书,做了随笔整理。
企业办公网是公司员工进行日常办公所用,主要涉及的IT设施是办公计算机、网络设备及办公服务的相关系统(如OA系统、邮件系统等)。办公网承载着企业的重要IT资产信息,办公计算机中可能存储公司的程序代码、图纸、项目资料等敏感信息,办公系统中存储着公司的往来邮件、人员信息、财务信息、商业计划和战略计划等重要资料。一旦发生办公安全事件,可能造成企业核心资料丢失或公司敏感信息泄漏,也可能造成巨大的经济或声誉损失。
从网络安全风险来看,企业办公网主要面临以下安全风险。
1)终端安全风险
办公计算机(特别是windows终端)容易遭受病毒(如熊猫烧香、勒索病毒)、木马攻击。如未对终端进行安全加固、私自安装未经授权的软件、点击带有木马病毒的邮件、插入带有病毒的U盘,都可能导致计算机数据丢失、计算机不可用、计算机被控制或计算机成为黑客攻击内网的跳板机等问题。
2)网络安全风险
首先、企业可能面临网络边界入侵风险,如黑客利用开放在互联网上的办公系统安全漏洞,入侵到办公内网;或蠕虫病毒暴发,从网络边界扩散到进内网。
其次,无限网络安全问题不可忽视。例如,使用不安全的无线认证方式,如使用固定密码认证;或员工私自搭建wifi热点导致办公网被入侵;未设置密码或设置密码导致办公网内入侵。
此外,没有做好网络准入控制,导致未经认证的设备或终端接入办公网,使用各种远程控制软件破坏网络安全防护体系,网络边界被突破,从而发生各种安全问题。
3)邮件安全
企业邮件系统通常都会开放在互联网上,可能存在邮箱账号密码被爆破、收到钓鱼邮件或含病毒木马邮件等安全风险。一旦发生问题,影响一般比较大,如钓鱼邮件可以进行各种仿冒和欺骗活动,防不胜防,一旦中招,邮箱里的敏感信息会全部被黑客获取。
4)数据防泄漏
数据泄漏防护一直是企业办公安全中最难解决的问题,员工可以通过各种方式将数据外发,如聊天工具、网盘、邮箱、U盘拷贝、蓝牙等,一旦泄漏,往往很难追踪。
以下主要介绍企业办公网安全体系建设,包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设。
本章主要介绍终端基础安全体系
1.终端基础安全
终端基础安全主要从终端准入系统、终端防病毒系统、终端补丁更新系统、终端数据防泄漏系统4个方面介绍终端安全的典型建设方案。
1.1 准入系统建设
注入系统是解决终端接入办公网问题的重要基础设施,主要实现以下安全目标。
·终端接入身份合法性检查:对接入终端的身份进行验证和检测,如账号检查、网卡MAC地址检查、IP地址检查等,确保接入终端的身份合法。
·终端接入安全基线检查:检查终端是否已经加入域、终端安全策略是否符合标准、是否已安装防病毒软件、是否已安装最新补丁,确认达到安全标准的终端才能接入网络。
·终端安全控制:对终端进行权限控制,如进行设外接口(U盘、蓝牙、无线设备等)控制、网络外联控制、软件黑白名单控制、打印控制等。
·终端管理和审计:方便管理员对终端资产进行管理和审计,如终端资产信息管理、终端安装软件管理、补丁管理,也可以进行远程协助、软件统一推送等。
市场上主流的准入系统主要分为两类,一类是无客户端准入系统,另一类是有客户端准入系统,下面分别介绍这两种准入系统的实现方案。
1.1.1 无客户端准入系统实现方案
无客户端准入即用户不需要安装客户端就可以进入内网,实现方式上主要有Portal认证、AD域认证两种方式。
·Portal认证一般使用Radius认证,终端接入网络后,会弹出Web Portal,要求输入账号密码才能接入办公内网,否则无线接入网络。
·AD认证方案主要判断windows计算机是否已经加入公司的AD域,只有加入域的计算机,才允许接入网络;如果是非计算机,则需要配合MAC地址认证方式,组成完整的准入方案。
无客户端准入方案实现简单,接入方便,但仅仅解决了终端接入身份的合法性检查问题,无法实现终端安全基线检查、终端安全控制和管理。
1.1.2 基于客户端的准备系统实现方案
基于客户端的准入方案需要在终端上安装准入客户端,客户端会对用户的身份和计算机的安全基线进行检查,检查通过后才能接入网络。
由于用户安装了转入客户端,客户端可以根据策略设置,对终端进行安全控制,同时管理员可以对终端进行管理和审计。
1.1.3 终端管理
用户安装准入客户端后,特别是对于windows终端,准入系统管理端就可以对客户端进行以下几个方面的管理和控制。
·终端资产管理:可以全面掌握终端的信息,如windows版本、IP、MAC地址、安全软件、正在运行的进程。
·外设控制:控制USB硬盘/手机存储、蓝牙、红外、无线网卡、光驱,同时能自动识别鼠标键盘等设备并允许使用。
·非法外联控制:对安全性要求较高的企业可以使用此功能,使用此功能后,终端只能访问内网,不允许访问互联网,准入系统会对非法外联行为进行阻断或审计。
·补丁管理:准入系统也可以进行补丁管理,检查服务器安装补丁的情况,并根据终端的版本推送响应的补丁,做得好的准入系统还可以检查补丁是否已生效(一般需要重启计算机才能生效)。
无客户端准入方案只能实现基本的网络准入,无法实现终端安全检查和控制;如果使用客户端准入方案,需要特别注意准入客户端和终端的兼容性,不能影响终端性能。
1.2 防病毒系统
反病毒系统是计算机(特别是windows系统的计算机)最基础的安全设施,用于应对病毒和木马威胁,防病毒系统的主要功能和部署方案如下。
1.2.1 防病毒系统主要功能
防病毒系统最基本的功能是查杀病毒和木马、主动防御、主机防火墙和网络入侵防护。
1)病毒和木马查杀
防病毒软件通过分析病毒软件样本,生成病毒特征库,全盘扫描主机上的文件、进程、邮件附件等信息,如果有程序和病毒特征相同,就判定为病毒。
判定程序为病毒后,系统会对该程序进行处置,常见的处置措施有清楚、放在隔离区、不处理3种。
因此防病毒系统主要依赖病毒库,对已知病毒有较好的防护效果,病毒查杀较为精确,但对病毒的变种或新病毒,往往没有很好的应对措施。
2)主动防御
除了依赖病毒库,很多防病毒系统还会基于行为是否异常来判定程序是否是病毒,主要解决基于特征比对无法发现的未知病毒。
在主动防御模式下,防病毒程序会监听应用程序行为,判断程序是否存在更改系统文件、操作注册表、修改敏感配置(如DNS)等漏洞,并根据策略进行告警或阻断。
主动防御可能会存在误报,因此在处置时不建议直接将该程序清除,可以放在隔离区或仅告警提示。
3)主机防火墙和网络入侵防护
防病毒系统提供主机防火墙功能,一般用来接管windows主机防火墙模块。在实际应用中,主要用于统一屏蔽高危端口和服务,如TCP135端口、139端口、445端口、3389端口、WannaCry勒索病毒就是通过445端口进行传播扩散的。
1.2.2 防病毒系统应用策略
1)防病毒策略更新
防病毒策略应该由管理通知台统一进行策略下发,用户端不能调整防病毒策略。防病毒策略包括以下几个方面。
·病毒防护策略:定义防护的类型,如本地文件和进程、邮件、网络下载、U盘文件等。
·定期扫描策略:可以定义定期扫描策略,如每周全盘扫描一次、每天做一次增量扫描,扫描时间建议为空闲时(如午休时间)。
·病毒库更新策略:设置每天的某个时间定时更新病毒库,考虑到病毒库升级时需要消耗网络流量,建议在每个办公场所都部署病毒库升级服务器,这样就可以避免走专线或外网流量。
2)防病毒系统的使用注意要点
在实际使用过程中,防病毒软件可能会将一些正常软件判定为恶意软件,这时候应该为用户提供自助添加文件白名单的权限,如文件、文件夹、应用程序、文件扩展名、网站域名等。
防病毒程序需要有自身保护功能,避免被其他软件删除,员工也无法手动卸载(需要管理员授权才能卸载),这样才能保证防病毒客户端正常运行。
另外在进行防病毒软件选型和测试时,需要考虑防病毒软件和公司正在使用的软件的兼容性,以及防病毒软件对主机的性能影响,避免因为安装防病毒软件而影响员工的正常工作。
1.3 补丁更新系统建设
windows终端可能存在许多安全漏洞,如WannaCry病毒就是利用系统安全漏洞进行攻击,应对此类攻击最有效的方法就是安装补丁。在进行安全漏洞修复时,需要全面、快速地完成补丁更新,依靠人工手动更新基本上是不现实的,这时需要有补丁更新系统。
常见的补丁更新系统有微软的WSUS,或者使用准入系统、桌面管理软件自带的补丁更新模板。WSUS即windows server update services,是免费的补丁更新服务器,可以用于windows平台的补丁更新,如win7系统、win10系统、office、IE浏览器等。
1.3.1 WSUS安装和补丁策略
在部署WSUS服务器前,建议公司计算机全部加入AD域,这样可以通过域的组策略设置客户端更新。
1)首先需要在服务器上安装windows server更新服务,选择需要更新的产品,如office、win10系统;然后选择需要更新的类型,一般是关键更新和安全更新,并设置与microsoft更新同步。
2)接下来需要配置客户端更新策略,建议使用组策略配置更新,常见更新方法有通知下载并通知安装、自动下载并通知安装、自动下载并计划安装,建议使用“自动下载并计划安装”。
3)最后需要审批更新程序,可以设置自动审批所有已经下载的安全更新和关键更新,这样补丁就可以自动推动到所有被管理的计算机中。
1.3.2 使用要点
不能排除极少数补丁安装后,会出现不可预估的问题,如计算机蓝屏、windows无法启动等情况,如果要避免这些风险,需要设置一个更新测试计算机组,当有新的更新时,先将更新推送到测试计算机组,确保更新正常后,再进行全网推送。
1.2.3 补丁管理
也可以使用准入系统等第三方软件进行补丁管理,前提是在需要更新的终端上安装客户端,相比WSUS,第三方补丁管理系统有以下优点。
·可以进行非微软软件的更新。
·在管理上可以更加精细化,如使用WSUS时安装管理员常常要关注补丁是否已经安装并重新启动生效,但第三方补丁管理系统可以看到客户端的补丁更新生效情况。
·用户可以在客户端界面上看到有哪些补丁、这些补丁是否已更新,也可以手动检查并更新补丁。
1.4 终端数据防泄漏系统建设
从防攻击和终端防护角度看,有了防病毒、补丁更新系统和准入系统已经能满足基本需求,但从企业安全建设角度,数据防泄漏是必不可少的一部分。数据防泄漏是一个非常大的范畴,我们不但需要关注办公网数据防泄漏,还要关注生产网的数据防泄漏,数据可能从终端上泄漏,也可能从网络泄漏。
终端数据防泄漏有多种方式,如文件加密、硬件管控、云桌面、使用DLP系统等,这些方式各有优缺点。
以上各种方案在不同企业都有应用案例,文件加密和硬件管控适用于对终端数据安全性要求很高的企业,云桌面适用于标准化较高的办公场所(如呼叫中心等),而DLP系统应用广泛,是目前企业数据防泄漏的主流趋势。
下面主要介绍在终端安装DLP系统的方案
1.4.1 数据分级分类保护
建议企业在进行数据防泄漏系统建设前对企业文档信息进行分级分类。数据分级分类简单地说,就是首先明确企业有哪些类型的数据,然后根据不同类型的数据定义文档级别,在文档的显著位置标记文档的密级。做完数据分级分类和标记后,后期建设数据防泄漏系统时,比较容易通过标记的密级识别到敏感文件。
1)首先需要梳理公司有哪些类型的数据,以下是简单的数据分类示例。
·公司战略和商业规划类:公司战略计划、商业计划等。
·财务信息类:财务信息、报表和数据。
·人事信息类:员工档案、薪酬福利等。
·信息管理类:项目文档,如产品设计文档、系统设计方案、系统部署文档、网络拓扑图、账号密码信息、商业合同等。
·用户信息类:姓名、电话、身份证号、银行卡号、商业合作伙伴信息、以及经过加工的一些统计类数据等。
·代码类:软件代码
2)接下来需要对这些类型的数据进行级别定义,以下为数据级别定义的示例。
·机密数据
·敏感数据
·一般数据
·公开数据
3)最后需要对这些数据进行密级标记
建议对敏感及以上级别的数据进行标记。在具体执行上可以由公司下发统一文档模版,在页眉/页脚等位置标记。
1.4.2 终端DLP实现方案
如图为终端DLP实现方案。终端DLP上的客户端会扫描终端上的文件或监控正在传输的文件,如文本文件、office文件、图片、pdf文件等,对敏感的数据行为进行监控,如复制、打印或者进行文件共享、邮件外发,根据安全策略对数据泄漏行为进行管控(如审计、告警弹窗、加密文件或阻断等),所有行为都会上传到DLP系统后台,形成审计或告警日志,方便管理者进行审计和追踪。
1.4.3 终端DLP系统选型测试
1)测试用例准备
评估DLP系统很重要的指标就是敏感数据的检出率,数据泄漏者可能会对数据进行各种转换(如更改文件格式、加密)以逃避DLP系统的检测。此外也需要降低误报率,如果出现告警泛滥,管理员需要耗费大量时间来进行二次确认,甚至会忽略掉真实的数据泄漏告警。
测试用例示例:
·事先标记好文档密级的公司人事文档、财务文档
·用户数据(如姓名、身份证号等信息)
·合同信息(如PDF扫描件)
·含敏感信息的截屏图片
·源代码文件
·工程和项目类文档等
·其他非敏感文档
2)敏感数据检出率和误报率测试
在DLP管理系统上设置审计策略,定义敏感词和关键字,当拷贝文件时触发审计事件并记录,并将记录下发到DLP客户端上。
接下来测试敏感数据的检出率和误报率,作为候选评价标准。
3)数据变形和转换测试
·修改或替换敏感字符
·直接更改文件扩展名
·文件格式转换,如将word文档转为pdf格式
·通过各种压缩软件对文件进行多次压缩,转换多种格式
·对文件进行各种加密(office加密、压缩加密、pdf加密等)
·将文件作为对象嵌入另一个文档中
测试转换后的敏感文件的检出率,作为候选的评价指标。
4)测试敏感数据外泄行为发现能力
·微信、qq传输
·USB拷贝
·蓝牙传输
·网盘传输
·邮箱传输(客户端、网页)
·截屏(使用各种截屏工具和软件截图)
5)测试脱离网络环境后DLP客户端的功能。
·设置阻断策略,将网络断开后,进行数据外泄操作,是否会触发阻断规则。
·设置审计策略,将网络断开后,重新回到网络中,是否会有事件告警。
6)测试不同操作系统的兼容性和检出能力。
在windows不同版本、macOS下进行数据防泄漏功能测试。
7)性能影响评估
测试DLP客户端对终端性能的影响,如CPU、内存、磁盘I/O等。
8)兼容性影响评估
在正常办公的计算机上部署DLP客户端,观察兼容性是否存在问题。
1.4.4 终端DLP实施方案和建议
数据防泄漏系统的建设最好自上而下,由公司的管理层来推动,否则很难推动下去。安装DLP客户端后,员工的抵触情绪可能较大。
建议在大规模部署DLP前,先进行小规模试点运行,DLP只对客户端进行监控审计、并在这个过程中不断优化策略。
进行全面推广时,建议DLP客户端通过准入系统或桌面管理系统进行自动推送,且DLP客户端不能被用户卸载、进程不能被恶意中断。
本篇主要从终端准入系统、终端防病毒系统、终端补丁更新系统、终端数据防泄漏系统4个方面介绍了终端基础安全。下一篇会详细介绍防火墙、VPN和上网行为管理在企业安全建设中的应用。
欢迎关注LemonSec
觉得不错点个“赞”、“在看”哦
本文始发于微信公众号(LemonSec):企业安全建设之基础办公安全体系建设(终端基础安全)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论