信息安全管理

基础要点

1.机密性、完整性、可用性、以及不可否认性。

2.保持预防、检测、纠正之间的平衡，兼顾风险偏好。

3.将信息安全集成到日常开发与运营中，注意培训员工。

4.审计流程、渗透测试、漏洞扫描、身份与访问管理。

解读

首先我们必须明确的是：由于企业主营业务的不同，安全管理所处置的风险偏好会有所区别。例如对于研发组织和医疗服务型单位来说，数据的机密性在CIA三性中更为重要；而对于网上交易平台而言，交易的完整性与平台的可用性尤为突出。因此，我们需要对症下药、有的放矢。

因此，我们在服务系统的日常开发与运行中，应当注意把握好“任督二脉”，即：数据和流量。

无论是在企业内网系统中所产生的数据，还是通过云端业务所收集整合来的信息，一般都遵循“创建－>存储－>使用－>共享－>传送－>归档－>销毁”的生命周期轨迹，所以我们应当：

◎在创建与存储阶段：做好数据本身的加密。

◎在使用与共享阶段：通过对元数据（如数据属性标签）的检索，来实现数据防泄漏（DLP）。同时利用SAML、XACML或Oauth等基于角色和权限的映射矩阵，实现身份和访问管理(IAM)。

◎在传送与归档阶段：采用SSL/TLS、VPN或SSH来实现数据路径的屏蔽。

◎在销毁阶段：予以脱敏、替换，并清理残留数据。

而对于内网中、以及主机间的流量而言，考虑到它们的源IP地址可能会被伪造，从而无法确定其真实性和唯一性，因此我们重点获取并进行管控的是相对固定的目标地址。当然，对于流量中的协议标识、内容特征、以及Webshell与攻击签名的匹配检查也是非常重要的。

上面讨论的是“动态”安全管理，那么我们该如何实施“静态”检查与监控呢？具体包括如下几个方面：

◎指定目录和文件的完整性。

◎目标操作系统的注册表、服务和进程状态。

◎重点设备和系统端口的关开情况。

同时，我们还需要根据等级保护、或合规的要求持续审查、整改与加固，包括：

◎系统上多余/可疑的账号与组。

◎文件/文件夹的属性/访问权限。

◎远程访问的IP与账户限制。

◎静态代码中的漏洞。

◎各类补丁与防毒签名的更新。

实务

在具体实操中，我们企业的安防系统需要智能识别的场景包括：

屡次尝试性登录失败；非活跃的VPN用户在非常规工作时间的远程访问；对于共享文件进行频繁地移动、复制甚至是删除等操作；主机向内网其他多台设备发送探测扫描包；网络设备的配置在计划外时间被更改；以及 Web 页 面 出 现 404、401、500等错误代码。

另外，我们还需定向对自己的系统进行如下方面的渗透测试：

◎外部攻击测试：通过互联网的远程方式，运用ICMP Ping、Whois Lookup、以 及https://pentesttools.com等工具对公网范围的IP地址进行扫描，并予以尝试性的攻击。

◎内部攻击测试：运用外带的普通电脑和企业内部的标准电脑两种方式，使用Nmap、Autoscan工具对选定内网范围的IP地址进行扫描与攻击。

◎Web安全评估：针对内网SharePoint之类的应用，通过选定足够数量的Web页面，使用W3AF、Metasploit等工具进行用户账号的相关破解。

◎对其他服务器和数据库进行系统级、应用级、以及代码级的渗透。

◎无线安全测试：通过对无线广播的扫描、并利用Aircrack-ng之类的套件，破解无线路由器的 WEP 和WPA加密密码，以获得AP的接入口令。

◎社会工程学与安全意识：

第一，普通目标邮件的钓鱼引诱。

第二，目标电话（冒名诈骗）诱骗。

第三，邮件链接（鱼叉式）与自动下载（drive-by download）。

第四，运用尾随或当面说服等伎俩进入机房后展开如上内部攻击测试。

常言道：常在河边走，哪有不失鞋？为了提高全员的信息安全意识，我们会定期向普通用户发送安全相关的提醒和警告邮件。

此举不但能增强普通员工的基本安全知识面，还能提高他们在可能碰到安全事件时的自愈和处理能力。