taibeihacker
Moderator
内网终端安全工作思考
内网办公主机
办公主机的安全需求
这里列举一般办公主机的需求项:病毒防禦(本地查殺選用國外廠商的產品,能接受雲查殺選用國內廠商的產品,沒有重要機密的內容的);入侵檢測防禦(說白了就是HIDS或者HIPS產品,一般國內都是和殺毒軟件集成的);
漏洞防護(打補丁,一般國內也是集成在殺軟裡面的);
軟件管控(軟件中心功能,一般對win平台比較常見);
日誌記錄;
管控場景(禁止起SSID等、數據防洩漏DLP)
这里用来解释一下日志需求:日誌記錄一般可以做兩件事情被攻擊的響應追查和主動攻擊的追踪溯源;
日誌可以記錄郵件、進程、服務、命令等等;
办公主机安装和在线率提高方案
全員檢查內網做准入
虛擬桌面後台強制安裝
工作三部曲
推全員安裝做准入推全員再現
推漏洞補丁自動安裝並接受實時日誌
重点管控对象
人力資源部門法務財務部門
高管要職群體
助理秘書群體
投資融資部門
其他關鍵人員
重点效果预期
自主防禦能力提升化漏洞補丁修復自動化
敏感數據傳存安全化
病毒爆發場景預知化
攻擊失陷發現簡單化
内外服务器端
服务器的安全需求
这里列举一般服务器的需求项:Windows服务器
補丁安裝與漏洞組件監控升級(服務器不建議自動升級或打補丁,因為需要重啟,而且打補丁情況不可控)自主防禦能力(HIPS或HIDS能力,也可以在網絡層做NIPS)
可信軟件中心(軟件管控)
日誌監控
UnixLike服务器
漏洞監控與修補(監控下手動升級,建議用漏掃引擎結合POC做)自主防禦模塊(HIPS或HIDS能力,也可以在網絡層做NIPS)
可信軟件監控(用官方AppStore或者官方源)
日誌監控
解决方案
制定好裝機模板(打好補丁,安裝上必要的程序軟件,配好日誌指向收集平台)要求上線必按照裝機模板裝機
對UnixLike系統服務器建立有效的漏掃機制,形成漏洞修復閉環,對Windows系統也有效,更建議安裝或自研服務器衛士類程序和統一控制平台管理(統一做漏洞修復)。
日誌全部配置到統一日誌管理,自動化分析告警。
重点保障对象
域控、RADIUS服務器、SSO單點登錄服務器等認證類服務器;路由器、交換機、防火牆、DHCP服務器、DNS服務器等重點的網絡設備;
財務系統、人力系統、薪資系統、招聘系統、法務系統、專利系統、文檔系統(合同、協議、招投標文件)等關鍵系統;
源代碼版本控制器、重要的工控生產設備等生產要素;
