企业安全体系建设之路之网络安全篇

网络安全不仅仅是网络上的信息安全,涉及领域很广。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、可控性和可审查性的相关技术都属于网络安全的研究范畴。

百度定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

我们要建设好网络安全，这个是很不容易的，因为涉及的面太广，网络又太过于复杂，又因技术人员的水平和公司安全管理的差异，或多或少造成了很多东西不可实现。

下文，笔者将介绍网络安全主要的防御点和攻击点，由于内网架构建设往往和企业自身特点相关，所以文中相关介绍可能与现实情况有些出入。

0X00 网络架构

一个好的网络架构不仅便于管理而且能有很好的防御性。

一般地，企业会有很多个部门，企业的网络分内网和外网，内网又分为办公网和生产网和其他网络，那么如何规划好各个网络之间的联系，成为了网络架构者们头疼的问题。

面对如今的网络安全现状，有数据的企业不被攻击是很难避免的，所以一个好的网络架构就会是企业内网的一道防御点。下面画张图来简单的了解下。

当然，真实的网络环境比这个草图还要复杂的多，这张图只是一个抽象图，并不能完美呈现网络的全部架构。如要细分的话可能就是体力活了。

一般来说，企业网络都会是相通的，而且内网的防御一般来说都会是比较薄弱和复杂的，所以对于内网防御就需要大大加强。

对于各个网络环境来讲，是不需要共通的，比如办公网环境，办公网环境是比其他网络更容易受攻击，因为员工不会按照正常的安全操作规范去操作的，员工的管理难度是有的，所以如果办公网和其他网络共通，一台办公网的设备受到攻击，那么整个内网就会直接沦陷。反之，如果其他网络被攻击也是一样的效果。

那么，规避的办法就是不让各个网络共通，各个部门的网络不能连通，其实这些网络也没有共通的必要，那么各个网络或者部门需要连通就要有内部的OA平台。所有的交流由交互服务器环境进行统一管理。如果说还有其他的需求，办法就是都通过外部接口进行联系，每个网络都是独立的个体，风险就会降低许多。

0X01 信息连通

接上面的话题，各个部门和其他网络不能连通，那么连通的方式就是要有一个企业自己内部的办公平台，所有的员工交互都需要在这个上面交互，当然也是可以把网络做成单独的个体。

在内网中搭建一个内网办公服务器，部署OA服务器，相关会议通知、部门审批都在上面发布、处理。

服务器当然是放到独立的内部外部网络，由专门的审计服务器进行审计，上传的文件都是要经过处理检查后才能上传保存。

相应的日志是必不可少的，对溯源很有帮助。

0X02 内网嗅探

内网常见的攻击莫过于内网嗅探了，一般攻击者拿到权限都会对网络进行扫描，发现主机漏洞并针对性进行攻击。

这类攻击不怎么好防范，只能是做好策略，在网关上做好防ARP攻击等策略，绑定同IP段的MAC地址，自身机器也要确保基线配置合规。

内网中可以嗅探的协议有很多，ICMP、DNS都是可嗅探的，还有就是内网钓鱼要特别防范，在内网中的钓鱼，即使钓鱼特征非常明显，成功的几率也是非常大的，因为人都有在安全感好的地方放松警惕习惯，这个时候就需要防护策略的保障了。

0X03 内网监控

在内网中安装监控软件，监控软件监听异常流量，现在市面上的软件，包括开源免费和收费的软件都是有好的可以防范的工具，一旦出现异常发包都会触发报警和记录。

这样做可能会引起员工的不满，所以这个内网监控的做法就只能是监控IP段中的流出流入流量是否异常，每台设备的发包是否正常，更多的就还是只能靠策略防火墙了。

0X04 防火墙

防火墙一般是配置在外网出入口处，但是一道防线肯定是不够的，那么防火墙的配置就是需要特别策划了。每一种品牌的防火墙优缺点不一样，防护策略功能和能力也是良莠不齐的，所以我们选择防火墙就需要从多方面考虑。

这里我们先排除经费的问题，当然这个看企业对安全的投入持什么态度。防火墙的选择必须依靠业务自身特点来选择，总不可能一套防DDOS的防火墙你用来当Web的WAF用，不合适吧？所以我们就需要有针对性的选择，网络需要选择那种类型，办公网需要选择哪种类型。针对性的在多个网络出入口进行防火墙设置，当然这个投入是相当大的，所以没钱就…..

当然一般的公司，如果不是什么机密部门或者重要数据存放的网络，普通办公场所就一台总防火墙加一般杀毒软件就OK，不用考虑太多。如果不是攻击者的撒网式攻击，否者根本没有被攻击的可能，毕竟攻击是要讲利益和成本的。

在各个部门的出口入口防火墙策略上做好安全配置，可以让恶意软件或者反向连接型后门出不了当前网段，但对于云端木马来讲，就显得有点鸡肋了，这个也是最不好防范的地方，因为云端木马不按常理出牌，一般依赖客户端，只要设备能够与外界通信，木马就能够执行，并且能够隐藏的很好。所以解决办法就是在防火墙注册软件特征码，当然当前的防火墙还不具备这种功能，所以就只能靠软件来监控软件特征码（这类软件市面上没有全面的，如果公司有实力，可以自己研发），不合规的统统不让出。

不过，这里会有个问题，就是如果病毒流量隐藏在其中呢？如果员工自己新安装了软件呢？所以这个就只能是对服务器有效了？其实不然，我们可以建立异常流量库，是病毒木马都会执行命令，那么就肯定会有命令执行的相关特征，建立大量的特征库，针对性的进行过滤告警，防范也就顺其自然了。

0X05 日志分析

日志分析是运维安全中比较重要的，这个和防火墙差不多，依赖于人工和软件自动化，如果企业有条件，可以加上AI自动学习机制，这样可以减少人力，再一个可以增加攻击识别率。

一般来讲，当服务器产生日志，日志是不需要存放到本地的，日志需要直接发送到专门的日志存储服务器上面去，这样可以防止被入侵时，日志被删，减小无法取证溯源的风险。然后审计服务器开始对日志进行审计，提取入侵痕迹，对事件进行报警。

其实日志分析也是一门取证学问，日志不是万能的，但没有日志又是万万不能的。

0X06 无线/V**网络

通常，我们登录堡垒机或者从外部访问内网都是需要用V**来登录的，所以V**又是攻击者攻进内网的一个点，排除V**自身0day,防范的点一般就是U盾加帐号密码来登录。对于帐号密码登录的V**，风险是比较大的，攻击者可以通过暴力破解、撞库等手段进行帐号密码猜解。所以一个好的强登录手段可以防范此类攻击。

下面来说说无线网的安全，一般公司都会安装无线网的，其中有些公司会把无线网安装部署到内网中，部署到办公网中，这个是非常危险的部署方式。如果攻击者拿到无线网密码，那么他就可以直接内网漫游了，所以无线网应该怎么部署是一个值得探讨的问题。

通常，无线网是部署在其他网络环境中的，也就是与内网是分离开的，或者是内网中独立出来的一个网络，此网络无法与公司其他内部网络进行通信，只能是具有普通的上网功能，供来宾使用。

在这个地方有一个安全的问题，就是公司的无线网设备都是部署于第三方网络环境中，本身无问题不与内网产生关系，但是员工私自在办公电脑上开放无线网，这里的无线网不代表公司办公电脑是否安装无线网卡，这个可以是随身WIFI，U盘无线等设备，这种情况的发生不是不可能。

但是这种情况的发生是很难管控的，因为这个属于员工自有行为，屏蔽或者取消USB插口的话，如果特殊情况要用，又当如何？这种处理场景是有条件限制的，所以这个就只有对问题采取规避措施了，如培训或者对事件发生进行处罚等，健全公司安全管理措施。

0X07 内网管控

在办公电脑或者在网服务器中关闭无关端口，屏蔽高危端口。在系统安全中笔者也提到过，端口是攻击者探测信息的重要渠道，所以我们必须关闭无关端口，因为你也不知道这个端口究竟有无漏洞，还有就是高危端口，如Windows的SMB（135，445）的端口，MS08-067,MS17-010就是一个例子，这两个漏洞都是史诗级别的，威力巨大，所以像这些容易被攻击的高危端口都应该关掉，如存在特殊情况应做好安全策略来防范,毕竟有些地方还是需要这些端口来通信的。

内网的管理一般都是批量管理的，如域管理，因为公司小可以不用，但如果一个大公司的话，这样一台一台的管理根本就不可能，所以批量的实现，可以减少管控带来的难度。 域的安全是值得重视的，健全域环境和配置合规，保证域安全。

在内网传输中的传输需要加密，当然不敏感的数据除外。

0X08 蜜罐

搭建蜜罐环境可以帮助我们更好的了解攻击者的手法，参考其手法放入公司策略。蜜罐的作用不仅能够追踪最新的攻击手法，也是获取威胁情报的重要途径，以至于当服务器被入侵时，能够找到并对攻击进行溯源，从而避开了系统日志分析的短板。

0x09 制度建设

公司内部网络建设是比较难的，也并不是笔者的几句话能够说的清楚的，这个针对于内网制度建设的一个小点，也是笔者的一点心得，也相信许多公司并没有这方面的制度，安全制度的建设将在以后的安全体系建设篇中详细探讨，既然讲到了，就在这里先做个介绍。

针对于网络安全，公司有属于自己的业务，那么公司业务的清单是必须要有的

1.公司所有部门的服务器清单 2.公司所有人员电脑详细清单（包括型号、MAC、OS等） 3.公司所有服务器端口开放情况

公司服务器所有开放的端口需要有个记录，包括新开端口需要申请和报备，由公司统一网关进行授权处理，这样做的目的可以快速定位未知开放端口，也方便了安全审计系统。

0X10 网络安全建设总结

企业若要建设强大的网络安全体系,人才是很重要的，找一个对网络架构很熟悉的管理人才，对企业的安全体系建设至关重要，当然还要组建起一个团队，分工细致和明确，这样才能达到预期目标。

建立网络安全体系只需要思考下面三点

1. 建设网络安全体系的目标是什么？
2. 建设网络安全体系能给企业带来什么？
3. 建设网络安全体系的成本是多少？

下面来简单的概述下,网络安全包含以下几方面内容（肯定是不全的）：

网络实体安全 传输安全 系统和应用安全 安全管理 数据安全

我们建设网络环境时，肯定得搭建起整个网络架构，网络架构图是必须得画的。这样不至于出差错不知道从何处改起。

如果是已搭建起的网络，其首要任务是摸清企业整个网络的现状，这样才好对症进行安全改造。

网络运行环境

企业网络上存在着财政平台、办公平台、审批系统等业务应用，为企业员工或者企业外用户提供服务，网络中运行着涉密或敏感工作的信息。

网络安全脆弱性

由于现代网络的复杂性，网络牵扯到的业务也不再像以前那么的单一，企业网络来自于各方面的安全威胁，要分析网络的脆弱性，就要结合网络的实际情况分析所面临的威胁。脆弱性分析应从物理层，网络层，系统层，应用层，管理层五个层面进行分析：

（一）物理层脆弱性分析

1. 恶意的物理破坏

企业网络各节点交换机和服务器设备均封闭在单独的房间内，这些房间主要由管理人员负责管理，在物理上实现了安全保护，但目前不能做到实时监控和告警。

因为或多或少企业的网络管理不可能达到国家层面的高度，这样很不现实，我们能够做的只是尽可能的做到相对安全，其他的只能看管理人员的责任心和安全意识。

1. 电力中断

企业网中各节点设备的用电问题，一般的电力故障仅会造成区域故障，但中心机房电力由企业机房单线供电。突然的电力中断会导致服务无法正常提供，一定会造成数据丢失，为什么说一定，我们可以知道的是，有哪个企业的机房服务器或者是办公电脑的数据是时时保存或者备份的，所以断电造成的损失看企业的业务能力而定了。企业一定要有自己的备用电源，这样在断电时不至于造成巨大的损失。

1. 消防

中心机房要建有消防系统，并纳入企业消防联动系统，实现了火灾报警与紧急处置，增加机房监控投入，提前监控消防动态，有可能一个地方的短路就可造成整个机房不可挽回的损失。还有机房的散热、湿度、卫生等也是需要管控的。

（二）网络层脆弱性分析

1. 非法外联

从网络边界安全的角度考虑，内网中的每个节点自身是一个安全孤岛，具备可信的性质，自身节点以外的区域为不可信区域，自身存在着遭受不可信区域攻击的危险性，那些没有受到任何访问控制保护的节点，其安全性就由节点内各个系统自身的安全性来决定。网络边界安全性能较弱。内网缺乏边界防护措施。在前文中讲过，在网络架构部署之初，我们就应该对网络的各个节点，也就是各个网络的出入口部署审计系统，以此来管控边界问题，虽不能杜绝非法外联，但是过滤和监控流量的效果是很好的。

1. 内部攻击

由多数的企业网络现状可以看出，我们的服务器和用户之间没有使用安全设备进行访问控制，其中的交互连接更无过滤之说，所有应用和系统由系统自身的安全性决定。但即使有访问控制功能，还需要防护针对应用或系统漏洞进行攻击的行为。也不排除内部用户（潜在攻击者）会使用攻击工具在内网中作一些攻击试探和信息收集，这有可能会造成业务服务中断。

内部网络监管需要技术和管理上并进才能保证安全，当然安全教育和硬件软件网络监控也是必不可少的。

1. 非法访问

一般企业内网中的普通员工用户安全意识不强，各系统口令设置缺乏合理性，安全性低，这为非法用户盗取数据库资源提供了可能，并且在内部局域网络中这种经常会出现的口令探测也同样缺乏有效的技术监管。主机操作系统漏洞和错误的系统设置也能导致非法访问的出现。所以在这方面企业应该有一些手段来管控。

1. 互联设备安全

企业网络中的互连设备中使用了大量的交换设备和路由器。当然也包括其他办公设备，如打印机、摄像头等等。

这些互连设备的弱管理口令，网络操作系统的版本太低也会使交换设备受到入侵和拒绝服务攻击，导致不能正常工作，影响信息系统的工作。这些物联网设备的通病就是共享性严重，虽然这是特性，但是这个特性所带来的威胁是很严重的。

举一个笔者遇到过的一个例子。

曾经笔者在实习时，遇到过一个物联网入侵的事件，当时正值wannacry勒索病毒爆发，公司某部门有几台办公电脑被入侵，找不到原因，怀疑是利用了MS17-010漏洞，事实上，公司早就做过了策略并在漏洞爆发前打上了微软补丁，在几经排查后，把源头定位在了打印机身上，这台打印机没有按照规范放进内网，而是直接暴露在公网，给了攻击者入侵机会。打印机、摄像头这类产品就会使用SNMP协议，SNMP协议通常密码都是不会改的，所以跑出敏感信息进而进行漏洞扩大化利用。笔者对打印机和摄像头进行过研究，缘由它们的共享性，即使不用协议，我都能够进行攻击，其中包括市面上100%品牌的打印机设备（能够算得上品牌的），如DOS攻击。

所以，只要是连上网络的设备，就都有可能成为攻击的对象。

（三）系统层脆弱性分析

系统层的主要问题在于以windows 2003/2008为主的应用服务器和数据库服务器上存在着重要信息，当然*nux系统的远程命令执行相对来说比较少，漏洞利用难度也是有的。由于企业各个网络不能互通，重要网络与互联网物理隔离，系统漏洞补丁不能及时更新，系统防火墙关闭，系统没有遵循最小权限原则进行安全策略配置。病毒和黑客攻击往往针对这些来进行。所以还是那句话，规范化生产和运维至关重要。

（四）应用层脆弱性分析

1. 恶意代码

恶意代码在windows平台上主要是病毒和黑客软件问题，病毒主要是从诸如U盘、外部数据交换等环境引入；黑客软件和攻击代码对服务器系统形成了威胁，这些黑客软件和攻击代码的散布非常广泛且下载容易简单。

1. 破坏信息完整性

信息完整性主要是指网络系统的重要应用数据遭到篡改和破坏，如果没有相应的备份措施和集中管理，一旦被攻击，数据遭到的破坏将是难以估计的。

1. 数据传输抵赖性

由于目前网络协议对安全性问题考虑得很少，所以单单依靠协议地址或一些简单的通信标志来判定攻击者的身份是很难的，也是证据不足的，高水平的攻击者在攻击时一定会掩饰自己的身份和标志，这样才不会暴露自己的身份。如果企业网络数据传输无法解决接受方和发送方的抗抵赖性问题，对发送有误数据或不承认传输数据的行为无法准确追究责任。应增加身份认证和数据加密传输管控措施。内部网络防监听态势感知的建设，能够有效防止此类事件。

1. 病毒的泛滥

企业网络的各应用和数据服务器都安装防病毒软件，系统对病毒的防护有保障。不过对于水坑式攻击难以有效防范，如果攻击者针对企业特别研发病毒，那么杀毒软件只能爱莫能助了，所以要有安全意识和态势感知加威胁情报来支撑。

（五）管理层脆弱性分析

1. 操作失误

这是一个无法避免的问题，主要分为系统管理员和普通用户操作失误两种。前者的影响往往是致命的，直接危害到系统和数据安全；后者主要影响用户数据的完整性。

1. 人为的故意攻击

来自系统内部人员和非法外联用户的攻击是很难防范的，内部工作人员本身在重要应用系统上都有一定的使用权限，并且对系统应用非常清楚，一次试探性的攻击演练都可能会对应用造成瘫痪的影响，这种行为单单依靠工具的检测是很难彻底避免的，还应该建立完善的管理制度。

企业安全需求

针对网络安全脆弱性分析结果，总结广域网安全保密需求，总结如下：

（一）物理层

1. 对重要设备使用电磁泄漏发射干扰系统解决设备电磁泄漏问题。
2. 对重要线路使用网络线缆发射干扰系统解决线路电磁泄漏问题
3. 对重要区域使用环境监控系统解决重要区域环境信息不能实时监控和多方式报警问题。
4. 对重要区域使用双路供电，使用断电保护，配备备用电源，保障长时间断电网络服务不中断。
5. 保持机房干净整洁。
6. 完善网络布线架构的清晰。
7. 完善人员管控制度。

（二）网络层

1. 在各节点网络接口部分使用准入控制系统来解决边界访问防护问题。
2. 在各节点内部加固网络互连设备来解决网络互连的安全可靠性
3. 在中心机房和其他重要节点使用IPS、防火墙，进行攻击监控、入侵防护。
4. 监控各个节点应用和端口异常流量和外部异常访问。
5. 采用势态感知，及时封堵IP或流量端口。

（三）系统层

1. 针对不同的操作系统应用，遵循最小权限原则，完善系统安全策略配置，加强系统密码管理更新，解决这些应用的安全问题。
2. 加固各系统防病毒软件安全设置和病毒库更新，解决病毒传播、破坏和扩散问题。
3. 建设系统漏洞补丁服务器，解决系统漏洞补丁不能及时更新的安全问题。
4. 每月一次基线检测，确保基线配置合规。

（四）应用层

1. 建设身份认证系统，解决破坏信息完整性、数据传输抵赖、假冒、窃听等问题。
2. 加固各应用系统自身安全配置解决服务引用的安全问题。
3. 建设安全审计系统，解决系统资源审计问题。
4. 建设灾备系统，在重要信息系统和数据遭受恶意攻击或物理损坏时可及时恢复。

来源：http://imosin.com

作者：mosin