【企業安全營運】安全攻防背景下如何做好安全營運（一）

前言

近幾年，安全攻防/紅藍對抗場景越來越多，如何做好内部的安全營運是每個企業或者機構面臨的問題。本篇部落格将從本人項目經驗出發，介紹安全營運及個人的幾點思考。

正文

1.安全營運概述

安全營運問題對于每個大型企業都是無法回避的問題，在業務不斷拓展，資産量以指數級增長的情況下，安全風險點以及風險暴露面也将随之持續擴大。提前進行安全營運的規劃，就是未雨綢缪。每個企業内部情況都有差異，本篇部落格将以金融行業為例，介紹安全營運。安全營運的内容較多，涉及安全服務以及安全裝置，有外包需求的還需要考慮外包業務中的安全風險。安全營運作為一個大的命題，僅僅通過一兩篇博文難以覆寫全面。在紅藍對抗背景下，從實戰對抗的角度看到安全營運，是一個好的切入點。

2.紅藍對抗概述

此概念最早出現在軍事演習中，紅方擔任攻擊方，藍方擔任防守方，以對抗實戰的形式促進軍事實力的進步。同樣的國内安全領域近幾年也開始布局紅藍對抗行動，伴随着HW行動的全面推動，紅藍對抗已經開始成為安全行業的一大趨勢。在這樣的背景下，安全營運的建設更像是大考前的備考，是否能夠考核通過，成績是否可觀，也是企業高層必須開始關注的重點。

3.安全營運内容

前面說到的，安全營運涉及安全服務、安全裝置、外包管理等方面，涵蓋面廣，内容繁多。鑒于此，後面内容将以攻防角度切入，闡述安全營運的必要性以及成果。

3.1網際網路安全邊界防護

從滲透測試角度，網際網路邊界将是最主要的突破口，尋找網際網路邊界的安全漏洞同樣也是攻擊者最先考慮的問題，那麼在安全營運中，網際網路邊界的防護也是重中之重，就好比戰役中的正面戰場，需要預先投入較多資源。除了周期性的安全滲透測試評估（主要針對新上線的系統或業務）以外，安全裝置的引入也尤為關鍵。

從安全裝置角度，目前正常防火牆、WAF裝置（WEB應用防火牆）、IPS裝置（入侵防禦裝置）仍是主力，政策調優的WAF裝置可以阻擋較多的惡意攻擊以及掃描行為,進而為後端的流量分析減輕較大的壓力。

3.2 内部資産管理

清晰的内部資産管理一定程度上決定了防守的成功與否，在摸清自身資産的情況下，才能夠在風險出現時，及時有效的處置。是以這部分工作要做在前頭。從新業務上線/老舊系統下線，都要有記錄，資産清單需要随着業務增減動态變化。但實際的企業内部，資産梳理會遇到很大阻力，一是僵屍資産過多，無人認領；二是資産梳理需要大量的精力，業務為先的情況下很難推動。那麼退而求其次，在資産梳理阻力較大的情況下，我們可以先從網際網路業務區的資産梳理開始，逐漸過渡到辦公區、測試區等等。

3.3 内網安全管理

很多企業目前仍存在一個誤區，内網和外網相比，安全風險較低。實則不然，内網混亂，結構不清，一旦攻擊者突破邊界，将會導緻内網資産大量失陷，而混亂的内網環境将會為應急溯源造成極大的阻礙。是以内網安全不容忽視，從内網建設初期就要做好規劃，包括VLAN劃分、防火牆的部署，區域的隔離，安全裝置的部署等事項。

在内網網絡架構較清晰的情況下，要引入防護類、監控類安全裝置，比如IPS/IDS 裝置以及流量監測裝置，對内網中可疑流量進行及時發現，從實際的落地來看，内網中引入旁路監控類裝置效果剛好，部署也比較容易。

3.4 漏洞管理

漏洞管理是企業内部逃不開的一個問題，掃描漏洞可以在短時間内完成，但是漏洞管理可以說是一個巨大、繁雜、需要持續進行的一個工作。目前很多企業仍停留在表單跟蹤的程度，漏洞管理平台的缺失導緻漏洞跟進存在較大的難度。是以在初期安全建設中，安全漏洞管理需要提前布局，統一化管理。那麼在後續的漏洞修複中就可以遊刃有餘。

漏洞掃描後的資料量較大，那麼在實際的場景下可以采用漏洞優先級與業務優先級同步考量的政策，以解決漏洞問題。

一級漏洞分級标準：

高危漏洞中遠端指令執行，遠端指令注入、權限提升類型漏洞、未授權漏洞、指令溢出

二級漏洞分級标準：

高危漏洞中的拒絕服務攻擊漏洞，以及其他所有的中危漏洞

除此之外，漏洞的區域可以按照 DMZ區-核心業務區-普通業務區-網管區-辦公區-測試網，的優先級，逐漸推進漏洞修複。

漏洞修複問題不可能一蹴而就，想在短期内解決大量漏洞問題幾乎不可能。在業務與安全不能并重的情況下，修複等級和修複區域的選擇會是一個不錯的解決思路。此外進行端口更改/網絡防火牆端口封禁等方法進行風險緩解，也是一個可以參考的思路。

3.5 郵件/通訊工具 安全

3.6 内部安全意識

3.7 外包管理

……持續更新

詳見【企業安全營運】安全攻防背景下如何做好安全營運（二）