【企業安全營運】安全攻防背景下如何做好安全營運（二）

上篇 【企業安全營運】安全攻防背景下如何做好安全營運（一）

3.安全營運内容

3.5 郵件/通訊工具 安全

        伴随着企業的發展壯大，員工的郵件往來和通訊需求也将增加，在這一背景下需要安全部門提前思考郵件安全的落地方案。這一章節将從出站和入站規則兩個方向談論郵件的安全内容。

       入站安全措施。從攻擊者的視角來看，正面突破是最有效的方式，常用的攻擊手段包括發送僞裝的釣魚木馬、惡意勒索軟體，仿冒站點進行水坑攻擊等等。對于這類攻擊，目前正常的解決思路是反垃圾防病毒郵件網關+郵件沙箱的綜合部署方案。通過利用郵件域的黑名單政策在反垃圾網關上進行垃圾郵件過濾，但攻擊者若采用域前置技術進行繞過，那麼郵件會進入到郵件沙箱上進行樣本分析，郵件沙箱的優勢在于可以通過自帶的沙箱環境動态分析樣本，可以攔截大部分的惡意程式，對可疑郵件進行隔離并通知收件人。但從近幾件的攻擊事件來看，攻擊者會通過對郵件附件加密的方法繞過沙箱檢測（普通沙箱對于加密附件是無法分析的，預設放行），是以解決加密附件的動态檢測是未來各大安全廠商沙箱産品優勢之一。

       入站方面，同樣要考慮的是郵件系統本身的安全性，随着安全攻防場景的多樣化，越來越多的攻擊者開始研究國内外的郵件系統，尋找郵件漏洞進行邊界突破。一方面需要郵件廠商的自查自修，比如引入雙因子驗證。另一方面需要使用者的安全意識過關，設定強政策密碼，定期更改密碼也尤為關鍵。

       出站安全措施。出站的管控主要分為内容發送和位址外聯兩方面，這在金融行業要求較為嚴格，防止敏感資料外發就需要在郵件伺服器上設定内容檢測，目前市面上有成熟的DLP郵件外發審計産品，一般采用旁路部署鏡像流量的方式，便于部署也滿足審計需求。除此之外也需要在郵件系統上設定禁用自動轉發、ActiveSync協定，設定附件大小限制，防止大批量洩密。

3.6 内部安全意識

       安全意識是“對風險的感覺和主動規避”，而實際的内部情況是企業員工自認為安全問題離自己較遠，與自己無關，但随着網絡安全法的實施，網絡安全與每個公民個人息息相關。

      資訊安全的核心問題是人的安全意識，決定一個企業資訊安全防護成果的歸根結底還是人，任何安全管理體系、安全技術、安全産品和安全服務，如果無法解決人員的安全意識問題，就好比木桶原理，人員安全意識的短闆問題将導緻我們整體的安全建設失敗。是以在日常工作中，要反複加強員工的安全意識教育訓練，定期教育訓練并檢驗效果，釣魚郵件測試就是一個檢驗員工安全意識的有效途徑。釣魚郵件測試可以在安全教育訓練結束後安排，以此來檢驗教育訓練的效果，目前釣魚郵件測試技術已經成熟，可以利用url中包含的特定token資料來點對點記錄點選人員，進行中招使用者的統計。

3.7 外包管理

3.7.1 外包安全管理必要性

3.7.2 外包風險規避

3.7.3 金融行業的外包安全管理

未完待續……