互联网企业,核心主营业务都是放在生产网络里的,比如IDC或者云上,在安全的投入和关注度上,也集中在生产网络安全。
那么办公安全不重要吗,看下以下几种场景,都是因为办公安全没做好而发生的安全问题:
1.员工将公司代码上传到github,含邮箱或VPN帐号密码,被入侵,这个帐号正好是某运维人员,然后就进入了生产网络
2.收到钓鱼邮件,说由于系统升级原因需要修改邮箱帐号密码,然后输入邮箱帐号密码,被黑客拿到帐号密码
3.外部访客接入公司网络,入侵公司系统获取敏感资料
所以说做企业安全,也需要特别关注办公安全,因为办公网的弱点很容易被黑客利用,造成不可估量的损失。
办公网安全主要关注网络安全、终端安全、系统安全、安全意识培训。
下面是一个典型的互联网企业办公网相关网络示意图:
办公网示意图
说明:
1.办公使用的电脑终端/测试服务器一般在办公网络(可能有总部/分公司等)
2.办公使用的OA/邮箱系统/财务系统等一般放在IDC
3.办公网和IDC使用专线或者VPN联通
4.办公网或IDC有SSL VPN供移动办公接入
一.网络安全
1.办公网对外端口开放和管理
办公网对外端口开放的需求主要来源于测试需求
首先从系统层面,不允许22/3389等端口或服务对外开放,这是基本原则;(在我进入公司的初期,发生几起服务器开放22端口被入侵事件)
从系统服务来看,只允许开放80/443等Web服务端口;
如有特殊需求,建议可以通过管理制度,通过流程审批方可开放特殊端口。
2.办公网业务系统对外端口开放和管理
同上,例外的如邮箱可以开放SMTP等端口。
3.办公网和IDC访问控制
办公网和IDC只允许堡垒机的22端口,80/443端口,其他的也要走审批需求方可开放特殊端口。
4.端口开放扫描系统
开发一个端口开放检测系统,定期检测办公网/IDC/办公网 to IDC的端口开放情况,对应异常端口进行告警。
5.SSL VPN安全接入
SSL VPN接入重点考虑认证安全,除了帐号密码,要增加第二认证因子(如短信),这个非常重要,因为你无法保证你的VPN帐号密码足够安全,也无法保证你的帐号密码不泄漏。
5.办公网入侵防御
采购专业入侵检测系统设备,放在办公网出口,可发现入侵、网络木马等安全风险。
6.网络安全准入
WIFI接入:使用LDAP认证并对接AD系统,员工使用AD帐号和密码接入WIFI
有线接入:使用准入系统,接入时重定向 WebPortal,输入AD帐号密码登录
guest用户:提供guest用户帐号密码,只能访问互联网,不能访问办公网
二.终端安全
1.办公PC安全
互联网公司很多电脑都是自带办公的(BYOD),病毒防护/补丁更新方面很难强制要求,可以提醒大家安装防病毒软件。
2.服务器安全
因为办公网服务器一般是Windows系统,经常爆出各种安全漏洞,如近期NSA Shadow Brokers漏洞,所以需要定期更新安全补丁,数量少可以手动更新,数量多可以使用WSUS。
另外很重要的是要开启windows防火墙,严格控制服务器对外开放端口。
三.应用安全
这点需要特别关注,因为OA、财务系统等都是外部开发的,加上使用的人多,研究安全漏洞的人也多,容易出现web 0 day漏洞,非常容易被入侵,所以这块系统的安全评估,也不能拉下。
另外如果有条件的话,像财务系统/OA可以考虑不开放,通过VPN接入和访问。
四.安全培训
办公安全问题很多都是由于安全意识薄弱造成的,我们公司的做法是开展入职安全意识培训,不断灌输安全意识,长期宣贯,形成正确的信息安全观念,减少由于人为疏忽造成的安全问题。
培训时重点宣导:
1.警惕钓鱼邮件,特别是修改邮箱密码的邮件
2.代码安全,禁止将代码上传到github上
3.禁止将公司内部信息传播到外部渠道(如网盘、微博)
好的,我们再回到开始讲的办公安全问题,如果做好了办公安全,会不会再发生呢?
1.员工将公司代码上传到github,含VPN帐号密码,被入侵,这个帐号正好是某运维人员,然后就进入了生产网络
---VPN需要短信进行二次认证,拿到了也进不生产网络
2.收到钓鱼邮件,说由于系统升级原因需要修改邮箱帐号密码,然后输入邮箱帐号密码,被黑客拿到帐号密码
---员工安全意识提升后,会问下安全或IT的同事,这个修改帐号密码的邮件是不是真的,从而避免了帐号泄漏
3.外部访客接入公司网络,入侵公司系统获取敏感资料
--做了准入控制,无法接入办公网络
总之,办公安全同样不可忽略,属于企业安全的一个重要环节。
谢谢大家,欢迎关注"企业安全最佳实践"
网友评论