資訊保安建設三部曲

從那些刷爆朋友圈的事故說起

隨著社會、科技等的快速發展，資訊、資料逐漸凸顯重要位置，並且一躍成為企業重要的核心資產。資訊化、資料化不斷推動企業提高生產和執行效率、降低成本、增強決策效率和提高決策準確率。企業的發展越來越離不開資訊化和資料化的支援，脫離了資訊和資料支撐的企業極有可能快速地被整個社會所淘汰。

資訊和資料的關鍵重要性，決定了資訊保安在企業中的重要性。如何保障資訊和資料的安全，也將逐漸成為企業IT部門的重要任務之一。

本文大綱：

1、資訊保安缺失的影響

2、資訊保安保障三板斧

風險管理

安全管理

安全運營

3、總結

一、資訊保安缺失的影響

資訊保安絕非危言聳聽，資訊保安的缺失一般會造成資料丟失、資料洩露、資料篡改和系統不可用四個直接危害。無論哪個危害，都足以對企業的正常經營和持續盈利造成致命一擊。

資料丟失：例如人力系統資料丟失，導致員工工資無法正常發放；執行系統資料丟失，導致無法瞭解企業生產資料量；銷售資料丟失，企業無法瞭解銷售數量、客戶訂貨量等。資料丟失不同程度地影響著企業正常運營。

資料篡改：這意味著企業的真實資料不再真實。例如：本應發貨給A的訂單被篡改成發貨給H。資料篡改會給企業經營帶來很多不必要的麻煩，甚至是法律糾紛。

系統不可用：主要指核心系統遭受攻擊或是網路遭受DDOS攻擊等影響系統的正常使用，造成依賴企業IT系統的部門無法正常運轉。

資料洩露：將影響企業的名譽和繼續存活。資料洩露的案例眾多，資料洩露對公司的信譽影響巨大，嚴重影響公司的未來發展。

因為安全缺失導致的企業受影響的案例數不勝數，以下是2017年比較典型的資訊保安事件：

2017年2月Gitlab.com運維人員誤刪300G資料；

2017年3月58同城被曝簡歷資料洩露700元可採集全國簡歷資訊；

2017年4月12306官方網站再現安全漏洞；

2017年5月WannaCry勒索病毒席捲全球；

2017年6月《中華人民共和國網路安全法》正式實施；

2017年7月老牌信用機構Equifax被黑1.43億使用者資訊遭洩露；

2017年8月美國選民資料被洩露186萬選民資訊可公開下載；

2017年9月傳華為被中國移動罰款5億因技術人員誤操作；

2017年10月南非現史上規模最大的資料洩露事件；

2017年11月五角大樓AWS S3配置錯誤致18億使用者資訊洩露；

2017年12月針對企業的釣魚郵件APT攻擊爆發；

（摘自：http://www.sohu.com/a/212758058_765470）

甚至在剛剛過去的2018年一、二月份，還被爆出多家醫院的核心HIS系統遭受勒索病毒攻擊影響醫院短時間內正常運轉的事件。

危機不斷，影響致命。如何做好資訊保安，理論、體系架構和技術實現芸芸眾多，汲取多家之長，結合自身實際情況，探索、建立出企業自身安全管理，是企業IT經營一個持續不斷的任務。

二、保障資訊保安問題的思路

這裡給出一個總體思路以供參考：

風險管理：包括對風險進行分類，採集公司和系統可能存在的風險，對採集的風險識別以及對風險進行跟蹤，管控和處理風險；

安全管理：主要以建立企業或是網際網路網站安全體系為主，包括安全技術架構、安全策略、技術管理和人員管理四個方面；

安全運營：包括安全運維操作、安全體系落地、安全審計工作、安全資料分析以及安全績效考核等。

通過體系化管理企業資訊保安，做好全面防護和備份工作，在防護絕大多數安全威脅的同時，科學備份，保障資料準確無誤，以此達到企業資訊保安的目的。

1、風險管理

風險管理是企業資訊保安管理的第一步，有風險意識、危機意識，瞭解風險，管理風險，進一步控制風險，將風險扼殺在搖籃中。

同時，通過風險管理，瞭解各種型別的風險定義和各種攻擊手段的攻擊原理，對企業存在的風險和潛在的漏洞進行統一採集與識別，建立風險生命週期管理，確保對企業已有風險和可能造成的威脅瞭然於胸。

（1）風險分類

不同維度帶來的風險分類也不盡相同。一般按照區域和造成安全事件的原因可以分為企業外部風險和企業內部風險。外部原因造成安全事件的風險為外部風險，內部原因造成安全事件為內部風險。

其中外部風險主要指攻擊者或是攻擊團體利用網站漏洞進行注入、攻擊、竊取、篡改等手段對企業資訊進行破壞；內部風險主要指企業內部人員誤操作導致的資料風險或是外部人員通過內部人員、內部裝置發起的攻擊行為。不同的風險分類，有不同的防禦方法。

另外，風險還包括重要系統、資料庫未建立健全備份驗證機制、缺少高可用支援等。

（2）風險生命週期管理

風險採集主要是指通過滲透測試、網路安全裝置掃描等手段，對企業IT系統、電腦終端等裝置進行按計劃定期掃描，採集可能存在的安全風險和漏洞。重要系統及時備份和驗證備份可用性、核心系統缺少高可用叢集方案都是在風險採集過程中作為風險源進行統一採集和管理。

風險識別主要對採集上來的風險進行風險識別和建立起風險的生命週期，以便實時跟蹤風險處理過程，避免遺漏和長時間未響應。

風險管理，通過對各種類別的風險進行學習，瞭解各種攻擊原理和攻擊手段，對企業已有的IT系統和各個客戶端進行風險採集，對於採集上來的風險進行逐一識別，建立風險生命管理週期，解決掉風險源，以保障系統安全執行。

比較健全的風險管理系統，結合自身對風險類別、原理和危害的深刻認識，可以讓企業資訊保安做到一定程度的風險可控、損失可控，不至於在資訊保安事件面前一臉茫然。所以，建立企業資訊保安首先要做好對風險的管理，知己知彼，方可在企業資訊保安防守上游刃有餘。

2、安全管理

安全管理主要是企業資訊保安體系的建設和管理。企業資訊保安體系一般來說包括安全架構、安全策略、安全技術和人員管理。

安全架構主要是對企業結合軟硬體裝置和網路劃分進行的資訊保安架構；

安全策略是安全體系的核心，主要指包括對軟硬體裝置、網路、伺服器、應用、資料庫、客戶端等IT主題日常工作的安全規範至安全體系的指導性意見，後續所有安全體系的落地都依賴於安全策略；

安全技術主要是對安全策略逐條分解，制定相應的細則規範和實際落地；

人員管理主要包括安全組織架構、人員、培訓等相關管理。

通過架構、策略、技術和管理組成資訊保安體系並作為公司資訊保安建設指導性檔案和具體落地方案，為公司安全建設指明方向和奠定落地基礎，做到安全建設有據可依，有章可循。

（1）安全架構

安全架構是指與安全相關的軟硬體裝置進行科學組合架構，建立起公司資訊保安技術架構。包括網路裝置、網路區域劃分、雲防護、防火牆、IPS/IDS、WAF、審計、日誌伺服器等等，較完善的安全架構示例如下：

上圖為一般大中型企業的企業資訊保安架構。

雲防護系統

首先是網際網路接入層，將流量引流至雲防護系統，作為整個安全技術架構的第一層防護，將外來訪問流量做第一層清洗。雲防護一般具有云WAF、抗DDOS、抗CC攻擊、防篡改等功能。尤其是企業資訊保安等級要求比較高的企業和網站，重要保障期間防篡改功能非常重要。

但是使用雲防護也有一定的風險，主要有三：

流量首先進入第三方雲平臺，與雲節點關係多少有關係，對網站的效能有一定的影響；

對於核心緊要的資料因為經過第三方雲平臺，一定程度上有洩露的風險；

雲平臺一般作為遭受攻擊的重災區，出現任何故障，對網站的正常訪問有一定的影響；

基於以上三點，在選購雲平臺的時候，一定要採購雲節點較多且技術較成熟的大平臺；另外資料的傳輸使用HTTPS加密傳輸，避免資料被竊取；同時在部署雲平臺的時候，做好Bypass的部署方式，當雲平臺出現任何故障，將流量直接引至防火牆，避免受影響。

雲防護之下是多鏈路接入防火牆，二者之間有時會加入一層硬體抗DDOS的防護裝置做抗DDOS攻擊，同時一般也會提供鏈路負載的功能。

防火牆

防火牆一般採用不同型號的兩臺作為主備避免防火牆的單點故障，有的公司使用型號相同的兩臺，也是可以的，比較省事，不用每一臺都單獨配置。一般同品牌型號的防火牆配置會自動同步，但是不同型號的防火牆一般不具有同步配置功能，需要單獨配置，增加操作成本，不同型號安全性相對更加好一些。

SSL_VPN主要用於遠端辦公，供公司成員以及第三方合作商進行公司系統的管理和維護使用。使用SSLVPN一定要注意VPN賬戶的管理，現用現申請，用完即登出，堅決杜絕長時間使用同一賬戶和密碼。

防火牆後面加一層IPS入侵防禦系統作為防火牆補充，與防火牆一道對公司的內部系統、客戶端等進行安全防禦。如果IPS是串聯接入，那麼一般情況下是需要兩臺，每一臺雙鏈路雙電源避免單點故障；如果是旁路接入的話，那麼IPS則只具備IDS入侵檢測的功能，對於可能的攻擊威脅不做拒絕處理。同時，如果串聯單節臺的話，一定要選購的產品具備Bypass的功能，出現故障的時候不影響流量正常流轉至下一節點。

IPS

IPS的策略管理也很重要，策略的科學完善程度決定著入侵防禦的效果好壞，積極與廠商的安全專家溝通，不斷根據實際情況優化改進安全策略，將入侵防禦和檢測功能發揮極致，確保內部系統和客戶端的安全。

公司內部環境一般分三個區域：內網區域、DMZ區域、辦公區域，每個區域根據實際業務情況劃分不同的VLAN或是VXLAN進行管理。

內網核心交換

內網區域主要劃分為資料庫VLAN和應用VLAN，並在應用VLAN設有單獨的日誌伺服器，其中應用VLAN根據不同公司的不同業務場景分為核心執行系統VLAN，如製造業的生產系統等；市場VLAN如官網、電商平臺等；辦公VLAN如OA、考試系統、培訓系統等，以及其他VLAN，例如專門的資料分析VLAN區用於做大資料分析等相關。

內網VLAN的劃分根據具體業務場景進行，單獨資料庫VLAN主要便於資料庫許可權控制和管理。日誌伺服器負責統一採集管理和分析各種系統的日誌以便分析有用資料做經營指導、業務監控、系統審計等功能。

DMZ交換

DMZ區域主要用作部署反向代理、負載均衡和部署部分安全要求不高的應用。因為部署有反向代理和負載均衡所以一般Web請求都是先到達DMZ區域，然後反向代理至內網，故DMZ上部署WAF防火牆來防護Web系統免受攻擊。

WAF部署同IPS，一般是主備兩臺雙鏈路雙電源，避免單點故障，單臺情況下要求Bypass避免受影響。DMZ區域也部署單獨的日誌伺服器用作日誌採集和統一管理、分析。

WAF防火牆的使用與IPS亦類似，主要是防護策略的設定：設定簡單起不到Web防火牆的功能，設定太複雜或是設定不準確有可能造成誤殺，將本該正常的請求阻止。所以使用IPS和WAF時，一定要結合實際情況，進行安全策略的設定，以達到效果最優。

內網和DMZ區域一般部署公司的核心伺服器，儲存公司的核心繫統、檔案和資料等，所以除已有的安全裝置外，還需要漏洞掃描定期掃描內部漏洞和風險，以便進行及時處理；堡壘機用於運維人員進行伺服器登陸和操作；安全審計軟體進行日常運維操作的審計等。

好的堡壘機或是安全審計軟體可以阻止一些高危操作，如root進行rm –rf /*等類似高危操作。這倆區域作為公司內部環境的重要資料儲存區，必須重點防護、定時檢查、及時處理。

辦公區域交換

辦公區域主要是指公司的業務辦公區域。辦公區域一般會根據不同的樓層或是不同的部分劃分不同的VLAN，並且辦公區域部署防病毒伺服器和WSUS升級伺服器等，每一終端都部署防病毒，病毒庫及時更新。

另外，為了規範管理人員上網，旁路部署上網行為管理對網路訪問進行管控和分析，以企業達到員工科學、合理利用網路進行辦公。

比較大點的企業會架設有企業安全感知平臺或是企業安全大資料分析平臺，將所有安全裝置執行情況、日誌等進行管理和分析作為企業安全管理和分析的入口，方便進行統一管理和運維工作。

安全架構根據不同的企業性質和業務場景也不盡相同，很多網際網路企業購買的雲主機更多依賴於雲服務商提供的安全防範，如阿里雲的雲盾等；也有企業通過租賃IDC機房進行系統部署，更多依賴IDC自身的安全防護。

不同的場景安全架構不同。根據自己的實際業務部署情況和發展場景，選擇最適合自己的安全部署方式執行安全防護，保障系統能夠安全穩定的正常執行。

安全架構主要依託軟硬體和網路、伺服器等裝置，通過科學區域劃分和精確部署建立起企業安全防護網，同時藉助日誌分析、安全大資料分析平臺，分析和預估企業已有可潛在的風險，在安全防護網的基礎上主動出擊、事前預防、立體防護，將企業的資訊、資料等資產保護好。

（2）安全策略

安全策略主要作為安全建設的指導性規則，後續的安全技術和日常安全運維工作全部是為了將安全策略進行落地實施。安全策略總體分為物理安全策略、資料安全策略、網路安全策略、系統安全策略四個部分。

物理安全策略

物理安全策略主要分為機房物理安全策略和公司安全執行相關物理安全策略。

其中，機房物理安全策略要求機房的設計、建設和運維要遵循相關的規範和標準，主要有：《GB50174-2017 資料中心設計規範》、《GB 50462-2015 資料中心基礎設施施工及驗收規範》等國家規範以及各個行業相關要求規範。

機房建設從物理選址到防雷擊、防火、防火、防潮、防靜電已經機房許可權控制等都是物理安全需要考慮範疇。跟公司安全執行相關的公司的安防系統、門禁管理、電話監控錄音等都屬於物理安全，要在物理安全策略中體現。

例如：

公司視訊監控至少要保留30天；

公司要有門禁管理，核心機密部分只能少數人有許可權進入，門禁許可權要定期審計，及時處理過期許可權；

公司電話錄音資料至少要保留30天，以備錄音查詢；

機房日常管理必須要有常用備件，如插排、PSU、網頭網線等。

以上可以看出安全策略主要是針對可能出現的安全風險和日常與安全有關的工作的一些策略，同時策略的制定要求言簡意賅。

資料安全策略

首先是根據業務資料的重要程度進行資料分類和分級，不同級別的資料型別保障級別也不一樣。其次資料的產生、傳輸、使用、備份和銷燬制定不同的資料安全策略，一般包括如下：

資料保密性對不同類別的資料採用不同的許可權控制，尤其是核心敏感資料，採用加密處理，採用最小許可權控制方法，資料操作人員需要簽署資料保密條例等。

資料傳輸性要求資料在傳輸過程中不被竊取、篡改，要求加密傳輸，如採用HTTPS的方式等。

資料完整性、一致性、抗抵賴性要求資料的收發雙方資料一致，完整不丟失，並且對於資料的修改不可抵賴，以確保資料安全。

資料備份和恢復策略要求資料必須定時備份，對於備份集定時驗證其準確性，備份集的保留週期不能少於指定天數等。

資料銷燬策略要求資料在進行銷燬的時候，必須首先確保資料已無使用價值或是達到銷燬要求，對於資料的銷燬必須是完全銷燬，不可再在任何地方、任何人手中繼續保留該資料。同時在銷燬資料時，宣佈資料已無效。

網路安全策略

網路安全策略首先是網路裝置安全及策略，要求網路裝置如核心交換機、防火牆等必須雙機、雙鏈路、雙電源等避免單點故障；交換機、防火牆等安全裝置使用的時候必須先要進行安全加固、禁止多人使用同一賬戶維護網路裝置，賬戶和人必須一一對應，所有網路裝置名稱必須唯一等等。

網路安全策略同時還對無線網路安全策略進行管理控制，例如訪客網必須與其它網路隔離等；對網路訪問進行詳細控制，如身份鑑別等；同時對網路安全進行審計。

網路安全策略還主要包括多種網路安全裝置的策略設定，一般要在基於自身經驗的基礎上結合廠家的經驗，科學合理配置策略。

系統安全策略

系統安全策略包括終端、伺服器安全相關策略、系統資源策略、應用中介軟體部署配置和備份等策略要求。

以密碼保護策略為例，一般會有如下策略：

密碼的長度不能低於8位，要求必須大小寫字母資料混合使用；

密碼有效期為3個月，過期鎖定賬戶要求修改；

首次登陸必須修改預設密碼；

錯誤登陸3次必須鎖定10分鐘；

密碼必須加密儲存並且新增salt；

頁面登陸必須要有驗證碼。

對於伺服器一般要求必須安全加固，活動Session 5分鐘內無反應需斷開連線；伺服器不能Root遠端登陸；伺服器禁止RM直接操作等等。

系統安全策略與日常系統運維有密切的關係，策略制定的完善程度，決定著系統安全的程度。與開發有關的編碼規範、安全編碼、SQL書寫規範等都屬於系統安全策略範圍內。

安全策略是整個安全管理乃至整個安全體系的重要組成部分，日常安全運維工作中除了將安全策略一一落地實施外，還需根據實際業務情況和實際執行情況，進行策略的進一步評估和完善，建立健全安全策略對公司安全體系建設和保障系統安全至關重要。

（3）技術管理

技術管理主要針對物理安全策略、資料安全策略、網路安全策略、系統安全策略進行分解和技術實現，具體表現為各種安全運維相關的規範、標準和流程等。換言之，將安全策略轉化為可執行的技術方案，在安全運維執行過程中，根據實際執行效果優化不斷優化安全策略。

一般由安全策略演變而來的標準規範主要有：

硬體上下架流程；

Windows伺服器部署標準和安全加固方案；

Linux伺服器部署標準和安全加固方案；

資料庫及叢集部署標準（Oracle、MySQL等）；

應用伺服器Tomcat部署標準；

Nginx、HAproxy部署標準；

安全事件處理流程；

安全事件彙報流程等一系列日常運維相關操作的標準和流程。

（4）人員管理

人員管理主要包括與資訊保安相關的資訊保安委員會或是資訊保安小組等組織管理、人員管理以及資訊保安相關培訓等。

人員即安全直接操作人員，如安全工程師、系統運維工程師等，和與安全有關的人員，包括公司全體員工、第三方合作方等；

組織指一般公司設有資訊保安小組或是資訊保安委員會，組織負責人員的培訓、演練和安全體系的建立落地實施等；

培訓是指安全人員或是其他安全培訓資源對公司人員進行資訊保安相關培訓，提高人員和組織的資訊保安水平，加強安全意識，與對培訓的結果定期考核；

安全運維要求理論與實際相結合，按計劃定期的演練實戰必不可少。勤練手，在真正的安全事件面前才能有條不紊地從容應對，將公司的損失降至到最低，最大程度的保護資訊和資料。

3、安全運營

企業風險管理建立、安全架構設計、安全策略制定以及技術管理和人員管理的落實，為安全運營提供運營主體。

安全運營主要包括日常安全運維工作、定期安全審計、安全資料分析以及安全績效考核四個部分。

安全運維主要針對安全策略以及技術方案實施規範流程等在日常工作中按規操作，出現的安全事件，根據處理流程和通報流程進行應對等操作。安全運維要求日常運維管理操作必須是安全且可審計的，即日常的運維工作要定期做安全審計。

安全審計在審查日常運維操作是否合規的同時還需包括安全策略是否在實際運維過程中完全落地實現，如備份是否完善，備份驗證是否定期執行，備份是否準確可用等。

對安全審計的結果、日常運維工作以及安全裝置、安全平臺的安全資料進行資料分析，為安全績效考核提供資料支援，同時通過資料分析深入剖析公司安全執行情況以及人員和組織的安全績效情況，為公司的安全建設和安全運營的進展情況提供數字化展示。

（1）安全運維

日常運維操作要遵循安全管理中安全策略和技術管理制定的標準、流程的方案。一般日常運維工作包含如下內容：

日常運維操作涉及的操作標準和流程需要在安全管理部分中有所體現。同時根據這些固定化的標準和流程可以實現運維自動化，最大程度地減少人為失誤。安全運維初始階段可能會造成運維工作的繁雜，流程、步驟較多等，但是隨著自動化運維的逐漸開展，人工運維會逐漸減少，運維效率也會逐漸提高。

（2）安全審計

對於日常運維操作、安全架構和安全策略落地進度，必須要有安全審計的參與，來監督和督促安全體系的執行。

安全審計內容一般包括安全策略的執行情況，標準流程化的技術方案在日常的安全運維工作中是否得以按規實施；日誌、備份是否過多地保留歸檔；備份驗證計劃是否按時校驗；備份集是否準確可用，以及伺服器配置、防火牆策略等相關配置和策略資訊是否準確可靠等等。

簡言之，安全審計就是對於制定了啥的執行的情況和操作了啥的操作記錄進行審計，這是廣義的安全審計。狹義上的安全審計主要是指資訊保安相關的內容。

安全審計工作流程一般遵循制定計劃、執行審計、審計結果、跟蹤整改、審計完成等步驟。根據實際情況，先制定審計計劃，審計計劃要求包括審計頻率、審計內容、審計物件等。

一般在執行審計的時候，會出現臨時搭建應對審計的測試環境，這是非常不可取的。要求審計的物件必須是真實的生產環境和實際的工作內容。除了對當前操作、當前日誌審計外，還需審計是否具備歷史記錄等。

廣義的審計計劃可以包括漏洞掃描計劃，定期對公司系統進行漏洞掃描，及時處理潛在漏洞，不過一般也會在安全策略會指定每隔多久進行一次漏洞掃描的策略。

（3）安全分析

安全分析有一部分包括安全審計的結果，這部分主要是對公司安全執行情況相關的分析；還有一部分公司的安全裝置、安全感知平臺等記錄的公司遭受攻擊的資料資訊；另外，公司歷史安全事件記錄公司已經產生的安全事件，這也是作為安全資料分析的內容。

通過安全分析，數字化、圖形化的展示公司安全體系執行情況和公司安全執行情況，對公司的問題和風險進行查漏補缺，推動安全體系的建立和完善。

（4）安全績效考核

安全績效考核的目的主要是促進員工、組織、系統和裝置的安全完善建設。由此可見，安全績效考核的主體主要是個體員工、組織部門、各型別系統和各種安全裝置。

對不同考核物件，採用不同維度的考核指標，這要求安全管理人員必須結合實際情況建立起一套被多數認可、賞罰分明且容易執行的安全績效考核方案。通過考核促進整個資訊保安的建設工作。

三、總結

安全體系的建設是一個相對比較漫長且需要不斷學習、不斷修改完善的過程。公司全員與資訊保安息息相關，幾乎人人有責。作為企業資訊保安建設者，更多的是做安全防守，從人、事、物三個方面進行安全建設，培訓好人，按規做事，按規用物，同時藉助專業的安全檢測和安全防護裝置和手段，構築企業安全壁壘。

在物理安全上，網際網路企業對物理安全的重點更多是依賴雲防護或是託管在IDC機房的安全防護手段。對於網際網路企業的安全建設過程中，例如電商平臺，更多可能是偏向與業務安全有關的防護，例如建立業務風控模型，有效避免被薅羊毛，惡意刷單、交易抵賴等與業務相關的安全風險。

在業務安全上，這本身也是一件比較有意義的事情，防護以及落地需要安全工程師、業務人員、開發測試人員等共同參與進來。例如電商平臺惡意刷單的場景，需要通過採集買賣家的賬戶、密碼、電話資訊、收發件人地址、電話資訊、交易頻次交易內容等等一系列相關資訊建立起比對模型，判斷買賣家是否存在惡意刷單的行為，同時判斷出重新整理行為的時候，在下單時進行阻止，避免惡意行為實質產生。

由此可見，業務防護不單單是安全部門的事情，與業務部門、開發部門等密切相關，相互配合，在資深的業務背景下，藉助技術手段建立起業務安全防護。

現階段很多傳統意義的企業也已經逐漸建有自身的網際網路平臺，所以在構築企業安全體系的時候，也要根據企業自身的網際網路屬性，建立業務安全防護，避免企業遭受業務安全相關的攻擊。而業務安全防護在建立企業安全體系中往往容易被忽略，這本身需要安全工程師或安全管理者對業務知識有比較高深的理解，以及與關聯部門共同建立起業務安全防護。