这是应国内某知名IT论坛相邀,作为嘉宾来参加互联网安全的交流活动话题的总结,最后感谢大家的参与,活动已经圆满活动结束,由于时间关系,只能每天23:00到01:00期间跟大家交流,但是还是抵不过大家的热情,提出了N个问题,本次总结文章应彭总要求,随机挑选了几个话题匆匆忙忙写了一点,,排名也不分先后,请大家见谅!
活动的背景
网络安全在很多人看来,感觉非常的神秘,普通非IT群众我就不说了,我估计,很多非互联网行业的老板都会有这样心声:“不就是一个网络安全嘛,公司的那些信息部,IT部真的是烦死了,经常动不动就是要花钱买防火墙,买各种设备,买软件,买方案...每次听他们的方案,直犯困,但是却还必须要在他们的“恐吓”中听完PPT汇报,听他们把不重视网络安全的后果吹上天,好像没他们网络安全,我的公司就得倒闭似得,痛苦的是最后还得乖乖签字,同意他们的花钱......"
哈哈,上面是本人脑洞大开,胡乱编的段子,让各位客官见笑了,段子看完了,那么我们就回归本题吧!
有朋友问我,你怎么看待网络安全,传统企业对这块比较重点的关注是什么?我当时的回答是:what?什么叫传统企业和网络安全?网络安全还分特殊群体吗?对于黑客来说,她可并不在乎攻击的对象是不是传统企业,病毒和木马也不会管这些,所以我当时的回答是,网络安全不分行业,属于全场通用类型,相反由于大部分传统企业的信息化建设在互联网行业中存在滞后性,还必须更加注重这一块。
本期话题总结
网上大家看到的安全教程我估计非常的多,但是各位看官有没有发现,看的时候好像听得很精彩,听完之后感觉还是不会?所以说,学东西不一定在多,一定要在精!下面我们就简单来聊聊网络安全的这回事吧。
在笔者看来,网络安全无非就是三点,信息泄漏,数据丢失,数据篡改!其他的都是围绕着三个板块来的,所以你们主要记住了这三点,彻底理解了这三点的话,那么你就是一个合格的信息安全工程师了!
我们本次的活动话题为 :网络信息安全中的如何尽可能避免信息泄露?
围绕这个话题我们重点讨论几个问题难点:
1、讨论一、如何定义一个企业可接受的相对安全?
2、企业操作系统补丁更新管理,如何安全和智能化管理?
3、VDI虚拟桌面技术的推广,从公司领导到基层员工貌似比较排斥,如何解?
4、企业杀毒软件选择?
5、在实际工作中如何应对APT攻击?
6、请问IT人员该从哪些方面对企业数据进行保护,避免出现信息泄露呢?
7、大数据安全防护是否有完整的思路?
8、虚拟专用业务网络应该应该采取哪些措施保证网络的安全?
9、黑客攻击一般都有哪几种途径访问到我们数据?
10、虚拟机系统病毒防护方法以及面临的弊端,如何解?
活动中的部分问题讨论与解答
讨论一、如何定义一个企业可接受的相对安全?
目前在信息安全领域,攻击手段和工具、防护手段和工具都日新月异,现在大家都认可没有绝对的安全这一理念,那对一个企业来说,该如何界定相对安全的范围,或者说,有没有某种方法论,或者某个规范,来指导一个企业安全体系的建设,实现由被动接受安全厂家主动ppt式的宣传推销到根据自身需要自主选择产品的转变?
解答:目前国内并没有一个值得称道且统一的安全体系,但是有很多的行业牛人根据自己想法和经验编著给大众参考,就目前来说,一定要选一个安全标准体系做参考的话,国内的《信息安全等级保护》算是一个,不过这个等保的制度从1994年到现在已经10多年了,还是差不多停留在原地,国际的安全标准倒是有很多,比如我们众所周知的ISO27000家族体系(27000,27001,27002…..)和ISO7498-2,其中ISO27002中包含了14大安全域,ISO7498也强调了两个指标分别是五类安全服务,七类安全制度。这两类体系可以相辅相成,同时也存在很大的区别,比如他们的出发点,等级分类,安全分类都不一样。
所以从相对安全论来说,你如果能做到这两类安全体系的结合,从设备(含物理)安全,数据安全,内容安全,行为安全上做到对数据的保密性,完整性,不可否认性那么我就认为就是安全的。
当然我们刚才说了这么多,主要还是技术上的安全管理,日常应用中,我们通常是需要结合组织架构体系(如人事,行政,关联岗位)和管理体系(培训,制度,流程,法律等)
ps:
14大安全领域:包括通信安全、访问控制、业务连续性、信息安全组织、物理与环境安全、人力资源安全等
五类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。
七类安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制和公证机制。
讨论二、企业操作系统补丁更新管理,如何安全和智能化管理?
操作系统打补丁应该算是一件比较常见的工作,在众多的操作系统版本下,如何进行整体的补丁安装管理是一个比较繁琐的工作,有什么好的办法和措施管理日常的补丁安装工作。比如windows的补丁管理是一个什么样的策略,linux的补丁管理又是如何做,等等,欢迎大家交流经验。
解答:windows和linux的补丁更新机制其实是差不多的,windows的补丁服务器解决方案特别多,比如windows自带的WSUS,而且架设和使用也非常简单,linux补丁这块,你可以架设本地软件仓库,把软件仓库架设好以后,自动同步官方源,自动更新库,然后把局域网内部机器的更新源设置为本地软件仓库,设置每天仓库更新后,收到升级通知就自动更新软件。
但不管是什么操作系统,如果是核心服务器应用,请在更新补丁前,备份好数据,同时该补丁最好是在测试环境试运行,确定万无一失之后,方可应用。
讨论三、VDI虚拟桌面技术的推广,从公司领导到基层员工貌似比较排斥,如何解?
利用vdi虚拟桌面技术可增强企业信息化安全性,对信息泄露有一定作用。但是,虚拟桌面的推广相当困难,从公司领导到基层员工,貌似对这个都很排斥。目前公司虚拟桌面环境已经搭建完毕,但缺少该项目推动的引领者,让我们这些搞IT的很头疼。
解答:你好,针对您这个问题,我发表几点自己的看法:
国内目前对桌面虚拟化技术的推广普及率并不高,除了核心IT层这个圈子外,其他人并不太了解这项技术,我们先不讨论虚拟化成本与技术问题,就安全来说,搞集中式的部署虚拟桌面会存在如下问题:
1、在很多人看来,甚至包括BOSS,他们并不认为虚拟化桌面技术能提供多大的安全性,反而容易会自己没有安全感,以讹传讹之后,大家的抗拒性会非常高,所以你首先要解决的问题并不是落地的问题,而是宣导的问题。
2、个人认为,现在桌面虚拟化,并不能提升太多的安全问题,甚至很可能是一个安全炸弹,桌面虚拟架构的原理很简单,实际上是在数据中心的服务器上执行桌面应用程序,并依赖各种远程显示协议呈现给用户,这样的技术其实存在很大的一个问题,既然局域网内客户端的所有请求都会发往服务器,一旦公司的人数过多,服务器的压力可想而知,指不定哪天就崩溃了,同时由于显存和传输问题,可能会对客户端的视频,3D,图像设计等应用需求无法得到满足。
3、我们都知道,世界上没有绝对的安全可言,网络也是如此,一旦服务器发生故障,或者被入侵,或者受到其他影响,都会对客户端是致命的。
综上所述建议您综合考虑企业的实际情况,通常情况下,一个巴掌拍不响,你要真想在企业内推广的,必须在心理上让大家接受,其次才是考虑推广,最后才是落地。
讨论四、企业杀毒软件选择?
企业windows客户端环境基本上都会安装杀毒软件,目前国内在服务器上使用的杀毒软件口碑还不的都有哪些,有没有出现过隔离过系统配置文件的情况?
解答:市面上杀毒软件的功能都大同小异,所以无需纠结,并给2个建议:
1、有钱有技术就用symantec,有钱没技术用360天擎,没钱没技术就用免费的360企业版也可以。
2、如果你是用于服务器部署的话,你可以使用一些厂商提供的安全私有化部署也是不错的,比如的安全狗(声明,此处不是做广告!!!)
讨论五、在实际工作中如何应对APT攻击?
APT攻击主要以窃取信息为目标,对于企业来说,在实际工作中如何防范这类风险?
1、安装补丁。在实际工作中,尤其是终端规模大的环境下,补丁是要经过一步步测试的,不然可能会导致一系列问题,但很多APT攻击是以零日漏洞为手段的,这个矛盾该如何处理?
2、目前市场上各类行为检测、沙箱检测、协议检测产品,这些产品真的有用吗?目前除了很多年前比较引人注目的证券幽灵外,最近各类产品一直在宣传,但没有听说有实质性APT防护案例,可否分析一下目前APT防护手段是否存在缺陷?
3、对一家企业来说,如果能做到内外网隔离的话,是不是只要加强内网与互联网接入区的防护就可以防止APT信息泄露呢?
解答:APT是一种非常难以防御的攻击手段,是不法黑客团队经常采用的手段,经过长期的经营与策划,利用社会工程学,安全漏洞等有计划、有组织的持续窥探目标网络弱点入侵的手段,但是原理通常都是需要攻破内部系统的某一个系统,然后以这个系统作为跳板,从而渗透到其他相关的服务器,最后达到攻击目的,可以说防不胜防,市场上目前是有这种产品的,只是在国内能够派的上用场的地方并不多,下面我就依次回答你的三个问题!
1、光靠补丁是无法避免的APT(如果对方真想攻击你的话),哪怕你补丁是实时的,所以你应该多考虑日常的安全防御,日志分析,入侵检测等环节的把控。
2、市场上是有各类安全产品(比如FireEye和趋势科技),但是并非万能的,APT他可以潜伏在你工作环节的任何一个环节,包括你的手机端。
3、内外网隔离只是防御APT的一种手段,但也并非安全,养成良好的安全习惯非常重要,总的来说APT的防御是一个持续性的对抗过程,一般来说,都必须做到入网检测,日志分析,内外网隔离,日志审计,核心数据加密,甚至虚拟化隔离都可以对抗和防御APT的手段。
讨论六、请问IT人员该从哪些方面对企业数据进行保护,避免出现信息泄露呢?
解答:1、企业和部门都需要建立严格的规则制度
2、技术上要严格控制服务器的访问权限
3、操作审计功能不能少
4、加强服务器本身的安全防御措施,比如开启防火墙,杀毒软件,定期修改登录密码,修改默认协议端口等
5、服务器上尽量少安装与业务关系不大甚至无关的软件程序
6、条件允许下,建议使用堡垒机进行授权登录
7、条件允许下,采用文件加密系统,对资料进行加密。
**讨论七、大数据安全防护是否有完整的思路? **
解答:首先要看你的大数据是什么环境了,大数据的管理工具是什么才好具体分析,比如Hadoop他的数据虽然集群里面,但是实际上数据是分割的。
从常规的安全防护来看,建议从以下角度进行维护:
1、企业和部门都需要建立严格的规则制度,严控内部泄露;
2、技术上要严格控制服务器的访问权限,严格控制端口和服务的开放情况
3、操作审计功能不能少
4、加强服务器本身的安全防御措施,比如定期安装系统补丁,堵上漏洞
5、开启防火墙,杀毒软件,定期修改登录密码,修改默认协议端口等
6、服务器上尽量少安装与业务关系不大甚至无关的软件程序
7、条件允许下,建议使用堡垒机进行授权登录
8、条件允许下,采用入侵检测系统,行为管理系统。
讨论八、虚拟专用业务网络应该应该采取哪些措施保证网络的安全?
比如在政府企业或者一些需要架设端对端通信的业务,如果在网络安全方面保障在信息传输时候的安全?应该从哪几方面考核和入手?
解答:你好,您咨询的应该是虚拟专用网络(VPN)!
VPN的通讯安全主要从以下几个方面进行保障的:
1、隧道技术(Tunneling)
2、加解密技术(Encryption & Decryption)
3、密钥管理技术(Key Management)
4、身份认证技术(Authentication)
大家通过这四个安全模块从常规角度来理解的话,为员工提供VPN,员工可以拨号进入系统,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是片面的,下面我们来简单分析VPN的不安全性!
1、首先员工既然可以拨入到公司内部,那么也就意味他能看到很多核心的数据,如果黑客提前在他电脑上中下木马或者漏洞,那么这条VPN的专线风险是最大的;
2、一般VPN通道的建立,并不能完全阻止黑客截取数据,只是能够在某种程度上增加破解的难度。
所以说VPN的协议、算法、密码三者的安全性均很重要,针对VPN的安全防御方法我提供大概这么几项给你参考:
1、两端的防火墙都必须开启,并严格做好端口和服务的控制;
2、不管选择对称加密还是不对称加密的算法,都建议你使用位数比较长的秘钥,一般来说如果有256位加密技术足够了。
3、养成良好的安全习惯,VPN通道建立前后都确保电脑安全后在开始进行数据操作。
讨论九、我们公司防火墙一般是设置访问控制列表ACL,基于IP进行限制,黑客攻击一般都有哪几种途径访问到我们数据?
防火墙的作用仅是对网络进行限制就够了吗?是不是只要外部的访问不进来就安全了? 个人感觉最大的隐患和危险来自于内部维护人员的不小心误操作,尤其是涉及到数据库的操作。
解答:黑客访问的你数据途径大致如下:
1、抓住你公网业务的漏洞,然后进行注入和控制
2、强制攻破你防火墙的防御,使防火墙超过最大极限挂掉
3、入侵你业务范围内的某一台机器(比如APT攻击),然后以这台机器为跳板,进行入侵!
4、社会工程学+利益的腐蚀,具体不细说,大家都懂,而且也是最难防的。
同时这个问题应该看防火墙在内网还是在外网。
内网防火墙可以设计规划好防火墙的访问控制列表(包括各业务工作区域的划分),再做好日常管理工作,就能够基本可以发挥它的作用。
外网防火墙,只做这些是不够的。起码还应该做好内外网隔离,还要从操作系统和数据库本身做好相应的安全设置,并升级相应的安全补丁,才可以达到基本安全的目标。
如果条件允许,最好定期做一些安全漏洞扫描工作,了解掌控网内各业务系统存在那些安全问题?这些安全问题的严重程度?
安全工作本身的内容都是相对来说的,安全没有绝对安全。就象没有最好,只有更好。对于黑客与安全来讲,总是道高一尺,魔高一丈。
讨论十、虚拟机系统病毒防护方法以及面临的弊端,如何解?
由于安全登报要求,除了物理服务器,对于公有云或私有云的虚拟机也需要进行病毒防护,我目前看到的有两种方法:
1、虚拟机内部安装杀毒软件,这种方式有两个弊端,批量虚机启动和运行时候,病毒检测扫描都会占据大量资源,目前的解决方法是分批去启动和进行病毒扫描,但这也只是缓解改问题的影响;经常遇到杀毒软件导致虚拟机死机的问题,经过检测发现杀毒软件会锁死虚拟化管理程序进程,不知道咱们与没遇到过;
2、如果是私有云,不想让杀毒软件造成资源占用问题,可以在虚拟化引擎层面植入安全引擎,不过这种方式效果如何,是否符合安全等保要求?
解答:我个人觉得以及我们做法是,在服务器上,分别从两个方面进行:一是从虚拟机服务器本身,通过定期的检查就可以,重点检查移动存储设备。定期的检查可以错过业务高峰时段,不影响业务使用。在服务端,从安装系统到部署业务系统,基本不会产生与病毒相关的问题,重点是以后的管理,或可能直接使用移动端的存储设备接入服务器造成的,所以重点做移动存储接入时的检查(自动检查移动存储设备的接入)就可以,基本不会影响服务器的使用(因为在对服务器进行操作时,基本会考虑停止业务系统的使用)。
我们就是统一在中心端统一部署了网络版杀毒软件(当时主要是真对下面终端来要求的),配置要求就是重点检查移动移动存储设备(这个要求是全局的),而且这样是跟网络准入系统捆绑使用的,就是接入专网必须需要通过准入系统,必须安装杀毒软件。这样,一旦有移动存储设备接入,必须对其进行扫描检查。从三年多的使用情况看,效果还是很不错的。
更多讨论问题可以阅读全部:http://www.aixchina.net/Activity/?id=569
http://www.aixchina.net/Article/178147?from=timeline
本文出自 “追求IT网络技术的最高..” 博客,请务必保留此出处http://zhaogao.blog.51cto.com/205189/1923460
原文地址:http://zhaogao.blog.51cto.com/205189/1923460