我又回来了!
好多年没有登陆了,曾经很热爱cu,后面慢慢的放弃了技术的一些东西,前几天看到了我的邮箱,看到了小尾巴鱼给我发的邀请邮件,内容感觉很温馨,我就又来了。
原来,从事运维工作,从开始的很敢兴趣,好像没多久,博客访问量居然都超过100万了,感觉自己又点屌!到后面越来越迷茫,不知道自己追求的是什么,从事这个能给我带来什么,而且往深入的技术,越来越难,给人的挫折很大。
后来,有幸到一个央企,从事信息安全工作,慢慢的感觉很有意思,而且干过运维的人做安全,相对又容易一些,今天这篇就是写关于信息安全的,讲安全,首先要说一下什么是安全,安全的三要素可能很多人都知道:CIA 机密性、完整性、可用性,常见的大家理解的就是防止黑客攻击、数据泄漏等等,安全虽然在it领域是很小的一块,但是这个题目还是很大的,今天就说下终端(window)安全。
一、为什么要用代理?
一般运维人员都知道反向代理,那么我说的这个是正向代理,道理是想通的,隔离了终端与互联网的直接连接,提升了安全性,现在用这个的企业越来越多了。
代理的能力有:1、缓存技术(HTTPHTTPSFTPSTREAMINGCIFSMAPI…)----让用户感觉上网更快
2、内容过滤数据库(BCWF)----汇聚全球所有的url(几乎所有),进行分类,可以定向控制用户访问
3、高性能防病毒网关(SG+AV)-----能够对网页代码检测,降低终端感染病毒的概率
4、企业信息泄露防护(DLP)-----根据内容过滤,禁止用户访问网盘、邮箱等网站,还能能够限制到用户的所有http方法。这个跟一般说的dlp还不一样
5、带宽管理(QOS)----这个不用多说了
6、基于用户的认证管理 ------一般网络策略都是基于网络ip得,对于办公网动态ip的用户,则很方便
上面是的网上找的,其中我觉得还有:用了代理之后,假设某个用户的终端感染了木马,也很难被远程控制,因为木马基本不能通过代理外联出去。
二、方案描述(NGWF+PROXY+AD)
1、所有终端做准入控制,都加入ad域,可以基于角色(如部门)来划分。
2、proxy(上网代理)配置ad域信息,可以获取员工工号、组织架构信息;
3、N**(下一代防火墙)配置ad域信息,获取员工工号、组织架构信息;
4、策略配置:
(1)在代理上配置封禁网盘类、邮箱类的域名;
(2)在nfgw上基于ad的组织架构,如采购部,拦截他们直接访问互联网,这样采购部员工只能通过ad域来上网了,但采购部还有使用微信、qq的需求,那么把微信、qq的策略在n**上放开,这样终端的微信、qq就可以正常使用了。
5、原来在国企就这么干的,一切没什么问题;
在国企的时候一般特别敏感的数据(如监管单位很重视的用户跟人信息)管的很严格,一般人也怕触犯法律,所以没发生泄漏(也许泄漏了我们根本不知道)。但在互联网企业,由于频发数据泄漏至外部网站,数据也许算是比较敏感把,就想着基于代理封杀用户在互联网上发博客的需求,结果用户需求很强烈、无法压制,最后又给放开了。。。
没有准入控制就没有终端安全,没有终端安全就没有数据安全。
(2)终端dlp可以基于内容的检测,很强大,可以捕获用户终端的所有行为,核心是规则的制定和优化,否则海量的告警能把你恶心死。
(3)dlp这个,很多公司都没用,很多公司上了dlp就是摆设,也没人看。少数公司运营的比较好,可能大家首先想到的就是菊花厂了。
(4)有的dlp还有加解密的功能,在有agent的环境下自动加解密,离开公司办公环境就无法解密。
今天登陆cu的时候,随便试了一下密码,没想到还猜对了,登陆之后还让输入手机号验证,可见cu的安全性也提高了不少,也看到上的几个通知消息,对我原来在论坛乱写的内容的告警分析。cu的论坛板块我看增加了一个“数据安全”板块,建议修改为“信息安全”,感觉这个题目更合适一些。
目前国家、企业越来越重视安全了,其中2019年的hw行动,带来了几亿、几十亿的市场吧。
3、N**(下一代防火墙)配置ad域信息,获取员工工号、组织架构信息;
4、策略配置:
(1)在代理上配置封禁网盘类、邮箱类的域名;
(2)在nfgw上基于ad的组织架构,如采购部,拦截他们直接访问互联网,这样采购部员工只能通过ad域来上网了,但采购部还有使用微信、qq的需求,那么把微信、qq的策略在n**上放开,这样终端的微信、qq就可以正常使用了。
5、原来在国企就这么干的,一切没什么问题;
在国企的时候一般特别敏感的数据(如监管单位很重视的用户跟人信息)管的很严格,一般人也怕触犯法律,所以没发生泄漏(也许泄漏了我们根本不知道)。但在互联网企业,由于频发数据泄漏至外部网站,数据也许算是比较敏感把,就想着基于代理封杀用户在互联网上发博客的需求,结果用户需求很强烈、无法压制,最后又给放开了。。。
三、如何保证终端安全
终端安全是一个很麻烦的话题,终端安全说直白点就是防病毒、防泄漏、用户上网行为管理,要想实现这些目标,常见的技术手段有:没有准入控制就没有终端安全,没有终端安全就没有数据安全。
1、准入控制系统(NAC)
准入一般依赖加ad域(便于统一身份认证),一定要用基于agent的准入,可以做终端的检测(最好能有基线检测能力),防止终端伪冒(比如我拿家里的电脑接入公司网络、获取生产系统的数据)2、防病毒
这个不用多说,大家应该都懂。3、终端管控系统
有了这个,可以监控终端的补丁情况、推送补丁(域控也行),限制某些进程的运行,远程控制等等,终端运维必备。4、基于终端的数据防泄漏DLP
(1)不是我黑国产,我了解的国产的都卡,严重影响用户体验,这个很致命。原来用的那个dlp,在excel、word里复制内容,就很明显的卡顿。(2)终端dlp可以基于内容的检测,很强大,可以捕获用户终端的所有行为,核心是规则的制定和优化,否则海量的告警能把你恶心死。
(3)dlp这个,很多公司都没用,很多公司上了dlp就是摆设,也没人看。少数公司运营的比较好,可能大家首先想到的就是菊花厂了。
(4)有的dlp还有加解密的功能,在有agent的环境下自动加解密,离开公司办公环境就无法解密。
5、N**(下一代防火墙)
这个是办公网的神器,管理很方便,它有三大特性:用户识别能力(任凭你ip如何变化,凭ID来管控)、内容识别能力(强大的url库,恶意代码检测能力)、应用识别能力(比如你要封禁百度云,你不需要知道百度云的url、域名,直接配置百度云就好了。6、IDS/IPS(入侵检测/防御系统)
有了n**,ips的必要性也许没那么必要了。但IDS我认为还是有必要的,毕竟内网东西流量还是要检测一下,万一内网发生攻击也便于及时感知,尤其是内网比较大的企业。7、终端基线配置
比如终端设置锁屏时间、关闭远程桌面、补丁更新等等。8、补丁服务器
window漏洞多这个大家都知道,所以自动更新补丁很重要了,需要一个补丁服务器。9、安全相关制度
明确用户职责,如按照要求做配置、不允许私自变更、禁止传输敏感数据至外网、u盘等,当用户违规时处罚起来师出有名。10、用户安全意识培训
这个虽然放到了最后,但这个是最重要的,毕竟核心还是人。可以做一些培训、屏保,还可以做一些考试,反正就是加强用户的参与度、让用户重视。11、做好终端安全运营工作
这个就是涵盖上面所有的,结合PDCA的思想,不断优化技术手段、管理手段,这个部分就是考验人的能力的地方。四、最后
好久不写了,本来想随便写写,啰里八嗦写了这么多,其实上面的每一块都能展开讲很多内容。上面写的那么多不一定要全做,一般结合自己公司的情况,选择性的去做一些。今天登陆cu的时候,随便试了一下密码,没想到还猜对了,登陆之后还让输入手机号验证,可见cu的安全性也提高了不少,也看到上的几个通知消息,对我原来在论坛乱写的内容的告警分析。cu的论坛板块我看增加了一个“数据安全”板块,建议修改为“信息安全”,感觉这个题目更合适一些。
目前国家、企业越来越重视安全了,其中2019年的hw行动,带来了几亿、几十亿的市场吧。