办公网络安全管理实践杂谈

一、网络安全

（一）网络区域划分

      办公网络通常用于承载公司员工日常办公的服务以更好的支撑业务开展，如OA系统、知识管理、项目管理、邮件系统等，其由办公相关的服务器、接入网络、终端构成。在办公网络架构设计上首先要遵循“纵深防御”的理念，通过“纵深防御”可以使网络拥有更高的安全韧性。为了使“纵深防御”有效，必须站在恶意人员的视角，在访问路径上应用多层或者多级安全性来最大程度的保护每个资源。通过区域划分可以将不同安全级别的资源进行分别管理，以更好地通过安全策略实现访问控制，根据企业实际情况可以将办公网络划分为终端接入区域、DMZ区域、服务器区域、互联网接入区域等，根据与生产、开发、测试网络之间的关系还可以在网络边界划分专用的中转区域，避免办公网络与上述网络直接互联互通。在终端接入区域还需要根据实际情况划分Guest访问等区域，以实现外来访客与本地员工的访问控制隔离。在访问资源的逻辑链路上，可以根据访问资源的类别部署不同的安全设备，如防火墙、IPS、WAF等设备，注意，这时的资源可能是生产网络的资源，也可能是互联网上的资源。

注，纵深防御模型，摘自：The Open Group《安全架构实践的公理》。

（二）网络准入

      办公网络区别于业务网络，通常是员工日常访问或者访客偶尔接入访问，而业务网络主要服务于外部用户，因此要避免办公网络随意开放，有效的网络准入控制策略是保障办公网络安全的基本提前。终端可以通过有线与无线的方式接入，通常终端采用802.1x认证、IP+MAC绑定等多种方式进行认证管理，在投入有保障的前提下，可进一步采用成熟的商业产品结合终端管控、BYOD等措施加强安全管理。具体在管理上，可以在准入策略上线时批量开通终端准入，后期再接入终端时必须通过审批进行，针对访客可以由接待人员负责申请接入网络，需要注意的是做好终端准入台账管理，即时清理过期的终端。

（三）上网行为管理

      部署上网行为管理通常有多个因素的考虑，一方面可以将一些恶意的、非工作需要的网站进行封禁处理，如炒股、娱乐、购物等网站，同时可以根据不同部门的需求开通相关的访问策略；另一方面上网行为管理设备作为边界流量审计设备，可以记录员工的日常网络访问行为以备事后审计，同时可以记录一些非法的内部向外部发起的访问行为，如非法外连行为、恶意反向链接行为等；还有就是可以作为流量分析设备，检验内网安全策略的有效性，理论上讲只有“被设计”的流量才可以流转到上网行为管理设备，如果在审计中发现有非“被设计”的流量，则说明内部安全策略是失效的。

二、终端安全

（一）终端分类

      在中小型的企业里面生产网络与办公网络之间不可能做到完全的物理隔离，有可能会出现同一个终端承担几种不同功能用途的情况。因此比较好的做法是在有预见性的情况下，将终端依据不同的用途分为不同的类型，如生产业务终端、办公终端、访问互联网的终端、开发测试终端、移动终端、专网专用终端等。为不同的终端分配不同的VLAN，并制定相应的网络接入与访问控制策略、病毒查杀策略、漏洞扫描与补丁安全策略、安全特征库升级策略

（二）终端隔离

      对生产、开发测试等的网络的访问很有可能是从办公网络发起的，办公网络变得不再是仅仅为了办公。因此需要根据不同用途对终端进行安全隔离，隔离的方式有多种，可以通过安全策略、ACL对终端进行隔离，也可以通过引入堡垒机、云桌面的方式对重要业务的访问场景进行隔离，从而提升网络的整体安全性。

（三）终端外设与移动介质管理

      在终端安全管理中，对终端外设进行统一管控是必不可少的，包括移动硬盘、U盘、光驱、蓝牙等，可以选择全部封禁，然后再以白名单的形式按需开通读或者写权限，也可以通过策略只允许某个终端具备上述功能，所有人员均在该终端上使用移动介质。前者控制力度比较弱，策略开通后不便于管理，而后者更利于管理，但是减少了人员使用的便利性。在U盘、移动介质等的使用上应当建立管理台账，明确移动介质的使用人，使用期限，并定期进行复盘。为了防止通过U盘、移动介质等途径的数据泄露行为，可以使用加密U盘的功能，但是在实际使用中，也存在一些弊端，比如加密后的数据容易损坏，或者拷贝非常缓存等问题，需要我们进行衡量。

（四）软件清单

      严格控制终端可以安装的软件可以大大的降低终端面临的安全风险，一方面是通过技术手段禁止员工私自安装软件，软件安装都需要由桌面管理员进行；另一方面是采用软件黑白名 单，建立软件清单库，在黑名单中的软件禁止安装，在白名单库中的可以安装，如果是首次使用的软件，可以进行简单的安全扫描与测试后加入软件白名单库中。注意，软件是否可以安装与软件安装后是否可以运行是两回事，前面都说的是软件能否安装，安装之后是否一定可以运行呢？在实践中我们遇到运维团队需要供应商远程解决问题的场景，该场景下通常是终端上已经安装了远程软件，但是通常是禁止运行的，必须在远程使用前进行申请，由安全管理员开启后方可使用，这样尽可能的避免远程软件带来的安全风险。最后就是定期的终端软件审计了，通过审计可以再次检验终端软件是否按照既定的策略运行。

（五）病毒查杀与预防

      病毒查杀通常我们是定时全盘病毒扫描与实时恶意行为检测查杀结合的方式进行，需要注意的是全盘病毒查杀应当注意在负载相对较低的时间进行，依据不同的终端类型制定不同的病毒扫描策略。病毒误报是一个常见的问题，可以将疑似病毒文件在不同的在线查杀平台进行验证测试，以进一步确认文件是否需要保留。在病毒防控中尤为需要注意的是勒索病毒的预防，需要注意关闭常见的局域网高危端口，如137、135、445等，出现容易引发勒索病毒传播的高危漏洞时，及时完成修复，采取技术措施防范钓鱼邮件和勒索病毒邮件，拦截可执行文件和脚本文件等。

（六）漏洞与补丁管理

      针对终端的漏洞可以采用第三方扫描软件定期进行，通常我们会选择在终端负载较低的时间内进行。“周二补丁日”，终端安全管理中要充分关注官方发布的补丁信息，在完成必要的测试后及时的完成补丁安装。作为普通的用户，我们没有办法对补丁进行完整的测试，但是可以在测试机中完成补丁安装，观察终端的反应情况以及与当前已安装软件的兼容性。由于终端类别众多，可以针对不同类别的终端制定不同的漏洞扫描与补丁修复策略。

三、访问控制

      在办公网络中需要对用户访问的资源进行控制，从访问的资源对象（客体）来讲，包括办公系统、业务系统、互联网、开发测试相关的系统，从访问的来源（主体）来讲，包括运维人员、开发测试人员、业务人员、公司不同层级的领导等公司内部人员，驻场的业务、科技等外包人员，还包括外部的临时访客。这里就需要基于前述的网络划分、终端分类等内容，在“最小必要”原则下通过安全设备的安全策略、VLAN划分等方式进行访问控制。比如针对部署在生产环境的BI系统，通常为相关层级的领导需要关注的报表，可以通过云桌面或者堡垒机的方式进行发布。

四、权限管理

      权限管理是访问控制的一种方式，前述访问控制主要是从网络层面加以控制，而这里则是从系统层面加以控制，体现在系统用户层面。在我们的管理策略中，业务系统管理员通常归属到业务部门，由业务部门指定人员负责日常管理维护，系统在上线交付时，完成管理员密码的交付，后续将由该管理员完成普通业务人员账号创建以及权限分配。企业应用系统多了后在权限管理上会出现困扰的局面，如每个部门对自己所管辖的系统都有自己的管理流程，因此企业里面要制定统一的账号与权限管理策略，所有人员遵守统一的流程对账号权限申请、开通、授权、禁用与关停的生命周期进行管理。在前述流程中在关键节点要有权限申请部门负责人以及业务归属部门负责人的签批，最终由业务系统管理员进行操作。最后是定期的账号权限审计与盘点，通过定期审计检查账号中是否有测试账号、非实名账号、多个管理员账号、离职未禁用账号、用户申请已经过期的账号等，同时需要由系统的管理员梳理出各系统中的权限或者角色清单，分别是什么角色，这些角色的关键权限是什么，可以访问、变更、下载哪些关键数据等。

五、身份认证

      办公网络中主体与客体众多，必然为主体带来账号密码管理问题的困扰，因此有必要进行集中身份认证，比较常用的如LDAP认证。这里也有一个问题，比如，员工从办公网络发起对业务系统的访问，业务系统部署在生产网络，此时业务系统是否需要访问办公系统中的LDAP服务器呢？这里建议在不同的环境中部署独立的LDAP服务器，不能对LDAP服务器共用，避免出现一个密码可以访问生产、办公、开发测试等环境而引入额外的安全风险的情况。同时建议针对采用LDAP集中认证的业务系统启用双因素认证，避免仅通过简单的密码可以直接登录所有的系统，可以减少密码泄露带来的数据泄露风险。

六、数据防泄露

      从数据泄露的威胁主体来看主要包括外部恶意人员及内部人员有意或者无意的泄露行为。针对外部威胁可以从垃圾邮件、钓鱼邮件过滤、高危漏洞修补、非法外联检测与封堵等维度加强管理。针对内部人员的数据泄露行为，主要采取的措施包括桌面水印、移动存储介质管控、终端数据防泄露设、邮件数据防泄露、网络数据防泄露、应用系统前台敏感数据治理及应用系统权限管理等。这里还有一点需要引起重视的是随着各种云服务的兴起，如金山表单、OFFICE365、WPS云同步、各种云笔记、各种网盘等给数据安全管控带来了巨大的挑战，在工作中需要对这些工具需要进行必要的管控。最后一定要控制从生产环境将敏感信息带入到办公网络，定期对终端中存储的敏感数据进行扫描并进行清除，可以更好避免数据泄露行为的产生。

七、远程访问

      远程接入网络的需求在每个企业都会有，目前有比较靠前的零信任解决方案，但是据我了解该方案在中小企业中应用得并不多。主流的解决方案仍然是传统的VPN远程接入方案，在实践中我们将生产VPN与普通的办公VPN进行分离，生产VPN主要用于满足紧急情况下对生产业务进行运维处置。根据前述终端分类、业务系统的梳理，将不同的资源（云桌面、堡垒机、普通办公应用等）根据需求授权给不同的用户。为了避免员工使用自带设备随意通过VPN访问公司资源，可以将VPN用户与公司分配的终端硬件码进行绑定，默认只绑定公司分配的终端，禁止VPN账号在其他终端上接入，并启用VPN的双因素认证功能，加强用户接入认证。

八、持续验证

      安全保障由安全管理策略及技术措施共同保证，安全技术措施落地后还需要通过安全运营进行持续的管理，通过PDCA的方法论进行检查、复盘及调整，以确保策略的有效性。

九、常见工具

WEB应用防火墙：Modsecurity、长亭雷池

终端安全：wazuh、Suricata

流量分析：Panabit、zeek，可参见：

数据摆渡：HFS结合脚本进行改造，可参见：

威胁诱捕：HFish蜜罐

堡垒机：Jumpserver