主要是从安全域规划、资产梳理、等级保护、安全培训体系及威胁情报搜集等这几个模块进行安全建设


A.安全域规划

主要针对机房、办公网络及DMZ等相关资料收集整理与归档

B.资产梳理

资产其实一个比较泛的概念,大致包括实体资产和虚拟资产,实体资产主要指(服务器,路由器,交换机,waf等),虚拟资产主要指(IP地址,域名,证书等)

CMDB有较多开源的产品,可选择比较合适的产品,如不太适合,可根据自已需求进行二次开发如下图:

《企业安全建设(2)—安全管理》

《企业安全建设(2)—安全管理》

《企业安全建设(2)—安全管理》

几个重点:

B1:域名梳理,公司使用中有多个域名的情况,整理一份最完整的域名列表

B2:子域名扫描,逐一对每一个域名进行是否有直接解析到真实服务器ip,如果有,则必须要做相应的处理,不然容易导致未授权访问和敏感信息泄露。

B3:排查每个子域名是否为敏感业务的后台,如有,则可以考虑更换子域名的复杂度,如admin.xx.com很容易被猜解到为后台系统登录地址。

B4:组件统计,对于服务器中所使用的组件做好统计及梳理,做好应用环境统计,如出现strtus2 0day可第一时间对生产环境进行补丁处理

B5:IP地址及端口:做好IP地址统计,排查对外IP的开放的端口是否合规,要求实时更新,如某对外IP地址开启6379,则必须要做相应的处理。

C.等级保护测评

随着安全法的落地,测评工作也是必不可少,配合测评机构逐步进行,对测评出的问题,按需完善即可。

主要点:

技术层面:物理安全、主机安全、网络安全、应用安全和数据安全与备份;

管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

D.安全培训体系

D1:针对技术开发人员,可以根据实际情况来做,可以定期分享一些安全知识,提高开发的安全意识,如果没时间培训,也可以订阅安全牛、i春秋的课程
推荐给开发同事学习,当出现安全事故之后,需要把还原整个安全事件,让所有的开发了解,避免下次范同样的问题

D2:针对运维人员,安全登录、配置、命令等及相关个人信息培训

D3:针对公司员工,安全意识培训防止弱口令与个人信息泄露等

E.威胁情报搜集

E1:对于github上的敏感信息泄露,建议使用脚本去周期性的扫描,或者使用携程云的github扫描功能,如果发现自家代码,必须找到对应人强制下线目前也有开源的github监控及第三方                  github监控

如:https://github.com/0xbug/Hawkeye

《企业安全建设(2)—安全管理》

《企业安全建设(2)—安全管理》

E2:常用软件及组件0day,多订阅一些高质量的公众号,时常关注0day的预 警,一旦发现及时修复漏洞

E3:安全应急响应,有条件建设自已的SRC平台,如无条件多关注第三方的平台的漏洞信息(补天,漏洞盒子等)

E4:个人信息,提高安全意识,防止个人信息泄露,若泄露务必更改相关信息


待续…