• 企业办公网安全问题及其解决方案

    云管理服务专家新钛云服 王爱华原创

    一、 办公环境存在的常见安全问题

    企业办公环境下存在的常见安全问题,可以总结为以下几点:

    1. 网络架构存在安全隐患。如未考虑备份链路、设备单点故障、关键网段隔离和访问控制,对企业无线网络、远程访问缺少基本的安全管控等;

    2. 服务器和终端电脑缺少安全防范措施,包括服务器和终端电脑的软件管理、补丁管理、安全基线管理,病毒、蠕虫、木马和后门查杀等;

    3. 机密数据未得到重点保护。未对企业数据进行分类和分级,APT攻击会窃取公司人事信息、财务资料、CRM、ERP等敏感数据;

    4. 缺少基本的安全防护设备。没有部署必要的防火墙、入侵检测、邮件安全网关、上网行为管理,防病毒软件等,安全产品管理、安全策略有效性、产品升级等;

    5. 安全管理存在漏洞。包括网络设备、服务器、应用和漏洞的安全管理,如帐号和权限管理,登录和操作日志审计,管理后台安全性,定期安全检查和审计等;

    6. 没有可遵循的办公网安全管理规范、制度和流程。如《办公电脑安全管理规范》的制定和宣讲等;

    7. 员工日常操作的安全风险。如随意打开钓鱼邮件,访问钓鱼网站,使用弱密码,对外上传公司代码等;

    8. 员工安全意识缺失。包括定期全员、新员工入职的安全意识培训和考核等;

    9. 合规安全风险。集团或监管机构的信息监管要求和合规审计要求,如IT外审和内审、等级保护合规等;

    二、 由此带来的安全风险和危害

    缺少基本的安全管理和安全技术措施,可能给企业带来的安全风险和危害包括:

    · 网络中断:如线路故障,设备单点故障,病毒蠕虫爆发,无线恶意接入和攻击等;

    · 服务器和终端电脑病毒感染:包括文件病毒,宏病毒,挖矿病毒等;

    · 服务器被入侵:包括代码漏洞、管理后台漏洞、补丁、弱密码等导致的服务器被上传webshell、远程控制的安全问题;

    · 机密数据泄密和数据勒索:如无法控制员工无意或恶意的泄密行为,共享文件服务器安全性,客户端或服务器感染勒索病毒等;

    · 社工入侵:通过社工方式如钓鱼邮件、钓鱼网站对内网实现的入侵行为;

    · APT攻击:无法发现长期潜伏的APT攻击;

    三、 办公网安全管理体系建设思路

    企业存在各类安全风险和安全问题,其根本原因是没有建立起一套完善的信息安全管理体系。

    很多企业特别是传统行业企业,在信息化转型过程中更多是关注于信息化系统的建设、开发和使用,往往忽视了信息安全管理体系的同步建设和运营,从而导致日后的服务器被入侵、数据泄密、勒索病毒等严重安全事件,对企业形象、业务造成重大甚至不可挽回的损失。

    企业办公网信息安全体系建设,一方面可以参考ISO27001标准作为信息安全的建设目标,另一方面,在实际安全建设过程中,可以参考如下安全实践经验:

    1. 完善基础安全建设。主要包括网络安全(重要网段隔离和访问控制,无线网络安全,远程访问VPN安全等),服务器和终端安全(准入,病毒查杀,补丁管理,基线检查),以及必要的安全管理规范和流程(个人电脑、服务器、数据库、代码库的安全规范,权限申请流程等)

    2. 关注企业核心资产安全风险。主要包括企业信息化资产的分类和分级梳理,核心业务系统的安全防护和监控,以及企业敏感数据的防泄密管控。

    3. 体现多层防御安全理念。企业构建信息安全防护体系时,可从物理层、网络层、系统层、应用层和数据层建立多层防御体系,这些安全管理和安全技术需要体现基本的事前预防、事中检测、事后恢复的安全防护理念。

    4. 技术和管理相结合。企业构建信息安全防护体系时,往往更看重于安全技术和安全产品的实现和部署,容易忽略个人在整个安全体系中的重要性,对个人行为管理的缺失,很容易因为安全意识(如弱密码)、安全违规(机密文件非授权外发)导致重大安全事件的发生。

    因此需要在安全规范制定和宣讲、安全意识和技能培训、安全保密协议、安全考核、安全审计及安全奖惩等多方面进行管理。

    5. 安全运维和运营相结合。企业信息安全防护体系中的各类安全技术和安全设备需要进行运维以保证技术、设备及安全策略的有效,但需要安全管理层更加要重视的是,这些安全技术或安全设备所承载的安全数据,包括其它来源的安全数据,需要统一收集、分析和持续运营,从而能够反应企业当前的安全漏洞、安全风险和安全趋势。

    需要运营的安全数据包括:防火墙、IDS、防病毒等安全设备的统计数据、报警数据和安全日志,日常漏洞扫描、渗透测试、安全检查、安全审计数据,漏洞修复数据,安全考核数据等

    四、 关键安全问题和解决方案介绍

    企业信息安全体系建设是一个长期投入、长期建设、长期运维和运营的过程,企业信息安全负责人需要贯彻总体规划、分步建设、重点建设和持续运营的安全思路。

    我们在安全服务过程中也不断实践并总结了企业办公环境下常见的关键安全问题和对应的安全解决方案,这些关键安全问题涉及企业信息安全的基础建设、核心数据安全和日常安全运营

    通过选择和实施合适的安全解决方案,帮助多家企业减少存在的安全隐患,修复发现的安全漏洞,提升员工安全意识,从而确保企业风险可控,业务安全稳定运行。

    办公网环境关键风险点梳理

    办公网环境安全建设内容参考

    新钛云服安全服务介绍

    • 公司持有国家认可的安全运维服务资质,安全服务团队人员具备丰富的安全管理、安全运维、渗透测试、应急响应、安全产品开发及使用经验,团队成员个人具有安全行业相关的安全资质认证,包括CISSP、CISA、RHCE、CCNA、CCNP、CCIE及云服务相关认证等,团队成员著有多本安全类书籍,如《linux系统安全》等。

    • 公司提供包括企业信息安全规划和建设、企业风险评估、重大安全项目咨询、等级保护一站式安全服务等相关安全咨询和风险评估服务。

    • 公司提供针对企业网站、APP的漏洞扫描和渗透测试服务。通过专业漏洞扫描工具和渗透测试人员丰富的漏洞挖掘经验,帮助企业及时发现和修复各类安全漏洞。

    • 公司提供安全加固、应急响应(如勒索病毒处置)、红蓝对抗和重保安全驻场服务,通过专家级安全服务人员为客户提供高质量安全服务。

    • 公司提供针对企业全员的安全意识培训和针对开发、测试人员的安全编码培训,通过自研的Owasp Top 10交互式漏洞演示平台增强培训效果。

    • 公司针对企业传统IDC环境、公有云、混合云环境和办公环境,提供有针对性的安全解决方案并负责落地实施。

    • 公司和国内外多家安全公司具有良好的合作关系,包括奇安信、深信服、亚信安全、微步在线、青藤云、安全狗、默安、绿盟、启明星辰、天锐绿盾、鸿翼、美创科技、云深互联、派拉软件等。

    • 公司已服务客户涉及能源制造、金融、物流、餐饮娱乐、零售、AI/区块链和互联网行业多家头部企业。

    «
    »
以专业成就每一位客户,让企业IT只为效果和安全买单

以专业成就每一位客户,让企业IT只为效果和安全买单