@瞌睡虫
2年前 提问
1个回答
面对网络风险企业如何部署安全策略
007bug
2年前
面对网络风险企业部署安全策略的方法:
确定防火墙在网络中的部署位置,并使用安全区域划分网络。需要对照组网图,了解当前网络资源的分布情况,识别关键信息资产、服务及其安全等级。
尽所能了解当前网络中的运行的合法业务,建立白名单。业务白名单通常有以下几类。
- 网络基础设施,如路由协议、NTP、FTP、DNS、VPN等。
- 企业IT基础设施,如AD/LDAP认证服务、企业邮箱、Windows Update升级服务等。
- 管理服务,如SNMP、SSH、RDP远程桌面等。
- 企业办公应用和服务,如MySQL、Salesforce、GitHub、Office 365、企业自建服务等。
- 个人应用和服务,如上网、社交媒体、私人邮箱等。
结合企业信息安全政策(Information security policy)、用户组结构和业务白名单,确定通信矩阵和业务访问规则。
尽所能了解需要禁止的高风险应用和非法业务(企业信息安全政策禁止的服务),建立黑名单,确定业务禁止规则。
在防火墙上创建一条允许所有流量的临时安全策略,并记录策略命中日志。
根据前面识别的业务规则,在防火墙上为白名单和黑名单配置安全策略。调整顺序,使临时安全策略位于策略列表底部,缺省安全策略之前。这样,可以保证所有业务都能通过防火墙,不会影响业务运行。同时,未知业务会命中临时安全策略,并在日志中记录下来。
分析策略命中日志,识别并判断业务的合法性和必要性,并添加新的、精确的安全策略。在分析策略命中日志时,重点关注业务的源/目的IP地址、源/目的安全区域、服务/端口,识别出同类业务。然后把策略命中日志中离散的IP地址合并为地址段,创建地址组,并在精确安全策略中引用。建议优先分析和处理命中次数最多的服务/端口或应用,这样可以快速减少日志的数量。
把新添加的精确安全策略移动到临时安全策略的前面。
清除临时安全策略的命中计数,继续观察和分析日志、添加精确安全策略,直到没有流量命中临时安全策略。
在确认网络中所有流量都得到了充分的分析以后,删除临时策略。
分析放行业务可能存在的安全风险,为安全策略添加合适的内容安全配置文件。