下面我稍微展开讲一下GSOC,它做什么事情?监控,它们会监控网里所有的世界,包括主机的问题、网络的问题、防病毒的问题,它会发现一些事件,一旦有事件发生我们会进入一个界面,还有专门负责补丁管理的工作,微软每个月都会有新的补丁出来,进行测试按照计划部署下面去,这里也有人会做吧,它还要做兼容性测试和部署计划,部署之后要检查,看有没有部署到位,这个很重要,很多时候我们做事情只做70%,但是我在这里提醒,病毒管理做70分是远远不够的,要做到90分以上,97.5,100分。如果你有500台机器,你只做70分,还有150台机器没有管起来,这个不少啊。如果有50台机器没有管问题就很大了,如果有50台机器病毒很多整个网络就会瘫掉。还有扫描的东西,还有终端的培训,我们会做一些定期的动作,比如说发一些邮件给终端用户,看它是不是会点连接,就是一个诱饵,这个就是显示你这个人有没有安全意识。然后我们会做统计的标准化的配置,各种安全设备、防病毒软件都会有。我们在全球有5个以上很大的办公区,数量很庞大,要保证全球的安全策略,往往是总部管得很少分部管得很差,病毒就从分部传过来。这个就是GSOC做的一些事情。
安全意识是这样的,员工的入职安全培训我们每个季度都会做,有一个在线的网站做员工的在线培训的,这里有几个问题,一个是技术人员,像我们很多的人都做技术人员,做研发的,还有很多是作为非技术人员,财务的、行政的、人事的,他们是非技术人员,是技术人员还是非技术人员都必须参加安全方面的培训。像这个是用我们自己的公司的产品来做的,实施完以后会推出一些补救的计划,比如说我发了一些电子邮件,那是假的,有10个人点了,我就会告诉他们不应该点,可能你点了网络里面就中毒了,非常可能。而且网络中毒给我们的影响是灾难性的,因为我们整个运行是架构在网络上的,如果网络瘫痪了我的业务根本无法进行下去。
下面讲到分类。我们公司有特殊性,我们本身就是分析病毒的公司,弄得不好病毒在公司内部传播就麻烦了,我们做严格的分类,我们有生产网络、测试网络,这个是研发部门、技术部门、售后部门做测试用的,还有是专门做病毒测试的网络,病毒是完全孤立在小的测试网络里,这是我们自己公司非常有特点的公司,在座的各位可能和我的情况不一样,但是我相信这个是一样的,有一个OI网和生产网,OI网和生产网是分开的,这是通常情况,但是分开得不彻底,有一个例子,在总部资源足够是分开的,但是在分公司资源不够人手也不够就合在一起,公司和分部又是联合在一起的,你说这是分开的还是联合的?很多人都知道,隔离的网络里似乎很安全,但实际上网络一旦出现问题影响非常大,你觉得这个很安全,补丁很安全,但是一旦有病毒传播到那里去,传播非常快,你根本一点措施得没有,隔离网络尤其要小心。我们的隔离不是硬隔离是软隔离,通过逻辑来实现的,通过生产机器我们有严格的策略,这个是必须执行的。大家看这个也装了产品的客户端,当我装到公司里去的时候必须要受到策略的符合,回到公司必须登录到域里去,必须要遵循标准的计算机命名规范,像我们这里的计算机命名规范是这样,地区名,这里都是CN打头的,我叫陆亚灵,就是YL,你就知道这个人在哪里办公,机器在哪里,是动态的IP地址。必须要装防病毒软件,用最新的软件补丁和系统补丁。这里包括Windows、office我们都会找你最新的补丁,我们有时候会用虚拟机来做操作系统和虚拟测试,必须要打补丁,或者你用NAT的模式或者用其他的模式,也需要打补丁。
这边和大家讲一下我们的定期审计,我们要做什么审计?我们每天都会做弱口令,网络里会有大量的SQL,你一定要去扫这个东西,很多用户里生产用户里的SQL都是空的,我不知道在座的各位有没有?有的话回去马上改掉。共享文件扫描是完全开放的,你必须开放有限权限,有的时候不可避免的要有开放的共享出来,但是开放是有条件的,不能无条件的开放,很多公司都有这个问题,很多病毒都是通过这个传播的,公司里完全没有共享的有没有?没有,看来是很少,这个一定要小心。然后你的windows的弱口令,还有系统的扫描,防火墙的规则扫描,我们分布太多点了,大陆就有北京、广州、上海三个点,各个点之前都是通过firework联系起来,太多的东西要扫,你的计算机有没有加入到域,用户是不是规范,数据库的服务安全,应用系统是否安全等都要扫描。很多公司和我们差不多,架一个Web,然后进行登录,记录系统等都要小系统来跑,这些东西都要扫描。整个审核项目就包括这样的东西。一旦发现漏洞就要根据漏洞进行下一步的处理。
这边是整个架构的流程。我们这边就是最高的是CSO,从这边来看,终端用户可能会有一些问题,这边有一个唯一接口GISS,是全球的统一的接口,所有的IT都汇总到这里来,这也是依照流程,有一个单一接口去处理响应,如果是安全事件,因为这里有很多的事件,比如打印机不能打,上不了网等,如果是安全事件就会上升到GSOC组,这个组会做安全事件的分析,信息来源一个是来自这个,还有一个是监控平台,都会上升到这里,这个组是专门处理安全事件的,有了安全事件以后首先去解决,这个需要立即解决的,解决完了以后我们会有一个事后处理,这个案件也会到服务的负责人。比如说我有一台密码出现问题,我要找到是谁在用,之后我们可以做事后的分析,这个可能是潜在的问题,我们需要形成项目进行处理,然后进行改组的程序里来。整个的安全事件都要报备到CSO里来,这是整个架构的示意图和前面的图是可以配到一起使用的。这个有没有问题需要沟通的可以随时聊。
还有一个数据分类,首先你要确保数据的程度是怎么样的情况,我们这边有公共的,所有的PPT下面都有模板,这是Public这是可以公布的,还有内部使用的,还有非常机密的,和秘密的。这个是分类,这些都是对数据的保护,也是安全的部分。
然后就是业务连续性的管理。这个最重要的一点就是我们是不是有恢复计划,当我们确定我们这边有一些条件会去激发业务连续性的整理,如果触发了我立刻就会通知恢复人员启动业务连续性计划,会有专门的地方处理事件,通知相关人员进行业务恢复计划。你不知道预料到所有的安全事件,安全事件总是随时随地产生,你必须有应对策略。
还有小的问题就是安全外包。什么样的东西要外包?我们通过外包得到什么样的好处?我们期望得到什么样的东西。就拿我们的公司来说,我们把审计外包出去,因为我们觉得自己做的并不专业,而且从别人的眼光来看可以看到你公司的问题。就像财务为什么是别人审计的,当然有的上市公司是别人的要求,我们的早期预警和防病毒监测是别人来做的。你觉得自己能不能做这个事情?是不是别人比你做的更好更优秀?还有你是不是有一些及时的响应能够拿得到。
这是我们目前的状态,介绍一下整个网络安全的现状和我们公司内部的策略,希望这些东西对大家有帮助。如果有什么问题也希望可以随时交流。
相关文章
