自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

网络安全运维的误区与陷阱

     文 | 张永宏

张永宏

前SONY东南亚总部SDS信息安全工程师，从事网络与信息安全工作超过25年。现担任四川某高校智能互联专业群负责人，四川省通信学会工业互联网专家委员会委员（安全方向）。

从计算机诞生问世到计算机网络的兴起，历史长河似乎波澜不惊，但网络技术的日新月异和规模不断扩大却让人类以信息化技术推动了万事万物的颠覆性变化，甚至连那些神秘莫测的算命占卜之术，在后互联网时代特别是大数据技术的加持下，也变得不再是神话；以5G助力下的BD+AI，直接将IOT时代推进到AIOT的新高度。

也就短短几十年，人类竟然快速地养成了习惯，让网络应用成为了现代人类习惯的基因。网络安全如影随形，行业产业都在风起云涌地做着精细化的布局，历时近三年的疫情，使得这一局面更加常态化，与时俱进与网络安全风险应对必须合拍才能从容应对。

全面数字化转型为中小型企业带来了许多机遇，也带来了许多网络安全挑战。要应付这些挑战，降低风险，网络安全战略计划必须首先解决几个关键的潜在弱点。

百分之七十以上的威胁通过终端。因为很多远程雇员总是依赖于在线终端，比如笔记本电脑和服务器，vpn和基于云的SaaS，所以从整体上考虑如何实现一个全面覆盖的解决方案非常重要。SIEM发挥作用，使其范围扩大到每个端点，为易受影响的设备增加深度防御，并采用威胁预防、探测和响应的全面策略。采用综合的、层次分明的网络安全策略来降低与远程员工有关的风险，并改进或取代传统的工具。

与之前比，网络安全技术变得先进易得，这就导致了需要持续不断地依赖点对点的产品来抵御威胁。据VerizonDBIR统计，近三分之一的数据泄漏涉及小企业，要想改善这种情况，就必须有计划地整合人员、过程和技术。雇用更多的安全专家，特别是在需求增加时，这将是一个代价高昂的工作。相较于7X24的内部安全运营中心(SOC)，外包是一个不错的选择，这是对成本效益高、至关重要的防御战略的补充。

正是疫情使得很多公司都把注意力转移到了业务连续性上，这就意味着要加速上云。这使云安全成为首要任务，内置的安全特性也达到了预期效果。把业务关键数据迁移到云上会使人们更加依赖于云平台的控制和管理能力。保护云计算相关数据、应用程序和基础结构与本地IT架构同等重要。选择合适的云合作伙伴或者MSSP，能帮助企业用正确的方法来确保云的安全性符合安全目标，并帮助企业建立符合行业规则的一致性。78%的Microsoft365管理人员没有启动MFA。云的另一个主要威胁是人为错误，包括可能导致数据泄露的错误配置。加强云监视和可视性有助于解释未来的这些威胁，能够维护数据安全，检测可疑行为，追踪意外事件和行动。

疫情常态化让远程办公凸显了灵活性、适应性，但一些新的攻击载体正在锁定家庭办公和分散化设备。对于移动设备和远程工作人员，网络安全本身不再是安全措施，在企业间通过安全的远程连接和多因素身份验证(MFA)是保持安全性的关键。

由于探测和响应技术的进步，安全威胁也同步地调整了其方法，多阶段攻击如勒索软件或“慢速”黑客已经成为企业的新威胁。这种攻击通常通过盗取凭证来实现，凭证可用于进行侦查，从而渗透到企业系统和数据中。解决这些威胁的一个办法是采取积极措施。举例来说，多因素身份验证(MFA)的要求有助于防止凭证被盗用。宿主威胁保护解决方案提供了端到端的安全，从预测、预防到检测和响应，可以在攻击发生之前发出警告。所以其他计划尽量消除人为隐患，AI+自动化运维是一个好的解决方案。

去年底Stuxnet攻击引发了对零日（zero-day）弱点漏洞的广泛关注，因为它严重挑战了IT安全管理人员的自信心，迫使其必须快速拿出解决方案。此后有人说零日漏洞被过度夸大了，原因如下：首先，该四个被Stuxnet利用的零日漏洞皆非常昂贵，受利益趋使的网络犯罪份子在正常状况下，不会在一次攻击中利用多个零日漏洞；第二，未经修补的系统已有大量的受害者让攻击者乘胜追击；第三，发送恶意链接让接受者点击是一个更加简明的入侵途径，而总是有人会掉入此陷阱中。

加密技术由来已久，对数据进行加密是保护数据的一个重要环节，但不是绝对保护。Jon Orbeton是开发ZoneAlarm防火墙软件的Zone Labs公司的高级安全研究员，他支持加密技术，也指出当前的嗅探器越来越完善，能够截获SSL和SSL交易信号，窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取，但加密标准却存在着几个漏洞，这种嗅探器只要拥有适当工具，就能够通过漏洞智能地避开安全机制。

Mindspeed科技公司的工程师指出，防火墙功能再好，经过它们的IP数据痕迹照样能够被读取。黑软只要跟踪内含系统网络地址的IP痕迹，就能了解服务器及与它们相连的计算机的详细信息，然后利用这些信息钻网络漏洞的空子。网络管理员不仅要确保自己运行的软件版本最新、最安全，还要关注系统的漏洞报告，通过日志寻找可疑活动的迹象；此外还需培训最终用户对网络的安全使用技术。

一些人认为，如果运行老的系统，就不会成为黑客的攻击目标，因为黑客只盯住使用较为广泛的软件和较新的版本。安全分析和预警服务机构SANS的首席技术官表示，如果存储空间处理不了太多信息，就会出现溢出，从而发生缓冲器溢出问题。额外信息总会溢出到某个地方，这样一来攻击者就可以利用系统的漏洞。虽然微软和Apache.org在几年前都发布了解决缓冲器溢出问题的补丁，但还有许多旧系统没打上补丁。

有人认为Mac系统跟老系统一样，不易遭到攻击者的渗透。事实是许多Mac机也运行微软Office等Windows程序或与 Windows机器联网。安全专家Cigital公司的CTO Gary McGraw表示，出现针对Win32和OS X的跨平台病毒“只是迟早的事”。Opener就有一款脚本病毒，该脚本可以让Mac OS X防火墙失效，获取个人信息和口令，打开后门以便远程控制Mac机，此外还可能会删除数据。

Marty Lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人，他说：“如今开发的新工具都围绕同一个基本主题：扫描寻找漏洞。对因特网进行扫描，详细列出有系统漏洞的机器。所开发的工具也都基于一个假定：每台机器都容易遭到某个漏洞的攻击，每个系统都有漏洞，没有百分之百的安全。”有些工具可以让Windows Update服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化，就能摸清补丁是如何解决某个漏洞的，然后查明怎样利用补丁。Santy蠕虫和MyDoom 的新变种最近就利用了Google的(Google hacking)功能。McAfee公司发布了SiteDigger 2.0工具的更新版，增加了一些新特性，譬如可以查明某个站点是不是容易受到Google hacking。虽然这款工具的目的是供管理员测试各自的网络，但攻击者也有可能利用该软件寻找任何站点存在的漏洞。

有些IT部门拼命防护企业网络，却不料因为用户把公司的便携式电脑接到家里，或Wi-Fi热点地区等未受保护的网络连接，结果企业网安全遭到危及。攻击者甚至可以在热点地区附近未授权的Wi-Fi接入点，诱骗用户登录到网络。一旦恶意用户控制了某台计算机，就可以植入击键记录程序，窃取企业相关软件的口令，然后利用窃取的口令随意访问网络。

有时候，攻击者只是口头上的恐吓也会迫使企业就范。比如扬言要破坏网站，删除重要文件，或者把幼儿的相关信息发送到公司计算机上，从而对受害者进行敲诈。这已有过先例，据说，因受到攻击者的恐吓，英国有许多网站一直在出钱消灾。

乔治梅森大学是安全信息系统中心的所在地，向来不乏安全专家。但攻击者在这所大学的主ID服务器上安装了搜寻其他大学的系统的工具后，32000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。攻击者可能通过没有防火墙保护的计算机潜入，进而植入扫描工具，寻找闯入其他系统的口令。随后这家大学立即采取了对策，关闭了服务器中的部分系统，用不同的ID号取代了学生们的社会保障号码，防范身份失窃。校方还在允许计算机连接到其网络之前，先使用软件进行扫描；建立较小的子网，隔离存放有敏感数据的计算机；更加密切地监控整个网络的活动。

加拿大国防部使用 Vanguard Integrity Professionals公司的Vanguard Security Solutions 5.3，保护所用的IBM eServer zSeries大型机。这款软件包括采用双令牌的用户验证机制，可以同IBM用于z/OS的资源访问控制工具(RACF)配合使用。RACF中心管理员George Mitchell说，他总是保持高度警惕，以防未授权用户获得访问系统的机会。除了使用监控工具外，他还要运用常识。“我会让某人打电话告诉大致情况。如果某人想更改口令，我会问几个问题，通过加密的电子邮件对该人进行答复。”这套程序也需考虑到第三者应用程序成为黑客最常使用的攻击路径。过去Adobe的Acrobat/Reader和Flash Player程序是最大的第三者目标，最近的发展则渐趋向利用Java的弱点漏洞（Java vulnerabilities）。

趋势科技CTO Raimund Genes敦促大家将焦点放在常在网络间受入侵的已知弱点漏洞上，他强调了修补的重要性。大型公司设有修补政策与系统，在程序应用前皆需事先进行完整的修补测试。这会延误防护（有时修补程序经过数周后才会发布），也表示执行重要任务的服务器会暴露在受入侵的风险中。

2019年12月1日，网络安全等级保护2.0开始实施。到今年为止，网络安全等级保护制度在我国已实施了十多年，但大部分人对等保制度的理解还只是停留在表面，对等保制度的很多内容有不少误解。很多人把等保测评等同于安全认证，等保评测后就等证书。等保测评并非相当于ISO 20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。安全是一个动态而非静止的过程，而不是通过一次测评，就可以一劳永逸的。

2017年肆虐全球的“永恒之蓝”勒索病毒攻击，导致了大量内网系统瘫痪，这提醒我们内网系统的安全防护同样不能马虎。所以不论是内网系统还是外网系统，都应及时开展等保工作。非涉密系统都属于等级保护范畴，和系统是否在内网没有关系。《中华人民共和国网络安全法》规定，等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，不管是内网还是外网系统，都需要符合等级保护安全要求。从技术角度而言，内网不代表安全，并且纯粹的物理内网并不多见，或多或少都以直接或间接的方式与互联网有联系。

从法律法规的角度来说，所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系。其次在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒或已经有黑客潜伏，所以不论系统在内网还是外网都得及时开展等保工作。

目前，比较多的小型企业客户偏向于把系统部署在云平台与IDC机房，这些云平台、IDC机房一般都通过了等保测评。不过，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于网络运营者自己，所以，还是得承担相应的网络安全责任，进行系统定级或开展等保测评工作。部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务，部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。

一些客户担心：系统定级定高了，后期给自己工作增加麻烦。一方面。等级高了，技术要求高了，需要做的工作多了；另一方面，三级系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。

▸ 目前的等级保护对象（信息系统）的安全级别分为五个等级：

▸ 一级为最低级别，五级为最高级别（五级为预留级别，市面上已定级的系统最高为四级）。

▸ 如果定了一级，不需要做等保测评，自主进行保护即可。定二级以上就需要进行等保测评。

系统级别的确定需要根据系统的重要性进行决定。如果定高了，有可能造成投资的浪费；定低了则有可能造成重要信息系统得不到应有的保护，应该谨慎定级。等保1.0的要求是自主定级，由主管部门的需要主管部门审核，最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商，而是最终的用户方。目前有些单位的注册地跟运营地不一致，正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区，运营部门在北京朝阳区，需要到北京朝阳区办理定级备案手续，当然，前提是北京朝阳区必须有正规办公地址。二级及以上云计算平台其云计算基础设施需位于中国境内。如果选择了境外的云平台，那么等保肯定过不了。

有些单位的系统部署在云平台，云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且，有些单位的运维团队和注册经营地址也不一致。这种情况下，云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样会方便属地公安对系统进行监管。所以，大部分情况下，还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求，比如一些涉及到金融安全的行业，比如互联网金融系统、支付系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。

一些客户有疑虑：等保测评不需要花费很多，但是测评后需要进行安全建设整改，需要较多经费。实际上，整改所需费用取决于网络运营者的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值。

整改的内容大体分为：安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者可以自主做很多整改工作，或者委托系统集成方进行加固，通常不需要额外付费或者已经包含在与系统集成方的合约中。

等保测评是按照信息系统来的，以一个信息系统为测评整体，并不是按照一个单位去做的。等保工作是一个持续的也是周期性的工作，三级及以上系统要求每年测评一次，二级系统部分行业明确要求每两年测评一次，没有明确要求的行业一般建议两年做一次测评。

二级及以上系统，应将重要网络区域和非重要网络区域划分在不同网段或子网。生产网络和办公网络，对外和对内的服务器区域混在一起的都是高危风险。三级及以上系统，无线网络和重要内部网络互联不受控制或控制不当，通过无线网络接入后可以访问内部重要资源，这是高风险项，所以在三级及以上系统中要对非法接入行为进行管控。建议大家上安全准入设备，不仅仅只针对无线网络管控。二级系统在网络边界至少部署入侵检测系统，三级及以上系统在网络边界应至少部署以下一种防护技术措施：入侵防御、WAF、反垃圾邮件系统或APT等。

此外，还有误区N......

IT安全管理员可采用深入的防御策略来保护自己。应布署弱点漏洞扫瞄器，扫瞄系统中未经修补、易受入侵的应用程序，并随之辨识问题所在即刻予以解决处理。在每一个系统中布署端点防护并经常进行强制扫瞄，综合使用入侵防护系统IPS，配合Deep Security（深度防护）产品时，将officeScan（办公扫瞄）合作以提供更优越的方式，同时应对入侵与恶意攻击。

IT工作应当非常熟悉所在公司内部的网络架构，系统管理员应谨慎地管理安装在服务器和终端用户计算机上的操作系统与应用程序，随时更新软件以确保这些软件不会带来额外的风险。若有条件尽量使用中央化的下载服务器，并避免使用者直接安装从外部而来的（压缩的）可执行文件。尽管有完善的修补流程，仍然会有某些挑战的存在，如：虚拟机VMs由于长时间脱机储存（例如没有运作），因此在扫瞄弱点漏洞和恶意软件时相当具有挑战性，选择备有VM虚拟机功能的IPS入侵防护系统将会对此有所帮助。以长远发展来看，需考虑在手持装置如iPod、iPhone及BlackBerry上设置应用程序的防护。网络上多数的入侵皆针对已知的弱点漏洞，而不是新发现的零日漏洞。我曾见过客户几乎10年以来未曾对有弱点的应用程序进行更新；某报社作为官媒喉舌的堡垒主机超期服役近20年，如非等保，估计没人关注这些！但愿下次当企业了解到入侵破坏事件时，请自问：我最近修补过所有的系统了吗？

企业信息化建设的展开，企业业务与IT系统的关联日渐紧密，使得网络安全问题严峻。安全体系的建立，涉及到管理和技术两个层面，而管理层面的体系建设是首当其冲的。当前很多企业没有养成主动维护系统安全的习惯，同时也缺乏安全方面良好的管理机制。对于合格的信息安全管理员来说，保证网络系统安全的第一步，首先要做到重视安全管理，绝对不能坐等问题出现，才扑上去“救火”。须知预防成本是最低的！

人们普遍认为IT信息安全只是IT部门的事情，事实上所有的员工都会是IT信息安全的威胁。大多数的员工都会在流动时或多或少地将企业重要资料外带，主因是大多数员工对其行为的危险性不以为然，或是根本就不了解公司的IT信息安全策略，甚至是不清楚哪些资料在人员流动时不能外泄和外带。因此，在人员越来越流动的今天，信息安全管理员一定要加强员工IT信息安全教育，有效的做法是要给员工进行相关培训，告知员工哪些是机密资料应该要慎重处理。培训是成本最低的防患举措。

越来越多的信息安全管理员期待在公司内部的云计算数据中心环境下建立一个虚拟化的环境，并且这将是一个更安全的选择。因为，在公共云环境中进行交易的安全性是令人担忧的，以及关于在公共云服务时可能出现的停机时间和表现欠佳也是令人担忧的，这些担忧都引起了信息安全管理员们的警惕。相信未来私有云部署会越来越多，云化是大趋势。

信息安全管理员要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算，以承担安全成本，例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。公司高层主管有时会认为信息安全管理员对网络安全过于大惊小怪，但信息安全管理员很清楚且清醒地认识到：至关重要的计算机设施发生安全问题造成严重损害的故障只是时间问题。必须时刻保持攻击者可能对公司网络构成危害的担忧心态，谨小慎微对生存而言绝对必要。

间谍软件、网游木马、流氓软件、IM通讯病毒、病毒邮件、银行钓鱼和蠕虫病毒的不断出现，网络安全威胁成为企业信息安全管理员最为头疼和最为棘手的问题。俗话说：“道高一尺，魔高一丈”，信息安全管理员指望通过一劳永逸解决所有安全问题是不可能的。提高安全意识，加强日常管理，补齐网络系统中的“短板”，才能有效避免风险的发生。

访问随着移动存储技术及商务模式的发展，选择远程办公的人越来越多。公司对员工移动办公、远程接入总部内网办公的需求越来越强，特别是WLAN技术、无线技术的发展更加剧了这种趋势。如何确保企业系统安全访问，成为IT管理者面临的重大挑战。信息安全管理员可以选择建立安全可靠的远程接入访问机制，构建专业的业务局域网及子网，这样驻外人员、移动办公人员、第三方合作伙伴及客户，可以凭借合法精确的访问权限，访问自己能访问的特定服务器与业务系统，进一步加快并优化自己的业务流程。

对于信息安全管理员来说，数据安全是其生命线。为此无论企业有钱还是没钱，信息安全管理员都不能够忽视数据的安全。那么信息安全管理员采取什么样方式来保护数据的安全？数据备份为例，企业最好部署一些基于数据库的应用，不让病毒或者木马在企业中藏身，自动备份文件，以提高提高数据安全性。

企业的核心竞争力将更多地源自技术发明、专利、创新等“软资产”，随着信息系统应用的普及，这些“软资产”体现为大量的电子文档。在日常工作中，需要数十甚至数百位员工协同工作，不可避免地需要涉及机密电子文档。如何很好地保护这些重要资料，做到数据保密成为摆在企业信息安全面前的一个难题。信息技术部的信息安全管理一方面协调完善各种保密制度，利用法律法规保护自己的专业信息，一方面利用切实可行的手段从根本上防止泄密事件的发送，如部署防火墙、DLP设备等网络安全设备，同时针对个人PC用户封闭所有USB功能，安装加密软件等。

行文至此已经挂一漏万，但请相信，绝大多数提到的陷阱已经被填，误区也被避开，做到这一点的秘籍就是不断学习和思考，防大于治！防的成本是最低的，对于事后补救而言是最有效的。

2022诸子笔会  

【7月主题：误区与陷阱】

刘志诚

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在