企业基础IT安全体系建设思考

企业基础IT安全

基础安全的保护对象，是公司的基础IT设施，类型有IT资产或IT服务。比如资产有服务器、域名、ip等，服务有网络、数据库、云服务等。黑客可通过应用间接攻击或互联网直接攻击公司的基础IT资源或基础服务，基础IT资产受到攻击，可导致应用安全，业务安全，数据安全等多方面的安全问题。

当基础IT中没有自建设施，完全采用的云服务，没有云主机，就连数据库、消息队列等都是使用的云服务时，那么基础安全=云原生安全。当存在云主机时，那么就是传统的基础IT安全+云安全。

基础安全建设中公有云及私有云的异同分别是：

异：公有云存在资源过期问题，私有云不存在过期问题。公有云在硬件层没有实现隔离，私有云在硬件层面实现了隔离。私有云可在硬件层面实现安全加固，公有云硬件层面安全是统一的。公有云使用的主机是虚拟化后的主机，网络隔离为逻辑隔离，私有云主机为物理机，需自行建设虚拟化，网络隔离可实现物理隔离及逻辑隔离。

同：在技术体系及管理体系可进行的安全建设都是相同的。如监控，如HIDS，如操作审计，如权限管理。

基础IT设施安全，可以围绕着资产生命周期，从管理、技术、运营三个方面展开。对于一般公司来说，基础安全更多的是管理及运营上的工作，技术方面的工作较简单。下面排列一下不同IT资产，在安全技术上的内容，详细说明一下为什么。

服务器安全：越权，安全补丁，HIDS等。研究系统漏洞，对于一般公司来说，没有这个必要。

网络安全：隔离划分，AD域，零信任建设，HTTPS等。这些东西也是没门槛的，照着文档做就行了。一般公司也没必要，去自行开发一套这样的东西。

IP及域名：只有管理及运营问题，没有技术问题。渗透及扫描，实际上对应着的是应用安全及服务组件安全。

组件安全：安全使用及安全配置。一般公司也没条件去做高深的技术上的安全工作。举几个有实际漏洞的例子：

Phpstudy，xcodeghost，这两个软件，都被种过病毒，但是其发现都是企业通过日志、审计等间接发现的，并不是直接发现。因为直接发现，就涉及到破解/二进制等技术内容，不是一般公司能玩的。

Redis漏洞，这个漏洞对应的是安全使用。

Fastjson等，这种漏洞都是乙方安全研究人员发现的，一般企业根本没有这个人力去模糊测试或审计代码。

组件安全在甲方的工作内容，基本就是管理，排查，修复，运营。排查的是已出过安全通告的组件，使用的是公开脚本或弱口令爆破。而且，具备组件安全研究能力的人，其职业选择可能更喜欢在国家队、安全乙方、科技型大集团中选择。

云安全：云服务商都采用安全共担模型，云安全的基础安全是云服务商负责的，企业负责的是其安全管理及安全使用。

综上所述，基础IT设施安全中，需要的技术上的东西都比较简单，甚至都有详细的文档，直接照着做就行了。而真实的涉及安全技术的高深的东西，一般企业没有这个需求，而且人选也不会选择企业。

企业基础IT安全的建设

应急和需求：处理应急公司和需求。

资产梳理：梳理所有的资产，评估各种类的高优先级内容。建设资产发现机制跟能力。基础资产其本身的优先级是一样的，因为任何出现问题，都会导致业务问题。所以优先级评定可从侧面评定。根据业务优先级，数据优先级，暴露性，脆弱性等方面来间接评定优先级。

状态调研及评估：调研安全建设状态，评估建设完成度。

决策工作内容：结合调研结果，结合公司整体的建设方案，以生命周期，以管理，技术，运营三个方面为指导思想，来决定工作内容，内容顺序，落地方案。

基础安全与其他安全方面的耦合

应用安全：木马，网马，内存马等问题；命令执行等漏洞；应用运行权限问题。

办公安全：资产申请，资产权限，安全使用，公器私用等问题；办公网准入问题；办公终端初始化及行为动态审核问题。

数据安全：数据管理关系管理；行为审计，日志记录。

业务安全：单点问题；高可用问题；一致性问题。

总结

1、基础IT安全是围绕基础IT设施的。

2、基础安全定义不同，要穿透词语，去看其真实的工作内容。

3、基础IT安全，对技术深度要求有限，对广度及体系化要求较高。

4、落地要灵活要适配，不要本本主义。