FREEBUF-企业安全威胁统一应对指南（网络安全）

1、目 录C A T A L O G1第一章概述企业安全发展概况2019企业安全展望第二章2企业安全威胁及应对流程企业安全体系架构法律与监管合规安全规划风险管理框架体系与职责通信与网络安全身份识别与访问控制应用安全与软件开发安全操作安全与安全运营数据安全安全事件管理安全防护WAF&云WAF抗DDoS&云抗DCWPPRASPWeb内容安全业务风控数据安全邮件安全EMMAPP安全身份识别与认证访问控制病毒防护目 录C A T A L O G2第二章企业安全威胁及应对流程检测安全测试主机漏洞检测数据库安全NTA/NDR威胁情报蜜罐恶意软件检测（沙箱）IDPSEDR应急响应与调查取证第三章3企业安全产品名

2、录背景概述网络安全市场浅析企业安全产品名录专有管理检测和响应（MDR）服务调查取证SOC/态势感知SIEM容灾备份行为审计持续改进安全咨询与培训教育测评&认证众测与SRC风险评估漏洞管理系统（VMS）渗透测试与评估攻防演练2019企业安全热词COHNAEPTER第一章1概述国家信息安全等级保护政策标准体系国家网络安全法律法规政策体系第一章 概述企业安全发展概况当前，全球各国都将网络安全提升到了国家战略高度，并出台不同的政策对企业或个人进行约束，以落实网络安全保障工作。网络安全行业受到的关注持续增加、新政策层出不穷、技术不断革新、安全事件频发，既带来诸多挑战，也蕴藏着良多机遇。1.11政策法规推

3、进发展合规是促进网络安全建设与发展的一大动因。在国内层面，网络安全法实施超过一周年，成效有目共睹，权威媒体报道或已公开的全国各相关判决和执法案例已达到百例左右。配套的实施细则或其他相关法规政策也陆续出台实施。据不完全统计，2018年国内发布、出台或实施的网络安全相关政策、法规、条例、细则（包括征求意见稿）等数量超过三十部。其中，公安部发布的网络安全等级保护测评机构管理办法、公安机关互联网安全监督检查规定、互联网个人信息安全保护指引（征求意见稿）；工信部发布的网络安全实践指南欧盟GDPR关注点、国家网信办发布的金融信息服务管理规定、具有舆论属性或社会动员能力的互联网信息服务安全评估规定；全国信息

4、安全标准化技术委员会归口的信息安全技术 公钥基础设施 数字证书格式等多项标准都一一发布，对于企业的安全建设有着切实的监督和指导意义。同时，全国人大常委会也发布十三届全国人大常委会立法规划，将个人信息保护、数据安全、电子商务、密码等列入立法规划。网络安全战略 规划目标 网络安全法实施至今，配套的法规或标准虽然也在同步制定，全国信息安全标准化技术委员会接连制定了上百份支撑网络安全法实施的标准，但过度期间的监督和落实稍显薄弱，导致一部分违法违规行为未得到及时处罚。但值得关注的是，等保2.0相关的信息安全技术 网络安全等级保护基本要求、信息安全技术 网络安全等级保护测评要求、GB/T 36627-20

5、18网络安全等级保护测试评估技术指南等国家标准都已公开发布。新的等保条例增加云计算安全、物联网安全、工业控制安全、大数据安全以及移动互联安全等五个领域的要求与标准，同时将其中的基本要求、测评要求以及设计要求的相关标准由单一标准变为系列标准。总体安全策略国家信息安全等级保护制度定级备案安全建设等级测评安全整改监督检查经费保障教育培训队伍建设安全可控技术检测能力建设态势感知应急处置通报预警安全监测安全规划机制建设组织管理网络安全综合防御体系风险管理体系安全管理体系安全技术体系网络信任体系安全管理中心通信网络区域边界计算环境网络基础设施、信息系统、大数据、等级保护对象、移动物联网、智能设备等物联网、

6、云平台、工控系统新的等保条例即将实施，将成为继网络安全法之后又一重要法规，也将成为各机构部门、重点行业部署与开展安全工作的核心基础。可以预见，这一条例将进一步推进国内社会对网络安全的重视，推动网络安全行业全面发展，对企业的约束也将更加严格。在国际层面，2018年5月，欧盟通用数据保护条例（GDPR）正式实施，成为当年全球最受关注的标志性网络安全相关法律。GDPR实施以来，以Facebook、谷歌为代表的企业被欧盟各国“约谈”并受到不同程度的处罚，数据泄露报告案例数量激增，大小企业纷纷整改并加强数据保护。以GDPR为参考，美国加州消费者隐私法2018紧随其后，全球掀起了个人数据保护的立法与执法新

7、浪潮。作为全球网络空间规则指定的引领者，欧美在2018年的立法依旧引人注目。美国的国家网络战略、网络安全战略；欧盟的NIS指令、欧盟网络防御政策框架等纷纷更新、通过或实施。此外，澳大利亚、新加坡、印度、越南、巴西等也相继推出适用于其本土的网络安全相关战略和立法。网络主权、数据保护、网络基础设施安全等成为全球立法的共同关注点。更多新法律、法规、政策的制定与出台，意味着网络安全在国家层面上受到的重视程度进一步提高。展望2019年，国际网络空间立法呈 现出博弈与融合并重的趋势。国内外网络安全立法热度不会降低，且在网络主权、关键基础设施保护等领域将有更严格举措。此外，地缘政治的因素将使得安全产品、服务

8、的国际化受到更多法律法规的约束。当前形势下，网络安全越来愈多地参与到全球政治、经济、科技、军事等领域的博弈之中，国际间舆论影响、商业竞争、破坏关键基础设施等事件层出不穷，很多民族国家黑客攻击从早前的暗中试探转变为更明确的破坏性攻击，未来依旧有愈演愈烈之势。企业在发展过程中也应当考虑这一因素，及时调整产品与业务架构。1.12安全事件引发社会关注勒索软件造成严重损失2016至2018年，包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在内的勒索软件不断出现变种。虽然勒索软件整体增长开始放缓，但带来的财物损失不断攀升。有预测显示，2019 年，勒索软件造

9、成的损失可能升至115亿美元，攻击频率可能缩减到14秒一次。2020 年，勒索软件攻击将翻两番。其中，医疗保健等公共机构将成为重灾区。值得注意的是，除了以经济为目的的攻击外，近一年媒体公开报道的勒索攻击中有很多与民族国家黑客组织有关。勒索攻击正在从随机攻击转向有针对性的攻击，潜在利润较大的行业未来更可能成为勒索软件的目标。信息泄露再创新高近几年每年都会有大规模数据泄露事件曝出，且一年比一年严重。信息泄露给企业、个人带来的损失越来越大：企业蒙受财产和声誉损失，个人财产和生活稳定也受到威胁。在欧盟GDPR法规正式实施之后，大大小小的数据泄露事件爆出频率增加。FaceBook剑桥分析事件；大规模汽车

10、厂商商业文档泄露事件；Google+泄露事件；英国航空、国泰航空数据泄露；几大酒店集团数据泄露等等，每一起都牵动着企业与公民的神经。2019年开年之后，几起不安全数据库泄露的信息以亿万为单位计算，黑客更是在暗网中大批量售卖账号等信息。每周都会出现的数据 泄露新闻表明信息泄露事件已经常态化，且不分行业、领域、国家。随着全球进一步数字化转型，大量信息上网、联网，信息泄露情况还将加剧。DDoS攻击加剧行业报告显示，DDoS攻击占整体网络攻击的70%。大量企业已经将DDoS攻击列为最大威胁。DDoS攻击不仅是出于勒索或商业竞争等利益目的，还可能由于意识形态、政治等原因而造成。由于成本低、风险低，很容易

11、实施，以及近些年“DDoS as a Service”（DDoS服务）的兴起，DDoS攻击进一步加剧。当前，DDoS产业化已经非常成熟，从业者分工明确，并与其他黑灰色产业存在交集。医疗、物联网、教育等传统行业互联网化后，都遭受到了不同程度的攻击，且呈上升的趋势。DDoS攻击连年加剧，造成的损失也愈发惨重。APT 攻击带来更多风险2018年，共有400多份高级威胁研究报告发布，同比增长约3.6倍。我国研究机构发现的APT攻击组织包括APT28、Lazarus、海莲花、MuddyWater等53个，攻击目标主要分布在中东、亚太、美洲和欧洲地区。攻击的领域涵盖军队国防、政府、金融、外交和能源等。同时

12、， 医疗、传媒、电信等国家服务性行业领域面临的APT攻击风险也日益攀升。2019企业安全展望Gartner的报告显示，全球网络安全支出2019年将超1240亿美元。这既包括各类安全事件造成的损失及相应的补救支出，也包括企业为抵御风险而购买的产品、服务等投入。一方面，整个安全行业攻防技术不断升级，安全市场需求水涨船高，对于安全策略、安全产品的要求也越来越高。另一方面，全球数字化转型带来的数据化、在线化和移动化也让全球网络关联更深、互相依赖程度更高。人与人、人与设备、人与系统之间的互动与连接导致安全边界更加模糊。技术发展综合人为因素，让网络安全形势更加复杂。展望2019，安全威胁在数量和种类上都将

13、持续增长，带来更多挑战。值得一提的是，2017企业安全威胁统一应对指南中的展望内容至今依然有参考价值，本报告则立足2018年企业安全领域出现的发展变化，展望新要点。除了前文所说的勒索软件、信息泄露以及DDoS攻击等已经发生且将持续发生的安全威胁外，2019年的安全威胁还将呈现以下特征：AI进一步用于网络攻击 人工智能在网络安全领域的应用逐渐成熟，但也成为了攻击者的目标和工具。攻击者不仅会攻击人工智能系统，还会使用AI驱动的自动化攻击来探测网络和系统、搜索可以被利用的新漏洞，或者利用AI技术批量分发恶意软件、钓鱼邮件、虚假信息等。在不久的将来，由人工智能驱动的攻击工具将会像其他在线销售的攻击工具

14、一样，成为攻击者节约成本、提升攻击效率 的新选择，并催生更多攻击事件。传统攻击仍将持续 恶意软件、木马、漏洞利用等依旧是攻击者最常利用的媒介与手段，但会随着时间和技术的发展演进出新的形态和种类。另一方面，传统软硬件中存在的漏洞会不断爆出，暴露更多弱点，成为攻击目标。物联网设备（关键基础设施）安全风险将加剧 2019年，物联网设备数量将继续增长，相关的安全问题也随之而来。物联网设备在感知层、网络层、应用层都可能存在各种各样的安全风险，多层面的问题也更加复杂，更难应对。除了大规模DDoS攻击外，其他更严重 的问题也将存在，甚至影响到人身安全（如针对车联网、智能家居等的攻击）。另外，针对工业控制系统

15、等关键基础设施的长期、持续性攻击也开始增加。同时，未来将有更多的人机界面(HMI)漏洞被披露，这也将成为网络犯罪分子侵入工业控制系统的一种重要方式。5G崛起及相关风险 尽管5G网络及具备5G功能的手机和其他设备在短期内不会大范围部署，但毫无疑问5G的发展将会非常迅速。IDG称2019年是在5G方面“开创性的一年”，并预测5G和5G相关网络基础设施的市场将从2018年的约5.28亿美元增长到2022年的 260亿美元，复合年增长率达到118%。向5G的转变将催生新的运营模式、新的架构，进而产生新的漏洞和弱点。未来，大量设备连接到5G，绕过WiFi路由器，会导致物联网设备更加难以监控。同时，通过5

16、G能轻松将大规模数据传输或备份到云端，这也为攻击者提供了新的目标。在这样严峻的形势下，企业可采取尽量全面的安全架构和可靠的安全技术来应对威胁。2019年，AI态势感知与零信任安全架构有望在威胁分析、身份识别与授权以及安全运营方面实际应用并发挥作用。AI推动网络安全 经过几年时间的发展，AI在网络安全领域的落地应用逐渐成熟。例如，杀毒、WAF、反SPAM、反欺诈等领域中都需要使用大量规则体系，而机器学习本身能自动生成规则，省去了高昂的人力资源维护成本。同时利用SVM、Random Forrest等算法，结合深度学习自动提取特征的能力以及一些深度学习模型，可以快速识别安全事件，显著提升安全工具的规

17、则运维效率，并应用在移动杀毒、网页安全防护中。另一方面，AI在生物识别（如指纹识别、人脸识别）与身份验证中也已经有实际应用。在智能门禁、需要人脸识别登录的软件等生物识别场景中，AI技术常常用于提取特征、生成模型、识别并分析内容等，以达到精准的识别效果。此外，基于数据和算法、结合人工分析的模式，也让AI成为安全自动化发展的一大动力。“零信任”推动身份识别与授权 “零信任”的核心在于抛弃对内网的信任，假设整个企业网络环境都不安全，假设员工和用户等任何人、任何设备、任何系统都不可信，需要基于认证和授权重构访问控制的信任基础。基于此，不论网络流量是发生在公司的安全边界内部还是外部，都必须经过验证才能访

18、问任意内容。从技术方案层面来看，零信任安全是借助现代身份管理平台实现对人/设备/系统的全面、动态、智能的访问控制。其实践本质是“以身份为中心进行动态访问控制。”因此，零信任需要借助当今的身份访问与管理系统（IAM）进行实践部署，并融合进企业自身基础设施建设或迁移过程。谷歌在2018年落地的BeyondCorp项目，是“零信任”理念的实践范例。在RSA 2019大会上，与“零信任”相关的议题和厂商产品数量激增，反映出“零信任”理念对整个网络安全行业的影响，身份识别与授权在企业安全中的重要性也随之提升。鉴于传统内外网边界已 经模糊，企业无法基于传统物理边界构筑安全基础设施，因此以身份为中心的零信任

19、安全在未来将愈发重要。态势感知提升安全运营成效 “网络态势感知（Cyberspace Situation Awareness，CSA）”指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。态势感知产品本质上是一个检测、预警、响应处置的大数据安全分析平台，可以关联威胁情报、机器学习、可视化等多种技术，让用户及时发现威胁并阻止威胁。现阶段的态势感知系统在云上、网络、主机等多场景中都有应用，能实现安全事件告警及自动关联分析、漏洞扫描、资产识别、日志检索分析、访问与攻击及威胁分析、账号密码泄露检测等多种功能。未来3-5年，基于威

20、胁情报的态势感知将进一步缩短威胁检测和响应时间，为日常安全运维提供技术支撑，为安全分析提供资源；同时透明化网络安全状况，为风险决策管理提供客观依据，大大提升 企业的安全运营效率。小结基于2018年企业安全概况以及各类事件呈现的威胁特征与趋势，2019年，身份认证将成为企业的新安全边界，以“零信任”为代表的身份认证与授权策略或技术、产品将大量出现。同时，数据安全、云安全将持续成为热点，相关技术与产品将迎来更成熟的发展。总体来看，安全技术与产品将在原有基础不断开放融合，或融入新技术或开拓新解决方案，以便适应更复杂的应用环境、与安全保护的各个环节更流畅地连接。CTWHAOPTER第二章2企及业应安对

21、全流威程胁第二章 企业安全威胁及应对流程信息技术是企业生产经营最活跃的生产力要素，促使着生产模式的革新。随着信息化浪潮的发展，信息安全已经成为各主体持续性发展中必不可缺基本元素。信息安全本身关注信息系统在安全方面存在的问题和面临的威胁，且贯穿于信息生命周期的整个过程。同时也由于信息安全是一门交叉性学科，涉及计算机科学、网络技术、通信技术和密码技术等多个领域，具有其固有的复杂性和体系性。面对2019年愈发严峻的安全形势，信息安全事件不断增多，监管越来越严格的背景下。做为企业不仅要严防精心策划的外部攻击以及监管审计，也需要防范来自企业的内部威胁。纵观近几年的安全事件，其导致的社会影响、以及经济和名

22、誉的损失也是逐年升高。信息安全已成为企业战略中的关键部份，是企业全局发展的重要基石。企业信息安全建设的根本愿景，是保障企业的业务的安全可持续性发展，保证企业利益相关者生命、财产安全的延续。在此基础上，越来越多的企业意识到以下四点根本问题：自顶向下推进：实践证明，管理层的支持是安全规划最重要的部分之一。安全规划采用自顶向下的方法，得到高级管理人员的支持，可以确保财政资金、人力资源的有效投入，以及有效的跨部门间的合作。信息安全应建立在信息系统整个生命周期中所关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制，不是局部问题而是整体问题有效性与ROI：安全工作永无止境，明确安全基线，面对风险实

23、现一个安全对策将整体风险降至一个可接受的级别，满足企业需求。以及安全需要考虑成本因素，保护的成本必须和保护的资产价值形成有效的比率持续改进优化：面对威胁，没有银弹，没有万全之策。安全技术和管理是一门科学，遵循着发展的流程，并没有革命性变化。因此在企业风险管理时，需要遵循科学的管理方法和思想，如PDCA，P2DR等。支撑着企业安全的持续性改进优化与业务的平衡共赢：企业的生存依赖于业务的发展，而不是只为安全目的而存在。因此企业安全建设的本质是为业务服务，是业务可持续发展的重要属性。一个没有安全属性的业务，是不健康，易被市场淘汰的。为业务构建平衡可持续的安全保障是一个业务促进机制，兼顾风险和业务效益

24、综上所述，信息安全发展至今，早已不再是纯技术层面的问题，而成为了一门跨学科领域的复杂体系。必须自上而下地建立完整的安全策略以及可行安全流程，并从中吸取经验不加以改进，才可以为企业安全带来最大程度的保障。下面，报告将从企业安全体系架构、企业安全防护、检测、应急响应与调查取证、持续改进等五个维度，尝试阐述企业安全建设的主要策略及流程，以及面临不同威胁时的应对方法。 ERROR0 110 01 01 01 0 1身份识别与认证企业安全体系架构安全防护检测应急响应与调查取证持续改进EAnrctheirtpercistuerSeecurityProtectionDetectionI&ncFiodreen

25、ntsRicessponseImprovement法律与监管合规安全规划风险管理框架体系与职责通信与网络安全身份识别与访问控制应用安全与软件开发安全操作安全与安全运营数据安全安全事件管理WAF&云WAF抗DDoS&云抗D CWPPRASPWeb内容安全业务风控数据安全邮件安全EMMAPP安全身份识别与认证访问控制病毒防护IDPS EDR代码安全审计漏洞检测数据库安全NTA/NDR威胁情报蜜罐恶意软件检测(沙箱)（专M有D管R）理服检务测和响应调查取证态势感知SIEM容灾备份行为审计安全咨询与教育测评&认证众测与SRC 风险评估漏洞管理系统（VMS） 渗透测试与评估攻防演练企业安全体系架构大多情

26、况下，企业安全不仅仅关乎技术，更要基于信息安全大环境，结合企业所处行业、IT投入、业务需求等实际情况，参考可靠的安全架构体系，自上而下地建立能在企业内部落地的安全策略与安全流程。这其中，策略、流程、标准等内容，是企业安全建设的顶层需求。企业需要构建符合自身发展的安全体系架构，来指导企业内部的安全建设。法律与监管合规2017年6月1日，网络安全法正式实施。2018年9月10日，全国人大常委会立法规划正式发布，个人信息保护法赫然在列。2019年3 月4日，全国人大二次会议答记者问，大会发言人表示，2019年将制定数据安全法，继续完善监管体系，保障国家安全、公民个人隐私权益和社会安全稳定。近两年的时

27、间里，我国网络安全法制体系正在不断完善，也不乏强有力的执法实践案例，多家知名企业被立案调查、责令整改。与此同时，欧盟通用数据保护条例（GDPR）关于个人信息违法的处罚金额可达2000万欧元或上一年全球营业收入的 4%，全球范围内网络安全违法成本空前提高。至于合规，简而言之就是要符合法律、法规、政策及相关规则、标准的约定。网络安全领域内，网络安全等级保护、信息安全管理体系认证（ISMS认证）、计算机安全产品销售许可、金融数据密码机检测规范等，都是典型的合规性要求。如果没有做好法律法规中的具体要求，导致企业发生信息泄露等恶性事件，巨额罚款和品牌声誉受损的打击无疑是致命的。认真贯彻合法合规，预防信息

28、安全事故、保证业务的连续性，不仅节省成本，还能进一步提升企业良好的竞争力。企业应将其投入视为投资，免受处罚就是它们最好的回报。网络安全等级保护网络安全法第二十一条指出，我国实行网络安全等级保护制度，也就是我们传统所说的等保。国家通过制定统一管理规范和技术标准，把信息系统按照重要程度由低到高划分为5个等级，并且分级别实施不同的保护策略。实行等保制度，对于促进我国信息安全发展将起到关键的推动作用，也是国内最重要的合规需求。信息安全管理体系认证ISMS认证，是由认证机构依据ISO/IEC 27001对申请组织的ISMS进行审核并认证，是世界不同国家和地区、不同类型、不同规模的组织解决信息安全问题的有

29、力武器。ISMS证书也成为企业向客户、合作伙伴等各种相关方及社会大众证明其信息安全能力和水平的标志之一。除此之外，更多细分行业也拥有各自的合规标准。银保监会对金融行业提出了一系列合规要求、全球PCI标准定义了不同领域在处理支付问题时的具体要求等，在此不做过多赘述。在企业安全建设中，需要以合规为基础，再进一步构建整体安全体系。风险管理框架体系与职责企业安全信息建设中，整体规划的重要性不言而喻。如果准备不充分，往往会导致工作效率下降，浪费大量成本，导致最终安全建设成果不佳。做好企业安全规划以及在此框架下的年度工作计划，决定了新一年的安全投入，包括人员和资金的预算。而预算的大小，直接与安全建设内容篇

30、幅成正相关。1.规划框架安全规划的框架，主要包括概述、需求分析、安全目标、各安全领域的现状和差距分析、解决方案和计划、安全资源规划、当年重点项目和重点任务、上一版安全规划目标差距分析等。概述框架介绍需求分析安全目标差距分析总结复盘落地方案重与点工项作目资与源配梳置理解决方案2、制订步骤制定安全规划的步骤则包括调研、确定规划目标、制定解决方案、定稿、上层汇报、执行与回顾等部分。通过实践调研学习，对行业的未来趋势和规划方向有了大致了解之后，接下来就需要明确企业的安全目标，分析现状，对比差距。只有通过针对性地制定解决方案，才能确保目标落地实现。完成安全规划第一稿后，在安全团队内部及其他团队进行充分地

31、讨论并征求意见，最终完成定稿，向企业高级管理层上报。安全规划的执行与回顾，同样也是规划全生命周期中的重要环节。看似一般但严格执行的规划，远胜于看似很好但无法或未能实施的规划。3、具有针对性的安全规划针对不同规模的企业，其安全规划必然天差地别。创业型公司应力求做到保障最基本的部分、追求最高的性价比，不求大而全；大中型企业业务营收的持续性往往需要安全来做保障， 公司也愿意在安全上投入更多的成本，此类企业往往拥有专职的安全人员和团队，重视效果和ROI，并要求具备初步的纵深防御能力；生态级和平台级企业之间的安全建设需求已经不仅仅是量的差别，而是质的差别，这种超大型体量的企业规模，注定了“买买买”是不可

32、能解决问题的。除了企业边界内的安全以外，还要兼顾投后赋能、第三方、（数据）供应链安全、生态安全，团队组建也不能只靠HR、猎头，甚至用常规手段也很难组建起能消化这些总需求的团队。风险管理框架体系与职责企业风险管理，是指采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或将风险降低到一个可以接受的级别。至于究竟要达到哪一个级别，这主要取决于企业资产的价值、 预算的多少以及其他许多因素。由于企业的业务运营越来越依赖于信息资产，信息安全相关风险在整体风险中所占的比例也越来越高。1、信息安全风险管理策略信息安全风险管理是一个详细的过程，一般包括背景建立、风险评估、风险处理、批准监督、监控审核和沟通

33、咨询，这6个方面的内容构成一个螺旋式的上升循环，使得受保护的系统在自身和环境的变化中能够不断地应对新的安全需求和风险。信风 息险 安管 全理 所有的IT系统都存在风险，现实中不存在能够完全消除所有风险的方法。企业管理者必须决定哪些风险是可以接受的，哪些风险是不可以接受的。决定哪些风险可以接受时，企业应进行详细的资产与风险分析以及确认威胁列表。一旦完成威胁列表的编制，就必须对每种威胁及相关的风险逐一地进行评估。目前有两种风险评估方法：定量的风险分析和定性的风险分析。定量的风险分析把真实的货币价值分配给损失的资产。定性的风险分析把主观的和无形的价值分配给损失的资产。特征定性的风险分析定量的风险分析

34、是否使用复杂的函数 是否使用成本/效益分析是否得到具体的值是否要求猜测是否支持自动化 是否需要大量的信息是否客观是否使用主要意见是否要求付出很多时间和努力 是否提供有用的和有意义的结果否否否是否否否是否是是是是否是是是否是是对于完整的风险分析来说，这两种方法都是必要的，大多数环境中使用混合的风险评估方法。风险评估可以为企业管理层提供细致的分析，以帮助其决定哪些风险应该规避、哪些应该被转移、哪些应该被接受。由于企业面临的威胁和漏洞在不断变化，因此， 风险评估需要定期进行，以确保系统安全性得以持续改进。2、风险管理团队不同组织在企业规模、安全态势、威胁情报与安全预算方面各有差异。较小规模的企业可能

35、只有一名员工或较小的团队负责风险评估或分析。总而言之，风险管理团队的总体目标在于以最低的预算确保公司的安全。大多数情况下，风险管理团队成员并非由专门人员组成。相反，团队成员往往在企业内部由其他岗位的人员兼任，他们只是暂时承担风险管理任务。因此，企业管理层的支持非常有必要，只有这样才可以顺利进行资源分配。企业应适当投入资金与时间对风险管理团队进行必要的培训，为其提供风险分析工具，以确保风险管理工作的顺利进行。企业以取得的实际效果为目标，企业安全也一样，其投入产出比往往是最终决定方案是否合理的决定性因素。合理的风险管理策略可以提显著升企业的投资回报率（ROI），企业运行过程中的资金、人员、设备的投

36、入都要以提高企业竞争力和企业效益为依归。明确了风险管理体系和人员、职责，获得了管理层支持，后续的安全策略才能有序地实施和落地。通信与网络安全通信和网络能够互联、使用不同的机制、设备、软件、协议等基础设施，他们相互关联并形成一个整体，确保企业组织的正常运转。不论在哪种类型的企业中，基础网络设施都是企业赖以运作的基石。一旦基础网络设施受到安全威胁，企业可能无法正常运行，因此其重要性不言而喻。如今，传统网络边界已经消亡，企业网络中充斥着不同的设备，网络基础设施愈发复杂，导致企业在IP网络、协议、有线和无线网络、硬件、终端、物理设备、传输介质等多个层面都容易受到攻击。近年来，达到Tbps级别的超大流量

37、DDoS攻击越来越多，并向低时长、高频次发展，给企业基础网络设施带来巨大威胁，且其复杂的流程也难以防御。而常见的Web漏洞和攻击、系统、终端等相关的威胁，也给企业基础网络设施带来了安全风险。另一方面，任何高端前卫的安全防护体系，都离不开基础设施的支撑。所以当网络发生攻击事件的时候，网络基础设施应该具备自我保护的能力，能跟踪和定位攻击的来源。要想做好企业基础网络设施安全，需要从网络接入安全，网络自我安全防护，重要IT资产的安全防护，网络流量监控等方面入手，做好企业网络安全体系架构，并关注入侵检测（如IDPS等）、网络攻击防御（DDoS）、应用防火墙 WAF（cname部署、module部署、网络

38、层部署、混合型架构）、终端管理、安全网关等多个层面的安全。随着网络覆盖越来越广泛，网络在全部连通之后，随之而来的风险也不断增大。一旦受到威胁，则有可能造成非常大的损失。如：基础网络可以被不法分子控制，通过网络打击造成企业、机构等网络停止运行，或窃取海量数据重要信息系统可能被黑客控制进而破坏物理设施关键信息资源被犯罪分子收集利用关键信息的技术产品可能被竞争对手垄断存在后门风险因此，企业以及组织机构要确保采取适当的措施保护基础网络设施安全，避免相关的威胁。当前关于基础网络设施安全的关键趋势包括数据关联、威胁情报分析、端点安全、积极取证、签名检测、终端安全、数据加密保护、云计算安全、集成/嵌入式安全

39、设备自身的安全性等。这也是基础网络设施安全需要关注的重点。身份识别与访问控制随着企业信息化进程的发展，企业网络不断更新和升级，网络基础设施复杂多样，各设备功能迥异或不同厂商之间兼容性不足，导致大型、异构网络环境难以实现统一运维和管控。在对企业网络基础设施的安全调查中，由于不安全的身份认证及混乱的授权、审计所导致的事故占企业内部安全风险的80%。有调查显示，50%左右的数据泄露都源于企业内部安全风险。由于通过访问能直接通关企业关键资产（最重要的就是数据资产），导致访问环节成为安全漏洞攻击最多的环节之一。而访问控制则被视为企业资产保护的第一道防线。因此，身份识别、认证、授权等相关的身份识别与访问控

40、制方案成为企业安全计划的重要一环。企业可以运用身份识别与访问控制系统防止攻击者使用被盗用户凭证进入企业网络及其信息资产，保护信息资产免于勒索软件、网络攻击、网络钓鱼和其他恶意软件攻击的影响。在很多企业中，部分用户会拥有超出工作所需的访问权限，而身份识别与访问控制系统可以贯彻用户访问规则和策略，减少保护用户凭证与访问权限安全的复杂性和成本，增强业务生产力和集中管理能力。同时，还有助于系统管理员提高工作效率，降低管理负担，并在发生相关安全事件的情况下迅速寻找源头，及时响应并合理追责。主体一般情况下，一个健壮的身份识别与访问控制体系应当具备完整的身份识别、认证、授权以及可问责性的闭环流程。如果一个主

41、体（用户、进程、计算机、代理等）能提供凭证并被正确标识身份，主体试图访问的系统就要确定该主体是否有权执行该请求。通过不同的标签或访问控制手段验证主体身份并确定其有权访问特定客体（文档、程序文件、计算机、数据集等）后，就可以为其授权。同时，主体在该系统内的所有动作都被记录在案并保证主体能被唯一标识。这样，能保证所有访问行为都有迹可循，一旦出现问题就可以追责。身份标识身份验证可问责性客体身份授权需要注意的是，在身份识别与访问控制系统中，有一个身份信息和访问开通生命周期，主要是指账户的创建、管理（管理账户、访问和跟踪问责）和删除。这个周期对于系统的访问控制能力而言非常重要。如果没有正确定义和维护用户

42、账户，系统就无法建立准确的身份信息，进行身份认证，提供授权或跟踪问责。账号创建账户管理账号删除在实际应用过程中，每个环节都可使用不同的技术与方案，具体将在后文中展开讲述。当然，除了身份和权限方面的安全，软件和应用程序（客体的一部分）从开发到使用和维护，也需要全包安全性，这就是下一环节要说到的应用安全与软件开发安全。应用安全与软件开发安全应用安全应用安全是信息系统整体防御的一道屏障。在应用层面运行的信息系统包括各类基于网络的应用以及特定业务需求的应用。应用系统的安全保护就是保护系统的各种业务能够正常安全地运行。在云计算、大数据等技术得到充分运用的时代，应用安全仍是企业信息安全中不可忽略的重要组成

43、部分，办公、业务、流程、数据都离不开应用程序。根据权威机构统计，75%的攻击行为已经由网络层转移到了应用层，而超过80%的成功攻击都利用了应用层的漏洞。针对口令的攻击、非授权获取敏感信息、针对Web应用的攻击（XSS、SQL注入等）、针对移动应用的攻击等攻击事件和手段越来越常见。攻击者常常利用应用程序中的漏洞来窃取数据、知识产权、敏感信息等。因此，如果应用安全防护不到位，企业将面临重大威胁风险，甚至蒙受巨大损失。在落实应用安全建设时，可参考以下框架：准备确认基础需求管理技术架构安全编码安与全验测证试软件开发安全软件开发是由许多拥有不同技能和不同安全意识的开发者实施的一项复杂的任务。而软件开发安

44、全则是指在软件设计和开发过程中考虑安全性，让安全融入产品核心之中，并在各个层面提供保护。为了实现灵活的操作目标，很多公司都使用定制开发的软件系统。但是，开发人员可能由于恶意和/或粗心，导致软件留下后门或者存 在其他漏洞，容易被恶意攻击者利用。另外，开发人员创建或修改的应用程序通常会使用敏感数据，还会产生各种交互，如输入、加密、逻辑处理、数字处理、通信、访问等，这都会导致敏感数据处于不安全的环境中。不论是后门、漏洞，还是敏感信息的不安全传输、交互， 都会给企业带来安全风险。统计显示，目前仍有近80%的开发人员没有接受过任何安全编码培训，并缺乏基本的安全意识。为了防范 这些风险和安全隐患，有必要确

45、保整个软件开发生命周期的安全性。在软件开发项目的初期给系统构建安全性比在已经开发好的系统中添加安全性容易得多，所以在初期就考虑安全性是极为重要的。软件开发往往符合一个生命周期，也就是软件开发生命周期（SDLC）。常见的SDLC模型都能解决需求收集、设计、开发、测试/验证、发布/维护等问题。而在软件开发生命周期的各个阶段增加必要的安全活动，将安全集成在培训、需求分析、设计、编码、测试和维护等软件开发的每个阶段，这就是安全开发生命周期（SDL）。SDL有助于开发人员构建更安全的软件、解决安全合规要求，同时降低开发成本。其中，STRIDE是SDL实践中可以采取的一种威胁建模方法，包括Spoong（仿

46、冒）、Tampering（篡改）、Repudiation（抵赖）、 Information Disclosure（信息泄漏）、Denial of Service（拒绝服务）和 Elevation of Privilege（权限提升）等威胁类型，可涵盖目前绝大部分安全问题。资料来源于 MicroSoft此外，BS（I Build Security In）、OWASP、ISO/IEC 27034等专注应用安全及软件安全开发的实践或认证标准。ISO/IEC 27034标准包含应用安全综述和概念、组织规范框架、应用程序安全管理过程、应用安全验证以及特定应用的安全指南。它是ISO/IEC 27000系列

47、的一部分，能让软件开发过程与ISO/IEC的信息安全管理体系（ISMS）模型保持一致。总体来说，做好应用安全与软件开发安全，有助于降低企业面临的安全风险、降低损失并节省成本。而软件和应用开发出来之后，人员的操作、应用程序/软件的运行、相关环境的运转，则需要相关的安全运营策略来保证安全。操作安全与安全运营安全运营是关于保持网络、计算机系统、应用程序和环境运转并以安全和受保护的方式运行所发生的一切事物。它包括确保人员、应用程序和服务器仅拥有访问锁需要的资源的权限，并通过监控、审计和报告控制来实现监督，降低可能由非授权访问或滥用造成损失的可能性。操作制度规范IBM安全报告显示，网络安全事件中超过95

48、%是由于人为原因（有意或无意）引起的。例如误点钓鱼邮件中的链接、丢失USB存储器甚至是有意或无意地与未经授权的人共享信息，诸如此类屡见不鲜。针对上述问题，企业安全运营中存在许多基本原则，如知其所需、最小特权、职责和责任分离等。通过这些原则演进出的操作规范， 是企业安全运营的第一步。职责划分矩阵 安全基线安全基线概念最早由微软公司提出，类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最低的安全要求。安全基线涉及的范围相当广泛，主要分为安全管理基线和安全技术基线两大类，又可细分出物理安全基线、安全运维基线、安全控制基线等众多分支。物理安全基线当缺乏对物理环境的控制时，即使管理、技

49、术或逻辑访问控制得很好，也不能提供足够的安全性。如果怀有恶意的人获得了对设备的物理访问，那么他们可以做任何想做的事，包括从泄漏、更改到破坏的所有事情，物理安全基线就是阻止本地未授权访问的第一道防线。安全运维基线虽然是安全运维工作中的基础事项，却与很多安全事件紧密相连，例如登录策略未配置导致账号被爆破、敏感信息泄露、默认口令、开启了含有漏洞服务的端口等。做好安全运维基线配置与核查，可以在很多突发情况下拥有更多的响应时间。安全基线配置需要管理层自上而下的支持，安全运维人员需要同业务、开发、运维人员讨论商谈，定制适用的基础运维环境统一计划， 使用相同版本的操作系统和应用软件。开发人员（包括外包开发）

50、使用运维建议的操作系统版本定制开发，安全运维人员使用分发软 件统一进行基线的配置修改。安全控制基线AC-1AC-2 AC-2 AC-5访问控制策略和程序AC-6AC-7 AC-10职责分离最小特权失败的登陆尝试协同会话控制安全意识培训账户管理P-1P-1P-1P-1P-1P-2P-3安全控制基线主要包含访问控制策略和程序、账户管理、安全意识培训、职责分离、最小特权等管理要求。下图为访问控制基线的部分清单，美国国家标准技术研究所为这些要求添加了编号、名称和优先级。P-1代表优先级最高，P-2代表优先级居中，P-3 代表优先级较低，具有较高的参考意义。控制编号控制名称优先级资产安全管理资产管理指基

51、于一定的管理规范，通过管理工具或技术手段，由指定的人员记录企业基础设施软硬件、机房环境、系统配置、业务配置等各种IT系统资产的详细信息，并对资产信息的变化和异动进行检测和管理。在安全运营工作中，安全资产管理也起着关键作用。例如在0day漏洞成为1day漏洞后，漏洞的利用方式和影响范围已经曝光。在这个业务安全最脆弱的阶段，如何同犯罪分子赛跑，争分夺秒地揪出存在安全风险的资产，是时下最紧迫的问题。重要关注点近年来，云计算的模式逐渐被业界认可和接受。但简单地将主机、平台或应用转为虚拟化形态，并不能解决传统应用的升级缓慢、架构臃肿、无法快速迭代等问题，云原生（Cloud Native）的概念应运而生。

52、在云原生应用和服务平台构建过程中，近年兴起的容器技术凭借其弹性敏捷的特性和活跃强大的社区支持，成为了云原生等应用场景下的重要支撑技术。此外，Gartner提出的流行概念DevSecOps在融合DevOps实践的基础上，在相应阶段加入了安全性检查，并集成到CI/CD管道中。据 Gartner预测，2019年底DevSecOps框架中的部分内容将在超过70%的大企业中实现落地。在不远的未来，DevSecOps一定会逐渐从概念逐步走向落地，成为企业安全运营实践的重要组成部分。数据安全在企业的正常运行过程中，信息系统的各个层面（网络、主机、应用）都涉及到数据的传输、存储和处理，一旦数据遭到破坏，就会影

53、响系统的正常运行。根据信息安全技术数据安全能力成熟度模型的定义，数据安全是指以数据为中心的安全，保护数据的可用性、完整性和机密性，从组织建设、制度流程、技术工具以及人员能力等方面对组织机构的数据进行安全保护。2018年，企业面临的最为频繁的信息安全挑战莫过于数据安全事件，动辄几亿用户数据遭到外泄，给企业和用户带来了不可估量的严重后果。根据IBM的2018年调研结果显示，数据泄露事件给受调查企业带来的平均成本比上年增长6.4%，高达27.9%的企业表示未来两年再次出现重大数据安全事件的可能性极高。其中云上数据安全已经成为重灾区，2017年AWS上存储的180万伊利诺伊州选民的信息被泄露，给美国公

54、民隐私安全和选举安全蒙上了一层阴影。2018年国内某云服务商，云盘故障，导致一用户三份备份数据离奇丢失，致使该用户平台业务全部停运，融资计划停止，造成了不可挽回的损失。目前企业在技术层面面临的主要数据安全挑战有以下三点：外部非授权人员对信息系统进行恶意入侵，非法访问隐私数据；数据具有易复制性，发生数据安全事件后，无法进行有效的追溯和审计；数据有流动、共享的需求，大量数据的汇聚传输加大了数据泄露的风险。除了技术层面的安全挑战，过去一年里多个政府部门和机构发布了有关数据安全和敏感信息保护的要求，数据安全不仅仅是企业的运营和管理问题，而是上升到刑事责任范畴，发生重大事件可能会导致企业相关人员定罪入刑

55、。此外，等级保护2.0 云计算扩展要求中对于审计数据的控制，云服务商和云服务客户的数据访问权限以及云端加密数据的密匙管理也都有明确要求。这也给许多以数据为生的创新型企业造成了很多壁垒和问题，许多企业为了规避合规风险，选择了缩小业务范围，甚至出现了叫停部分业务的情况。确保本地和云端数据安全已经成为企业业务想要良性发展的高优先级需求。企业在建立数据安全体系的过程中，需要将网络安全、系统安全、业务安全、云服务商安全等多种因素纳入到一起考虑，通过分层建设、分级防护，全面覆盖终端数据安全、网络数据安全、存储数据安全、应用数据安全等方面，才能实现延展性强的可控数据安全管理体系。同时，企业在数据治理过程中也

56、需要注意合规要求。我国网络安全法第三十七条明确规定：“企业因业务需要，确需向境外提供数据的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”因此，拥有跨境业务的企业在处理数据时，需要跟国内外相关部门有效沟通，合理合法地处理数据；同时还需告知个人用户，获取用户同意并对用户信息保密处理。企业在数据安全策略和流程的制定与推进过程中，需要根据自身情况做好数据生命周期安全管理框架的设计与人员职责分工。数据生命周期管理数据生命周期管理（Data life cycle management，DLM）是一种基于策略的方法，用于管理信息系统的数据在整个生命周期内的流动，包括数据的创建、使用（分级

57、分类、标签化等）、归档、销毁等。企业可参考下方流程图遵照数据安全生命周期安全开展建设工作，保证从数据产生到销毁整个链条的安全，不要遗漏任何一个环节：访问控制、加密 权限管理、内容发现CMP(DLP) 、加密逻辑控制、应用安全信息碎片、安全删除内容发现归类、赋予权限组织架构及职责分工行为监控/执行、权限管理逻辑控制、应用安全加密、资产管理业务主管部门首先应对自身数据的业务重要性，包括敏感等级进行定义，由统一的数据管理部门（可以是信息技术部）统筹管理并制定分类标准，然后企业需要对数据资产的分类对数据使用角色进行梳理，明确不同受众的分工、权利和职责，最终实现数据安全的分级管理。一个良好的组织架构所有

58、必要的角色并给这些角色分配正确的安全职责，一个典型的数据安全管理框架中的责任分层包括：行政管理层、数据所有者、数据看管员、系统所有者、安全管理员、主管、变更控制分析员、数据分析员、用户、审计员。一些规模较大的企业还可以设置数据保护官（DPO）的角色，专门负责数据安全的工作。行政管理层：首席信息官（CIO）、首席隐私官（CPO）、首席安全官（CSO）或首席信息安全官（CISO）。这里尤其要注意隐私保护方面的人员配置，对于安全专业人员来说这是一个更加偏向合规的领域，主要负责指数据过度收集和数据滥用方面对法律法规的遵从性，对于很多把自身的盈利模式建立在数据之上的公司而言，这方面的工作特别有挑战性数据

59、所有者：负责管理某个业务部门，对特定信息子集的保护和应用负最终责任数据看管员：由IT或安全部门员工担任，负责数据的保护与维护工作系统所有者：负责将安全能力集成到业务的决策和羡慕开发中 安全管理员：负责实施和维护企业内具体的安全网络设备和软件主管：最终负责所有用户活动和产生的有关数据资产变更控制分析员：负责批准或否决变更网络、系统或软件的请求数据分析员：负责保证以最佳方式存储数据，为需要访问数据的用户提供最大便利用户：任何例行诗句的使用者，有遵守操作安全措施，保证数据对他人具有机密性、完整性和可行用的义务以上角色和职责，建议企业自身情况，可以进行职责删减或角色合并。安全事件管理任何技术或者设备都

60、无法提供绝对的安全保障，虽然任何组织都不想看到安全事件的发生，但却又不得不在未知威胁到来之前做好充分的准备。万一安全事件发生，通过合理的安全事件管理策略，可以尽可能减少事件所造成的负面影响。安全事件，通常指攻击结果，或指对部分用户来说是恶意或故意行动的结果。参照 RFC 2350 的定义，安全事件就是任何破坏某些计算机或网络安全方面的不良事件。而在事件响应的过程中，安全事件则可能会具体到某些网络行为特征，包括网络入侵、DDoS 攻击、恶意软件、未授权访问以及其他违反安全策略的行为等等。这些事件都会给企业带来损失或负面影响，因此，合理有效的安全事件管理，有助于企业了解事件详情、及时评估响应，同时