网络安全工作的随想

海狸老先生

已于 2022-09-04 13:28:41 修改

阅读量2.2k

点赞数 4

CC 4.0 BY-SA版权

分类专栏：常思常想笔记文章标签： web安全网络安全

于 2022-08-14 10:44:27 首次发布

本文链接：https://blog.csdn.net/weixin_41686586/article/details/126319985

常思常想同时被 2 个专栏收录

4 篇文章

订阅专栏

笔记

3 篇文章

订阅专栏

本文分享了一位安全工作者在经历安全专项检查过程中的经验总结。强调了安全工作的日常管理和特殊时期的加强措施，详细列出了安全制度、安全设备、信息系统管理、密码使用等方面的具体要求和注意事项。

（第四次更新： 2022.9.4）

刚刚经历了安全专项检查，从知道单位被抽中，到今天，或者未来一段时间，感觉都是压力很大。虽有安服，但是参与的第一个人还没有等到检查就辞职了，接任者，对单位情况和读者一样一无所知，所以，整个准备工作等于自己独立完成，安服公司的帮忙打印了大部分材料。前后一个月，真的是操心，现在还没有缓过来，满脑子的事情，做安全的工作，真的应该属于特种行业，可惜如果选择了学校，嗯，就认了吧。

后期要求整改，限期整改，其实在自查的过程中，我就有了很多想法，安全工作真的是重在日常，特殊时期呢，做好一些加强工作即可。我就把自己发现的和被发现的问题总结一下，指导自己未来的工作，因为我想甩开手上的事情，太难了。有责任心的人搞安全工作，真的有点害人啊。性格使然，好了，开始总结。总结大概多是做的不好或者没有想到的方面，有些可能认为理所当然的就没有再提了。

一、安全制度

从上大小，都是没有规矩，不成方圆的，有法可依，有理可循，有据可查，这都需要有完备的制度体系来做保障，一方面指导工作，一方面也是保护自己。要做的事情，不可以想当然，也要有配套制度，比如漏扫或风险评估，你即使一直在做，也要把此工作写入制度。

1、要有红头文件的安全组织机构。如果只是临时去网上找制度改改，在某些严肃的时刻是不被认可的，所以红头文件还是可以很好的把一些工作提升层次。

2、落实责任制，一定要和绩效考核等关联。需要二级部门领导盖章，把资产清单也一并交由领导来督办确认。每年一次，常态化工作才能有较深的概念。绩效考核需要明确，很多落实责任的检查都会关注这个点。通告的次数或者高中低危漏洞数量都可以作为绩效的依据。

3、安全机构里的组织，要有明确的工作分工和内容。这个其实很难落地，数据库管理员，密码管理员，这些其实并没有，但是还是需要给人员一个分配，让他们自己在相关领导与做些探索。

4、应急响应的制度里要有联系人和联系方式。因此，这种制度大概率是每年需要更新的。可以有大的应急响应制度（包括方案），然后里面还有子项，就是分类项，单独的响应制度，比如针对你数据安全的应急响应。

5、每年度的安全工作计划要有的。即使领导没有要求，自己也要有想法，不好一杆子支到哪里算哪里，虽然很多时候，计划并没有被支持或认可，但还是要有的。也算是自己对工作的一个思考和展望。如此一来，展开一点，就是要有个3年规划等，或者结合十四五规划等来进行制定。

6、

二、安全设备

安全设备，如果只是为了合格，那么就浪费了啊，回想一下，自己也是没能把每个安全设备都做到物尽其用，其实这些设备被等保要求，一定是经过专家们的认真思考的。让每个设备都跑满一点吧，把各个安全设备的日志都吐到日志审计设备，这样在进行溯源的时候不用一个一个安全设备去查看，很有用，特别是查挖矿IP。

1、关键位置要热备，如防火墙，waf。

2、安全设备的配置要定期备份，还要做到异地备份。（建立一个安全设备运维台账）

3、每个安全设备的日志要6个月。（如果富裕，把网络和防火墙的日志独立出来，毕竟每天量很大，其他安全产品和服务器等一个日志审计）

4、告警要设置，至少是邮件告警。（建议设置一个公共邮箱，然后安全设备的告警都是发邮件到此邮箱，这样巡检或运维工作可分享给其他人员完成。如果重要实时，多数应该支持钉钉或者飞书，短信猫可以不用）

5、确保产品是正式授权，且时限在合理期限。所以台账重要，包括授权时间，序列号，维保费用。

6、相应的模块都可以升级或在近期升级过。

7、限制管理员的登入地址范围。

8、防篡改对重要系统的必须。确认一下防篡改是一次性，还是也有升级维保一说。

9、数据库审计必须要有。一般都是按照实例个数来卖的，安全人员要规划好整个单位的情况，至少有一些些预留。定期看看审计中是否有相关数据。是不是必须镜像流量。一般都支持agent，绕开镜像流量，不过如果应用和数据库在一台机器，有点麻烦。

三、信息系统

1、只要暴露互联网，就一定要https。如果前端用了负载均衡设备，貌似实现起来就会有一些麻烦。

2、数据量10W，就要上三级，必须的。这里的数据，是指包含人员的信息。

3、数据备份等要定期进行恢复演练，要有记录。要求高的，对系统还有热备双机的要求，就是不仅仅是数据备份演练。另外数据的异地备份，不要在同一个机房里实现。

4、数据存储加密不能SHA256,MD5。可以SM2+SM3这种，就是对一个字段先SM2加密一次，再SM3加密一次。

5、系统也要运维或者说自检巡检报告。设定工作周期节点，盯着建设方按时提供。

6、数据库不能使用sa这种，需要对各种权限进行设置限定。

7、数据安全重点，个人信息防护。不能直接查阅，或者说系统不能直接呈现手机号，身份证号等，要脱敏。

8、数据存放时，要加密，或者脱敏。包括照片，要加密存放。

9、对于一些关键业务要求双活，这个有点难。系统不能恢复，数据至少要保证。

四、密码

1、如果只是用了账号密码登录，属于未使用密码技术。

2、至少管理员要双因子认证。比如管理员除了密码，还要短信认证。

3、门禁，一卡通等里面的算法要国密算法。

五、其他

1、网络设备、服务器的日志进入日志中心。(如果可以，最好能有两个日志中心，网络设备和防火墙的日志量大，查起来慢，可独立)

2、在安全上的花费，设备和运维清单整理好，各种填报都有此数据。

3、对系统漏洞检测，多种工具交叉扫描，web和主机都要。主机一定要全。

4、建立对安全厂商的评估制度，包括服务水平、态度、能力等，以及公司的运营状况（这个确实重要，不然一年换2、3个人也是常事）

六、再有

1、每年的时间节点表，这个后续会整理一个，包括大节点和小节点。

（1）安全设备：半年巡检一次报告。

2、有些工作要提前告知其他部门的。
（1）制度修改，同步建设同步规划的，要体现。对网络安全的要求要体现。对等保的经费保障要体现。

（2）把对系统安全的要求，通过一种标准或指南形式呈现，由信息中心交予各建设部门。在建设前期即告知。

前期：同步建设安全的制度要求，签订保密协议。

中期：建议部署完成后，或之前即对操作系统开展安全检测。

后期：提供源代码，代码审计报告，验收的安全报告，整体架构设计。（可能包含多个服务器主机）。告知要定期进行系统巡检，并提供报告文档。

3、重保前还是要让部分同志一起参与，成立专项工作小组，给他们一些实际工作。

4、一些工作及时变成纸质版本，需要盖章和签字的做好归档，及时归档。

时间规划粗糙版

-12月：全年安全工作总结。（全校安全事件，漏洞通告，等保建设，渗透测试目标）

来年的工作计划。

1月：寒假前。各业务系统和数据的备份情况，挑选2个做恢复可用性测试。

2月：刚开学，做一次钓鱼邮件测试吧。对各种制度集中进行修订。确定新的一年上会的制度。

3月：启动新一年等保建设。完成第一季度风险评估。应急演练1。安全设备配置备份。

4月：开一次全校的网络安全工作会议。完成安全意识培训。

5月：文保的检查，即自查报告和数据填报。应急演练2。

6月：第二次风险评估。督促安全厂商提供巡检报告，系统管理人员提供系统巡检报告。安全设备配置备份。

7月：假期，可以适当做点安全新技术的测试应用。使用不同平台工具交叉漏扫。

8月：假期，适合对各种漏洞进行整改修复，影响面较小。渗透测试。

9月：第三次风险评估。应急演练3。网络安全周专题活动。启动运维维保合同工作。安全设备配置备份。

10月：重保工作梳理。关注等保完成情况。