企业安全最佳实践-办公安全

互联网企业，核心主营业务都是放在生产网络里的，比如IDC或者云上，在安全的投入和关注度上，也集中在生产网络安全。

那么办公安全不重要吗，看下以下几种场景，都是因为办公安全没做好而发生的安全问题：

1.员工将公司代码上传到github，含邮箱或VPN帐号密码，被入侵，这个帐号正好是某运维人员，然后就进入了生产网络

2.收到钓鱼邮件，说由于系统升级原因需要修改邮箱帐号密码，然后输入邮箱帐号密码，被黑客拿到帐号密码

3.外部访客接入公司网络，入侵公司系统获取敏感资料

所以说做企业安全，也需要特别关注办公安全，因为办公网的弱点很容易被黑客利用，造成不可估量的损失。

办公网安全主要关注网络安全、终端安全、系统安全、安全意识培训。

下面是一个典型的互联网企业办公网相关网络示意图：

办公网示意图

说明：

1.办公使用的电脑终端/测试服务器一般在办公网络（可能有总部/分公司等）

2.办公使用的OA/邮箱系统/财务系统等一般放在IDC

3.办公网和IDC使用专线或者VPN联通

4.办公网或IDC有SSL VPN供移动办公接入

一.网络安全

1.办公网对外端口开放和管理

办公网对外端口开放的需求主要来源于测试需求

首先从系统层面，不允许22/3389等端口或服务对外开放，这是基本原则；（在我进入公司的初期，发生几起服务器开放22端口被入侵事件）

从系统服务来看，只允许开放80/443等Web服务端口；

如有特殊需求，建议可以通过管理制度，通过流程审批方可开放特殊端口。

2.办公网业务系统对外端口开放和管理

同上，例外的如邮箱可以开放SMTP等端口。

3.办公网和IDC访问控制

办公网和IDC只允许堡垒机的22端口，80/443端口，其他的也要走审批需求方可开放特殊端口。

4.端口开放扫描系统

开发一个端口开放检测系统，定期检测办公网/IDC/办公网 to IDC的端口开放情况，对应异常端口进行告警。

5.SSL VPN安全接入

SSL VPN接入重点考虑认证安全，除了帐号密码，要增加第二认证因子（如短信），这个非常重要，因为你无法保证你的VPN帐号密码足够安全，也无法保证你的帐号密码不泄漏。

5.办公网入侵防御

采购专业入侵检测系统设备，放在办公网出口，可发现入侵、网络木马等安全风险。

6.网络安全准入

WIFI接入：使用LDAP认证并对接AD系统，员工使用AD帐号和密码接入WIFI

有线接入：使用准入系统，接入时重定向 WebPortal，输入AD帐号密码登录

guest用户：提供guest用户帐号密码，只能访问互联网，不能访问办公网

二.终端安全

1.办公PC安全

互联网公司很多电脑都是自带办公的（BYOD），病毒防护/补丁更新方面很难强制要求，可以提醒大家安装防病毒软件。

2.服务器安全

因为办公网服务器一般是Windows系统，经常爆出各种安全漏洞，如近期NSA Shadow Brokers漏洞，所以需要定期更新安全补丁，数量少可以手动更新，数量多可以使用WSUS。

另外很重要的是要开启windows防火墙，严格控制服务器对外开放端口。

三.应用安全

这点需要特别关注，因为OA、财务系统等都是外部开发的，加上使用的人多，研究安全漏洞的人也多，容易出现web 0 day漏洞，非常容易被入侵，所以这块系统的安全评估，也不能拉下。

另外如果有条件的话，像财务系统/OA可以考虑不开放，通过VPN接入和访问。

四.安全培训

办公安全问题很多都是由于安全意识薄弱造成的，我们公司的做法是开展入职安全意识培训，不断灌输安全意识，长期宣贯，形成正确的信息安全观念，减少由于人为疏忽造成的安全问题。

培训时重点宣导：

1.警惕钓鱼邮件，特别是修改邮箱密码的邮件

2.代码安全，禁止将代码上传到github上

3.禁止将公司内部信息传播到外部渠道（如网盘、微博）

好的，我们再回到开始讲的办公安全问题，如果做好了办公安全，会不会再发生呢？

1.员工将公司代码上传到github，含VPN帐号密码，被入侵，这个帐号正好是某运维人员，然后就进入了生产网络

---VPN需要短信进行二次认证，拿到了也进不生产网络

2.收到钓鱼邮件，说由于系统升级原因需要修改邮箱帐号密码，然后输入邮箱帐号密码，被黑客拿到帐号密码

---员工安全意识提升后，会问下安全或IT的同事，这个修改帐号密码的邮件是不是真的，从而避免了帐号泄漏

3.外部访客接入公司网络，入侵公司系统获取敏感资料

--做了准入控制，无法接入办公网络

总之，办公安全同样不可忽略，属于企业安全的一个重要环节。

谢谢大家，欢迎关注"企业安全最佳实践"