一、背景

随着互联网技术在各行各业的广泛应用,企业核心系统网络化程度不断提高。这极大地提升了企业运营效率,同时也使企业面临着日益严峻的网络安全形势。微软Exchange服务器遭到攻击导致30多万台服务器被植入后门、VMware vCenter服务器爆出远程代码执行漏洞、阿帕奇Log4j2组件威胁全球60%的企业网站等重大网络安全事件。

随着网络安全成为国家政策推行，各政府机构推行的常态化攻防演练也在不断上演，这个过程中也非常考究企业机构的一个安全状况能力，并且通过实战性的检测来考察企业安全措施，针对以上，无论是从保障业务安全降低网络安全造成的损失还是应对常态化的安全演练，安全加固都是一个持续性需要执行的工作。

二、安全加固对象

实施安全加固需要对企业网络环境进行全面调查,确定加固范围。一般来说,需要加固的对象包括:

1. 操作系统

操作系统如Windows Server、Linux、Unix等,是整个业务系统的基石。操作系统存在漏洞可能直接导致服务器被入侵控制。因此,及时打补丁、增强访问控制等都是操作系统安全加固的关键步骤。业务系统需要时刻关注系统版本及漏洞情况，需要保证在微软官方维护版本内，如果存在系统漏洞才能及时通过打补丁加固。

2. 应用软件

包括数据库软件、Web服务器、邮件服务器、OA系统、ERP系统等。这些软件存在的漏洞也可能危及整个系统安全。加固手段包括升级到最新稳定版本、配置访问控制、关闭不必要服务等。

3. 网络设备

如防火墙、VPN设备、路由器、交换机等。网络设备在业务系统拓扑结构中起骨干作用,一旦被攻破,将直接威胁整个网络安全。必须确保网络设备的版本补丁更新和访问控制配置的安全性。

4. 物理环境

如机房、服务器机架等。这关系到服务器等核心设备的物理安全,是信息安全的重要一环。需要检查门锁系统、监控系统、出入管理等物理环境安全。

三、安全加固流程

进行系统安全加固需要规划明确的实施流程,典型的流程包括以下步骤:

1. 资产识别

IT团队需要对整个企业网络环境进行全面调研,明确需要加固的关键系统、服务器、网络设备、应用系统等资产,定期更新和生成对应的资产清单。

资产清单应该围绕着业务以及价值进行梳理，而不仅仅是统计ip，mac，操作系统信息等，应该包括业务所属，XX系统，涉及到数据库，业务等系统需要价值加权，针对不同价值的资产要有不同的级别对待和处理措施。

2. 安全评估

在明确需要加固的资产后,安全团队应对这些资产进行安全评估。评估内容包括资产运行状况、软硬件漏洞、配置缺陷、物理环境等。评估的目的是发现所有的安全风险,为制定加固措施提供依据。评估方法有问卷调研、扫描工具检测、代码审计、渗透测试等。

安全评估需要输出风险台账，台账应该涉及漏洞情况，主要包括高中危以及实际可入侵的漏洞，弱口令，开放敏感端口以及配置等。针对以上的风险进行一套风险评估的规则，并且随着日常安全工作中不断优化。

3. 加固方案

根据安全评估结果,安全团队需要针对发现的各种问题,制定相应的安全加固方案。方案中应包括具体加固措施,如修补某漏洞、增强 Web 认证、隔离部分网络等。并明确时间表、责任人。

加固需要结合之前梳理的资产清单资产价值，风险清单风险级别进行评判加固，需要评估业务层面的影响，从而确定那种方案以及各种方案的最终确定依据，加固方案往往分治标和治本，根据实际情况采取不同方案，而不局限某种情况，例如业务系统漏洞扫描发现高风险漏洞，治本方案升级系统打补丁，治标方案封闭可利用漏洞端口。两种均可执行采纳，安全加固更多的是需要将风险的可控性和影响性降低到最小，切记，不能为了加固而造成业务中断的风险。

4. 执行加固

按照安全加固方案,由操作人员对资产执行加固措施,如系统补丁、参数优化、版本升级、加固组件应用等。在执行过程中,需要进行确认和文档 tracking,以确保措施得以严格实施。

安全加固关键是要落实到具体责任人，包括方案的制定人，执行人，授权人，最关键点是要保证流程标准化，责任到位，风险可控，流程可回退，业务可避免损失。

5. 测试验证

加固执行完成后,需要进行测试验证,检查加固效果。一般通过扫描检测漏洞、 penetration test 渗透测试等手段进行验证。测试人员应不同于操作人员,以保证检测的独立性。

6. 维护更新

安全加固需要持续维护,确保各项措施持续有效。安全团队需要关注最新威胁情报,对存在新漏洞的组件进行及时补丁;定期扫描检查系统安全状态,发现问题及时修正;建立漏洞通报响应机制;持续更新访问控制策略等,使得安全加固长期有效。这是一个不断优化和迭代的工作。

四、案例分析

某单位针对国家攻防演练突然继续安排支撑，针对需要安排人员值守并且保证业务系统无法被攻破，

参加配合时，对方的安全团队成员缺失，仅有网络管理员兼职网安安全员，安全设备边界部署防火墙，waf等，且均已过维保期。

（1）访谈，梳理资产：通过网络管理员进行访谈，能够了解网络的基本拓步，网络安全设备情况，对全局的资产情况不熟悉。固进行内网网段进行资产识别，并且整理相关的资产清单，针对一些业务系统进行备注并且做重大包含对象。

（2）漏洞扫描，全局风险检测：针对对内网业务情况的了解，以及对业务信息的了解，这里要确定业务系统的备份行为，网络带宽，关键的资产特殊性等，得到授权后方可进行漏洞扫描，对主机进行漏洞扫描，对web系统暂不进行漏洞扫描，需要先进行渗透摸底后再进行，针对以上情况要输出风险清单，并且及时汇报相关的负责人，先沟通阐明利害关系，先汇报情况，优先取得共识，后面再进行具体的安全加固方案确定。

（3）加固方案制定：这个比较考究一个网安人员的经验，一个需要对红方攻击队的手段有所了解，另外也是结合不同场景设计，以下列举以下通用性的安全加固方案。

（4）安全加固：主机加固：1、主机加固层面评估资产价值，对能打补丁，不影响业务，影响性少的主机，能升级升级，能打补丁打补丁。

2、关闭高危端口，主机自身执行脚本关闭，另外通过防火墙等限制和关闭高危端口。

3、安装杀毒软件，对应业务系统安装建议进行全盘查杀，一来能够发现潜在问题，另外可以快速侦查业务文件是否会存在误报，进行加白避免影响业务情况。

Web加固：1、黑名单加固：防火墙和waf已经过了为维保期，对一些针对性的web攻击不具备防护能力，这时候需要通过渗透测试评估当前业务系统存在的漏洞，使用的中间件，并且结合一些针对性攻击的行为，找到对应的情况将url添加至黑名单处理。

2、系统加固升级，一些外包商是否存在一些高危组件，通过官方和维保方式下载安装补丁安装。

（5）检验防护：日志分析：之前加固以及值守都需要及时的通过日志分析进行排查问题，通过网络安全设备分析流量，通过主机日志分析主机行为等。通过日志分析进行安全加固的验证。这过程中允许情况下可模拟攻击行为，再进行一次漏洞扫描检验漏洞情况，进行渗透测试检验漏洞情况。

（6）内化流程：进行值守期间，进行安全巡检和应急响应，具体内容可查看前几篇文章内容。结合问题排查不断地找到存在的问题，从流程上，技术上形成一套符合企业自身的规范要求，并且形成自身的知识库，定期更新。

五、结论

通过以上案例，从攻防演练中得到了验证，常态化攻防演练是检验安全的手段，更多是要让企业意识到安全的重要性，并且不断提升安全能力，这才是目的。

然而安全加固更多不是一项单项简单的工作，会涉及到业务，漏洞闭环流程，相关组织协同的工作，更多要从上级角度得到重视，并且得到更多的业务部门人员的理解和支持，这才是一个关键思维，从技术流程和业务流程安全人员需要仅可能从一些非技术性的视野去体现方案，例如上级关心业务，则突出强调业务损失造成损失，业务影响可用性，则找到一个更能协调的处置方案，兼顾业务和安全隐患。

这里篇幅有限，更多从思路和通用技术方案介绍，不同场景化的安全加固会另开篇幅介绍。

如有帮助，欢迎点赞 关注 评论