面對網絡風險企業如何部署安全策略

面對網絡風險企業部署安全策略的方法：

1. 確定防火墻在網絡中的部署位置，并使用安全區域劃分網絡。需要對照組網圖，了解當前網絡資源的分布情況，識別關鍵信息資產、服務及其安全等級。

2. 盡所能了解當前網絡中的運行的合法業務，建立白名單。業務白名單通常有以下幾類。

• 網絡基礎設施，如路由協議、NTP、FTP、DNS、VPN等。
• 企業IT基礎設施，如AD/LDAP認證服務、企業郵箱、Windows Update升級服務等。
• 管理服務，如SNMP、SSH、RDP遠程桌面等。
• 企業辦公應用和服務，如MySQL、Salesforce、GitHub、Office 365、企業自建服務等。
• 個人應用和服務，如上網、社交媒體、私人郵箱等。

1. 結合企業信息安全政策（Information security policy）、用戶組結構和業務白名單，確定通信矩陣和業務訪問規則。

2. 盡所能了解需要禁止的高風險應用和非法業務（企業信息安全政策禁止的服務），建立黑名單，確定業務禁止規則。

3. 在防火墻上創建一條允許所有流量的臨時安全策略，并記錄策略命中日志。

4. 根據前面識別的業務規則，在防火墻上為白名單和黑名單配置安全策略。調整順序，使臨時安全策略位于策略列表底部，缺省安全策略之前。這樣，可以保證所有業務都能通過防火墻，不會影響業務運行。同時，未知業務會命中臨時安全策略，并在日志中記錄下來。

5. 分析策略命中日志，識別并判斷業務的合法性和必要性，并添加新的、精確的安全策略。在分析策略命中日志時，重點關注業務的源/目的IP地址、源/目的安全區域、服務/端口，識別出同類業務。然后把策略命中日志中離散的IP地址合并為地址段，創建地址組，并在精確安全策略中引用。建議優先分析和處理命中次數最多的服務/端口或應用，這樣可以快速減少日志的數量。

6. 把新添加的精確安全策略移動到臨時安全策略的前面。

7. 清除臨時安全策略的命中計數，繼續觀察和分析日志、添加精確安全策略，直到沒有流量命中臨時安全策略。

8. 在確認網絡中所有流量都得到了充分的分析以后，刪除臨時策略。

9. 分析放行業務可能存在的安全風險，為安全策略添加合適的內容安全配置文件。

回答所涉及的環境：聯想天逸510S、Windows 10。