一文快速了解你的网络是否存在安全风险

本文主要介绍企业常见的网络安全风险，关键词：内部威胁、外部威胁。由于能力有限、视角有限，内容中可能存在诸多失误，欢迎各位大佬指出，一起讨论、一起进步、一起学习。概要如下：

内部威胁、外部威胁两个名词由来已久了，希望通过这两个名词将我理解的企业网络现在面临的安全风险进行真理分类，正文开始之前简要介绍本文中对内部威胁、外部威胁的定义。

内部威胁：系统、设备本身的安全风险。

外部威胁：系统、设备本身外的安全风险

根据内部威胁的定义，企业网络安全风险可以简要划分为2部分：技术风险、管理风险。

技术风险主要是系统、设备在设计、开发过程中可能存在的逻辑漏洞、有意或无意预留的系统后门、使用的组件本身存在安全风险，硬件设备可能存在漏洞与后门等等，这些风险不易被发现、极易被利用、弥补（防护、弥补）成本高，对企业造成的危害巨大，如伊朗核设施、log4j等。

建议企业应该在购买系统、设备时，应优先选择有相关资质的厂商，能够提供真实可靠的安全检测报告，确保系统、设备本身不存在已知的漏洞及风险；完成采购后应与厂商建立良好的沟通机制，当系统、设备本身被告知存在风险时，及时根据厂商建议完成更新或采取其他措施。

建议企业在自行开发系统时，应优先建立自己的开发团队，在选择开发团队时对开发团队资质进行审核；在开发的过程中引入合理的过程监管；开发完成以后对系统进行技术检测，确保不存在已知的漏洞及风险。

管理风险主要是系统、设备在使用过程中可能存在的弱口令、开放非业务端口、已经高危漏洞未修补、软件未升级等，这些风险主要存在系统、设备的过程中，这些风险将降低攻击者的攻击成本，提高攻击在网络中扩散的可能性。

建议企业提高人员安全意识，建立起内部的安全管理体系，对于重要的系统、设备应采取专业的工具，通过技术辅助管理要求的落地。

根据外部威胁的定义，企业网络安全风险可以简要划分为部分：物理环境、网络架构、南北向威胁、东西向威胁、安全运维五部分。

物理环境风险主要是系统、设备部署的位置是否满足要求，比如硬件设备工作的温度区间是否满足要求、湿度区间是否满足要求，电力供应电压是否满足要求、是否提供应急措施、是否冗余供应等，是否会有电磁的干扰、是否会产生明显的震动等。物理环境不满足要求将会直接影响网络的可靠性、连续性。

建议企业可以参考等级保护物理环境的要求进行调整，恶劣环境下可以选择专用的设备。

网络架构的风险主要是网络中使用的设备是否满足现在的性能要求、是否满足中长期发展的性能要求，专用线路是否考虑冗余性；其次是网络划分是否合理、网络会不会存在冲突、高安全等级的系统是否部署在了低安全防护的区域等等。

建议企业在进行网络规划时，提前考虑中短期的发展要求，预留可扩展的空间，避免由于设备性能的瓶颈对网络可用性、连续性造成致命的影响。

南北向流量更多的是指互联网与办公网的双向流量，所以本文中南北向的威胁更多的是指互联网对公司内部网络造成的安全风险，基于攻击目的的不同，可以将安全风险简要的划分为可用性风险、设备“主权”风险、数据安全风险。

可用性风险是指攻击者通过海量请求服务，影响网络的可用性，常见的攻击手段就是DOS或DDOS攻击。

设备“主权”风险是指攻击者通过端口服务、弱口令等方法获得设备的控制权，通过获得控制权的设备（黑客：肉鸡、企业：僵尸主机）开展挖矿、数据窃取、数据破坏、跳板攻击等活动。

数据安全风险是指攻击者利用逻辑漏洞、弱口令、后门等直接窃取数据或对数据进行破坏，或者通过获得“主权”的设备窃取数据或对数据进行破坏。

建议企业采取一定的安全防护措施进行检测防护，如安全网关、安全检测装置等。

东西向流量更多的是指局域网内部的数据流动，东西向威胁更多的是指主机与主机、主机与业务、业务与业务访问过程中产生的风险。基于风险来源的不同，可以将东西向安全风险简要划分为僵尸主机风险、内鬼风险。

僵尸主机风险是指攻击者通过工具远程控制企业的终端设备，窃取破坏数据，或者利用漏洞、服务扩展，控制更多终端设备。

内鬼风险是攻击者控制自己或其他人员设备发动破坏性攻击或者窃取数据，内鬼可能是内部人员、也可能是开展社工攻击的外部人员。

建议企业加强准入管理、加强内部行为的审计与管控。

安全运维风险主要是指在运维过程中产生的安全风险，如缺少运维计划管理、监督措施导致终端设备长期存在大量弱口令、高风险端口开放、高危漏洞未打补丁；如运维人员修改安全策略配置、删除日志文件无法进行追溯；如被运维资源没有进行有效管理，运维人员获得运维的许可以后访问其他非授权资源无法追溯等。

建议企业建立起安全运维的管理手段，增加资源权限管控、过程审计的技术措施。

为什么这样划分网络风险？

在对“零信任”有了基础的了解以后，非常认同这种安全理念，对于风险的控制应该放在最小的安全单元即设备、系统，而不是一味的强调互联网的边界，应该打破原有的边界划分的思维，建立起基于最小安全单元的安全防护措施。

当然，企业在进行安全建设时，应该按照自己的实际情况开展，重点加强互联网边界的访问控制、安全检测，重点加强主机的安全管理，基于自身实际情况建立起基础的安全防护，行有余力再考虑“建立起基于最小安全单元的安全防护措施”。