上汽集团刘松：企业网络安全精细化治理（28页）.pdf

1、 数据带来的思考 网络安全之怪现象 网络安全精细化治理 数据带来的思考 网络安全之怪现象 网络安全精细化治理专项预算专职人员安全技术支撑单位资源投入管理体系企业法人代表是第一安全责任人技术体系法律法规网络安全法计算机网络安全保护网络安全流程规范管理体系网络信息安全领导小组网络信息安全技术负责人框架框架技术技术平台平台设备设备刻舟求剑目的是为了满足合规要求不关心网络安全实际效果亡羊补牢精力都放在事后应急处置事前事中不愿意投入资源本末倒置盲目追求新技术新平台注重边界轻视内网安全 数据带来的思考 网络安全之怪现象 网络安全精细化治理 企业40%的攻击源自社会工程 网络资产弱口令占比高达20%30%的

2、漏洞是由配置错误导致数据来源：ACSC、NCSC、CISA、FBIMicrosoft Exchange：CVE-2020-0688、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065Microsoft Office：CVE-2017-11882、CVE-2019-0604Microsoft Windows：CVE-2020-0787、CVE-2020-1472Citrix ADC gateway：CVE-2019-19781Atlassian Confluence：CVE-2019-3396、CVE-2019-11580、CV

3、E-2021-26084Pulse Secure:CVE-2019-11510、CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、CVE-2021-22900F5 Big-ip：CVE-2020-5902Accellion FTA：CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104Telerik Ui For A Ajax：CVE-2019-18935Vmware Vcenter Server：CVE-2021-21985Debian Drupal Core Multiple：CVE-2

4、018-7600Fortinet Fortios:CVE-2018-13379、CVE-2020-12812和CVE-2019-5591MobileIron Monitor And Reporting Database：CVE-2020-15505数据来源：麻省理工282541343632413127366620112012201320142015201620172018201920202021Zero-days caught in the wild数据来源：Claroty3312913654496378021H 20192H 20191H 20202H 20201H 2021 2H 2021

5、ICS/OT vulnerabilities 数据带来的思考 网络安全之怪现象 网络安全精细化治理典型案例一：典型案例二：软件版本陈旧配置错误普遍弱口令无人管资产管理混乱软件版本保持更新识别配置对象，针对性管理，建立检测机制和方法从管理制度和绩效对弱口令问题进行高压管理资产梳理、监测，资产上线变更管理，测试环境与办公系统治理软件版本陈旧配置错误普遍资产管理混乱弱口令无人管共性问题共性问题测试环境与办公系统治理：测试环境与办公系统治理：1.1.禁止直接暴露公网禁止直接暴露公网2.2.环境分类网络隔离环境分类网络隔离3.3.必要的扫描监测必要的扫描监测4.4.防范横向移动，建立白名防范横向移动，建

6、立白名单访问机制单访问机制解决设备账号体系管理混乱问题：共享账号、僵尸账号、弱口令账号、临时账号解决认证方式不统一的问题：身份须与每一个人对应起来账号管理账号管理认证管理认证管理解决访问权限管理失控的问题：最小化原则、权限可控可审核权限管理权限管理解决业务操作层面不透明的问题：明确流程规范、明确责任关系、可溯源过程管理过程管理关键是解决运维人员“偷懒”的问题！典型案例一：默认用户权限安装问题典型案例二：默认路径安装问题安装用户权限最小化安装用户权限最小化应用严禁默认安装目录应