【企业安全运营】安全攻防背景下如何做好安全运营（二）

上篇【企业安全运营】安全攻防背景下如何做好安全运营（一）

3.安全运营内容

3.5 邮件/通讯工具安全

伴随着企业的发展壮大，员工的邮件往来和通讯需求也将增加，在这一背景下需要安全部门提前思考邮件安全的落地方案。这一章节将从出站和入站规则两个方向谈论邮件的安全内容。

入站安全措施。从攻击者的视角来看，正面突破是最有效的方式，常用的攻击手段包括发送伪装的钓鱼木马、恶意勒索软件，仿冒站点进行水坑攻击等等。对于这类攻击，目前常规的解决思路是反垃圾防病毒邮件网关+邮件沙箱的综合部署方案。通过利用邮件域的黑名单策略在反垃圾网关上进行垃圾邮件过滤，但攻击者若采用域前置技术进行绕过，那么邮件会进入到邮件沙箱上进行样本分析，邮件沙箱的优势在于可以通过自带的沙箱环境动态分析样本，可以拦截大部分的恶意程序，对可疑邮件进行隔离并通知收件人。但从近几件的攻击事件来看，攻击者会通过对邮件附件加密的方法绕过沙箱检测（普通沙箱对于加密附件是无法分析的，默认放行），所以解决加密附件的动态检测是未来各大安全厂商沙箱产品优势之一。

入站方面，同样要考虑的是邮件系统本身的安全性，随着安全攻防场景的多样化，越来越多的攻击者开始研究国内外的邮件系统，寻找邮件漏洞进行边界突破。一方面需要邮件厂商的自查自修，比如引入双因子验证。另一方面需要用户的安全意识过关，设置强策略密码，定期更改密码也尤为关键。

出站安全措施。出站的管控主要分为内容发送和地址外联两方面，这在金融行业要求较为严格，防止敏感数据外发就需要在邮件服务器上设置内容检测，目前市面上有成熟的DLP邮件外发审计产品，一般采用旁路部署镜像流量的方式，便于部署也满足审计需求。除此之外也需要在邮件系统上设置禁用自动转发、ActiveSync协议，设置附件大小限制，防止大批量泄密。

3.6 内部安全意识

安全意识是“对风险的感知和主动规避”，而实际的内部情况是企业员工自认为安全问题离自己较远，与自己无关，但随着网络安全法的实施，网络安全与每个公民个人息息相关。

信息安全的核心问题是人的安全意识，决定一个企业信息安全防护成果的归根结底还是人，任何安全管理体系、安全技术、安全产品和安全服务，如果无法解决人员的安全意识问题，就好比木桶原理，人员安全意识的短板问题将导致我们整体的安全建设失败。所以在日常工作中，要反复加强员工的安全意识培训，定期培训并检验效果，钓鱼邮件测试就是一个检验员工安全意识的有效途径。钓鱼邮件测试可以在安全培训结束后安排，以此来检验培训的效果，目前钓鱼邮件测试技术已经成熟，可以利用url中包含的特定token数据来点对点记录点击人员，进行中招用户的统计。