记一次安全评估

曾经给北京某客户做过一次安全评估，具体名字不方便提。起因是在一次跟客户的安全交流中得知他们最近系统被××××××，有几台服务器被×××控制，成为了挖矿机，给网络和业务运行造成了很大的负面影响，这个客户跟我们有过很多的合作，本身还买有我们公司的维保服务。希望我们能够对他们的网络系统进行一次安全的评估，分析网络存在的威胁和查找网络的脆弱点和薄弱环节。
因为我是我们公司老员工，而且一直负责网络安全这块的业务，这个任务自然而然交到了我这，当时我对安全评估并没有一个很全面的认识，所以开始，我从网上搜集大量的相关资料进行了学习，并结合我当时了解到的客户的实际环境，给出了一个相对简单的评估方案。后经过几次跟客户IT部门做业务场景的沟通，收集了更全面的客户资产信息（主要是设备类型，设备数量，IP地址等信息），并进一步对客户业务环境做了几次调研，调研的内容包括：网络整体拓扑，操作系统平台，部署的基础应用系统，部署的上层业务系统，业务流，系统的安全配置情况等。在方案做了多次修改后，我们和客户最后敲定了评估方案，确定了安全评估的时间窗口。
当时因为条件有限，我所使用的评估软件大多是开源的、免费的或者是网上的破解版软件，如nessus、wvs，sqlmap。也想过用一些商业的产品来做评估，但因为考虑成本问题，最终公司都放弃了。这些免费工具的好处就是扫描的过程是全自动的，对我这样的没有专业安全评估经验的小白来说，只需要快速学习相关的操作，创建需要的扫描任务即可，同时，每个软件扫描的重点不同，扫描出的结果也不一样，最后，将这些扫描的结果进行导出，生成评估报表。根据这个表的内容，主要靠我们人工进行研判，当时记得查了大量的VCE信息，寻找相关漏洞的修补办法，并提供给用户。
后来，经过我和两位同事连续几天的人工分析，根据我们所扫描到的漏洞结果，分析系统可能存在的风险点和脆弱点，给出了我们的这次安全评估的报告和整改建议，后期我和同事协助客户做了相关的漏洞封堵工作和网络安全优化的措施，如优化边界设备的访问控制策略，修改设备和业务系统的安全配置，打漏洞补丁等。用户对我们的本次服务感到十分满意，自己在安全评估方面也有了很大的收获。
因为时间太长，有些细节记得不是很清楚了，只记得当时在主机加固，网络边界访问控制，网页防护，和数据库防护及审计方面给出了建议，另外，我们的建议还提到了建立健全安全管理制度，从制度层面上进行安全管控，增强员工的安全意识等。