【安全架构体系概括】

看到一个公众号，发现里面的内容和自己的日常工作相关，才发现自己做的安全管理工作竟然可以这么成体系，只是没有好好梳理过，这次正好对着公众号，看看自己做的工作都属于什么领域。

安全架构底层包含：网络安全、终端安全、应用安全、系统安全、数据安全

一、网络安全

包含网络分级、域名防护、流量监测、访问控制、分支结构、远程办公、隐蔽通道、高危端口
这一类不在我的工作内容，是管理生产服务器部门主要负责的，域间防护，防火墙、DMZ区，any策略等等。
流量检测，比较常用的就是奇安信的网神分析平台，当时在一家央企蓝队护网时，也使用过网神分析平台，根据探针返回的数据包，进行分析，也属于监测分析的一种。
远程办公，公司都支持远程VPN办公，若VPN登录密码每个人都是动态且认证的，安全性更高一些。

二、终端安全

包含终端准入、补丁管理、介质管理、非法外联、云桌面、文件指纹、EDR、BYOD、恶意代码、终端溯源
日常工作中接触到的终端安全，介质管理主要是测试部门的各种终端设备的管理，会统计设备的使用情况，防拆封线等等。
云桌面使用的是华为云服务器上的云桌面。
文件指纹有文件防护系统进行防护，可以敏感文件进行加密，编辑查看都需要申请权限。

EDR：端点检测与响应（Endpoint Detection and Response，EDR）根据Gartner给出的定义，EDR是记录和存储端点系统级行为，通过使用多种数据分析技术检测可疑系统行为，提供关联信息，从而阻止恶意行为并为受影响的系统提供修复建议的一种解决方案。 Gartner认为，EDR解决方案需要有以下四个关键能力：检测安全事件、遏制威胁、调查安全事件、提供修复指导。

EDR不在仅仅是预防，更多的是强调“检测”与“响应”，能及时发现异常并进行处置，将损害限制在可控范围内。EDR 描述的是整个攻击过程，并且不再只是着眼于单个终端的防御，而是能够对各个终端上事件的关联分析，还原整个攻击的流程，描绘出攻击事件的全貌。
传统防病毒是基于特征库进行攻击比对，防御效果依赖于特征库，主要对已知威胁进行检测和防护。
EDR是通过对操作系统行为记录和存储，根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测，对威胁的疑似主机进行遏制和修复，能对已知和未知威胁进行检测和防护。

自带设备办公（BYOD）指一些企业允许员工携带自己的笔记本电脑、平板电脑、智能手机等移动终端设备到办公场所，并可以用这些设备获取公司内部信息、使用企业特许应用的一种政策。

三、应用安全

包含开发规范、代码审计、开源组件、开发框架、安全架构、安全提测、供应链、工具建设、项目安全、业务安全。
开发规范，公司内部的安全开发指引和规范，保证代码开发时能够满足安全性。
代码审计，部门使用的是奇安信代码卫士扫描工具，自动化扫描，并对扫描出来的漏洞进行研判和修复。若人工进行代码审计工作，压力较大。
开源组件，对含有漏洞的开源组件进行升级，统一管理。
开发框架，部门使用的大多是自研的开发框架，并不断更新。
安全架构，据我理解，是我目前牵头的安全设计工作，但安全技术条目都是应用技术规范，满足性的要求，并没有太多实际的安全测试内容。
供应链，意为部门使用厂商侧的软件和组件。而我们能做的只是对这些资产进行梳理，对不再使用的软件更新管理。

四、系统安全

包含资产管理、安全基线、补丁管理、恶意代码、行为审计、堡垒机、漏洞扫描、欺骗防御
资产管理，根据我的工作内容，包含测试环境服务器，生产环境服务器等资产梳理和漏洞修复。
安全基线，指的是我们的安全技术规范，漏洞修复时效要求
补丁管理，我们的办公电脑的操作系统，防病毒软件，文件防护系统等等终端上软件的更新升级。
行为审计，指的是外发邮件的审批和违规软件的使用审计，保证员工行为符合要求。
漏洞扫描，针对我们的服务器资产，开源组件和办公软件的漏洞进行及时的修复。