各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 231期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1. 企业应该如何制定和执行有效的移动设备管理政策？

2. 当有重要数据的员工（如主管、账务部门等）设备被入侵后，如何进行后续处理，确保企业内网的数据安全性？

3. 公司都是私人电脑在办公，经常性发生材料外泄的事情，这个有啥好的管控思路么？

4. 外网一个有威胁的文件，经过网闸摆渡，最终到内网也会重组回原来有威胁的文件，那网闸的意义是什么？

话题一：卡巴斯基的调查发现，2023 年针对移动设备的攻击数量比上一年暴增了50%，但目前移动办公正成为常态，为了平衡员工的移动性需求和企业的安全要求，应该如何制定和执行有效的移动设备管理政策？

A1：

这里的移动设备指的是什么，手机、笔记本电脑、平板或者其他？

A2：

BYOD吧。

A3：

移动设备数据不落地，禁止截屏监，隐藏水印，笔记本链接业务走VPN安全通道，访问日志全纪录，浏览器通过域控管理管理，安装日志插件，安装统一控制软件。禁止私自卸载，制度跟上，日志齐全，每月信息安全宣贯，违规处罚。

A4：

禁用APP外复制粘贴，隐藏水印，禁止截屏，数据不落地，敏感数据脱敏禁止明文保存，统一账号登陆，API归一化管理，后端角色做好权限矩阵设计。

A5：

技术上有些很有难度，比如手机系统的权限问题，不同手机厂家的又大不一样，都要有不同的定制优化。总的来说，能达到易用、可用平衡的，我还没看到过。

A6：

适配性测试得搞，这个讨论总要有个业务场景限制才行，要不也没法定位。

A7：

有钱上MDM平台，否则就是管理政策+培训。

A8：

先不说有钱了，今年绝大部分公司都缺钱， 直接就权限管控、账号发放管控、定期审计。

Q：移动办公在远程办公中，可采取哪些措施维护设备的安全性并保证效率？

A9：

云电脑，所有安全软件都装在云电脑里面，这些使用者可能更容易接受一点，单位有啥安全需求，都往云电脑里面塞。

A10：

云桌面是不是控制台能直接监控你在干啥，不需要其他的软件？

A11：

我没实施过内部的云桌面，看家里人用的公有云电脑想到的。

A12：

远程的话效果比较好两种方式：

1.零信任体系，从终端、网络、用户、系统、数据层面进行管控，在终端层面就完成设备的安全型检测；

2.云电脑体系，所有办公数据存在公司云电脑的服务器中，安全风险会落在接入网关、服务器上，做好安全管理即可。

Q：当有重要数据的员工（如主管、账务部门等）设备被入侵后，如何进行后续处理，确保企业内网的数据安全性？

A13：

断网、确认影响范围、溯源、开展事件调查、整改加固。

A14：

说实话，一般终端被入侵，除非太初级的脚本小子，本机的日志必定都被清理了，本机能查的东西很少，流量分析设备与中间链路安全设备可能是溯源最好的倚仗了。如果平时安全基础建设很差，那只能全面铺开查全部的设备，耗时耗力但无其他更好手段。

A15：

日志服务器是用来干啥的，再说日志只是一种方法而已，比如内存，抓包等等。

A16：

终端设备不会转存日志的。

A17：

得看什么情况，一般日志来源还是蛮多的，宿主机日志，应用日志，中间件日志，流量分析设备日志，AV杀毒日志，一般清除日志绝大部分还是集中在宿主机日志这一块。

A18：

电脑日志不会转存吧，大部分也装个火绒就结束了。

A19：

如果是终端的话，一般不会，服务器还可能会搞个日志服务器备份。

Q：请教一下，公司都是私人电脑在办公，经常性发生材料外泄的事情，这个有啥好的管控思路么？

A20：

禁用。入职就配发公司电脑，个人电脑不允许带入公司。

A21：

对，禁止个人电脑，要么就上云桌面，个人电脑合规问题扛不住。

A22：

建议不要用私人电脑，要不然管控起来，人家一句话：“你凭啥管控我的个人电脑”。已经踩过雷。

A：

1. 想办法让数据暴露的口子缩小，比方说上面大佬们说的限制外部设备连入；
2. 想办法梳理下系统上面的账号权限，下载数据等权限需要审批等；
3. 限制数据落盘，使用云盘等手段；
4. 数据脱离网络环境不可读或者外发途径可审。

A23：

谁负责谁管理，材料是谁写的，泄露就是谁的责任。为什么别人写的没泄露就你写的泄露了。

A24：

你这种怕是制度没发出来，业务就把你捶死了。合着IT不投入，还不让我用个人电脑了。想办法堵，也要给人家疏的选择。

A25：

所以还需要一些技术手段监控，主要有一些文件流转范围还蛮大的。

A26：

公司要有制度规定，把原因说清楚，或者给配电脑，办公本也没多少钱，至少给个选择。

A27：

个人电脑要界定属性，所有权是员工，使用权归公司，某种程度使用期间所属为公司，应当仅用于公司，是为“公司电脑”，所以不应用于个人用途，数据也为公司的。在离职时候，洗机之后，才是重新归属个人，并签更多协议防止数据恢复的风险。但总的来讲，对于敏感数据一定要把控，非必要不往这种“个人电脑公用的电脑”上存。

话题二：外网一个有威胁的文件，经过网闸摆渡，最终到内网也会重组回原来有威胁的文件，那网闸的意义是什么？

A1：

隔离了流量型攻击。

A2：

网络隔离，没有路由，你要是做了摆渡策略，它该进还是进。

A3：

内部服务器若有WEB漏洞、RCE漏洞，就被网闸挡住了。

A4：

就是不明白为什么会挡住，摆渡完要保证数据没变的吧，那原来有威胁，进来还是有威胁吧，清楚威胁应该是检测设备的功能吧，不是传统意义上网闸的功能了吧。

A5：

路由不可达就挡住了。比如你全网扫描，但你扫不到网闸后面的网段。

A6：

防主动型攻击，相比防火墙走的TCP/IP协议有更窄的攻击面。

A7：

网闸类似物理断网，路由只要对端网络设备不配置就可以了。

A8：

我也不明白网闸的意义。这拦截端口用防火墙就行，而且做得更好。

A9：

防火墙是基于ACL（TCP/IP），网闸是内部自定义协议。

防火墙：网络访问控制产品；
网闸：网络隔离产品；
光闸：单向导入产品。

安全机制：
防火墙：传统包过滤+部分应用层内容检查；
网闸：专用隔离部件+协议转换、信息流访问控制、内容过滤等；
光闸：光单向传输部件+协议转换、信息流访问控制、内容过滤等。

A10：

主要是不明白他实际的隔离原理，就像上面说的如果应用层面有漏洞，数据摆之后还是会被攻击。

A11：

其实是多种协议拆包器+匹配字符串+重放器。比较有技术含量就是拆包器的种类多以及匹配字符串规则库大。弱点比较明显，对于需要大缓存的请求处理速度慢或者不支持。

A12：

如果是狭义的网闸，并不是任何场景都能部署的。比如A网段和B网段，交互文件、媒体，用网闸摆渡过去，B网段是不能直接访问A网段的IP的，你用EXP、POC，根本没有目标去打。当然了，如果文件本身带有恶意代码，这个靠基础的摆渡也是无法防范的。

A13：

我觉得这东西可以看做就是个隔离设备，毕竟可以达到隔离效果的设备和软件有很多，不必太纠结。

本期观点总结

针对移动设备安全管理政策，讨论中提到了多种有效措施，包括禁止截屏、数据不落地、统一账号登陆等技术性措施，以及云电脑、零信任体系等整体方案。在员工设备被入侵后，建议断网、溯源、开展事件调查等步骤来保证企业内网数据安全。对于私人电脑在办公中可能导致的数据泄露问题，建议禁止个人电脑或者采用云桌面等方案，同时强调建立明确的制度规定和监控手段。综合而言，维护设备安全性需要综合考虑技术手段、管理政策和人员培训，确保移动办公既满足员工需求又保障企业数据安全。

在关于网闸的意义的讨论中，其作用主要体现在隔离流量型攻击、防止网络中的漏洞被利用、防止主动型攻击、实现网络隔离等方面。虽然在讨论中对网闸的实际隔离意义表示疑惑，认为在某些情况下仍可能存在安全漏洞，但总体来说，网闸作为一种网络隔离设备，在特定场景下仍能发挥一定的安全作用。

近期群内答疑解惑

Q：涉及到某组件有反序列化漏洞，但是实际项目中不涉及反序列化操作，这个反序列化漏洞成立不？

A1：

这个不涉及反序列化操作的结论怎么得出的？

A2：

没有用到相关的功能。

A3：

要判断能不能被利用，漏洞被利用才是威胁。

A4：

有漏洞，被利用，有损害，才算数。

A5：

前端数据传后端都要进行反序列化。

A6：

两个端传输都要啊，怎么可能没有，要不为什么要用相关组件呢。

A7：

很明显，其实准备接受风险了，就看你的判断了。

A8：

用哪个组件除非有很强的执行力，很难阻止，做的都是事后补救。

A9：

让报告方给报告吧，没报告很难分析的。

A10：

如果代码层控制, 要怎么做？

A11：

要分析利用链，打断就行。

A12：

设置代码审计门禁，哪一级风险不允许上线，能做到？

A13：

参数过滤，或者强制把类进行转换，这个要和研发沟通，一般是过滤参数。

A14：

展开讲讲？

A15：

这个就是打断利用链，可能之前的类可以调用相关漏洞，转了之后就过不去了，但是又不影响业务，这个是要研发分析的。

Q：你们公司有规范员工使用一些工具，指定版本么，包括开发编辑器、远程协助软件等？

A1：

标准清单外的软件使用需要申请、审批。

A2：

我们是规定的不能用。

A3：

你们的通知咋发的，就这种禁止某类型软件使用固定的，或者禁止哪些的文案有么？

A4：

您好：

按照《XXXX软件管理制度》规定，办公软件禁止安装列表，如XXX软件为公司电脑禁止安装的软件。具体禁止安装列表请参考附件。
烦请尽快自查您的电脑，如有安装以上不合规软件，请立即卸载！继续使用的，存在法律风险！卸载完成后，烦请回复本邮箱确认已卸载。
若您的电脑终端中未安装相关软件，也请回复告知，以便更新记录，谢谢配合
如有任何疑问请联络我们，谢谢

提醒：
IT部门将设定软件限制使用策略，定期检查终端软件合规性并上报公司；
《XXXX软件管理制度》见附件或参考链接；

如有任何疑问，可以咨询XXXX。

本邮件涉及公司商业秘密，适用公司有关规定，禁止外传，谢谢配合。

Q：大家服务器基线一般要求多久修复，有什么国家行业标准吗？

A1：

安全基线一般系统上线前就要满足，如果是存量的话，这个没有时间要求吧。

A2：

每台机器的情况不一样，用时也不一样 ，有人维护的、 熟悉的就快，如果机器长时间没人维护，一些基线修改也可能影响业务，这种就慢。

甲方群最新动态

上期话题回顾：

如何保障日志完整性；JS代码深度混淆

活动预告：

议题征集&报名开启 | FreeBuf企业安全俱乐部·广州站起航

活动回顾：

内含惊喜赠书活动，FreeBuf 甲方社群直播完整回顾来啦！

近期热点资讯

LockBit官宣复活，表示将更多针对政府部门

微软发布针对AIGC的红队测试开源工具

图片也带”毒“了？ 黑客使用新技术推送 Remcos RAT

NIST发布里程碑式网络安全框架2.0版本

许多主要新闻媒体正屏蔽 OpenAI 爬虫

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1300+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。