闻泰科技暂失安世控制权背后：转型关键期遭遇“精准一击” 管理层刚换血即迎大考

lovejuan0104

把所有的核心资产全卖了，只剩安世，最后还被摆了一道，闻泰科技可能要凉凉了

wifai

要战八国联军了

—じ☆ve人生—

常规的安全域划分往往根据主机功能来划定不同的边界，提供不同的安全防护措施和管理机制，并设置严格的访问策略来约束域内的主机活动。以银行业域环境为例的安全域划分，主要包含3个网络区域：DMZ区、网银区及核心区。其中DMZ区为银行门户网站等Web站点提供服务支持，并处理相关内外交互；网银区为网上银行提供服务基础，并根据不同交易需求进行对应数据处理与交互；核心区则属于重要网段，包含其内网办公人员的办公网终端区、内部研发生产区以及管理信息系统（MIS）和决策支持系统（DSS）核心区。在域树拓扑中，DMZ区和网银区分别为两个子域，在访问控制上彼此独立，禁止彼此间的访问，同时禁止DMZ区和网银区两个子域向核心区内部域环境的访问，仅允许外部网络访问上述两个子域，前端边界防火墙以及WAF/IDS/F5集群等为DMZ区和网银区两个子域提供安全能力，将其与外网环境分离开来。核心区则作为重要网段位于拓扑后端，并单独拥有核心防火墙等安全设施，同时办公网终端区、内部研发生产区以及MIS/DSS核心区将设置为彼此独立的子域，需要满足特定访问控制要求方可彼此访问，同时严格限制与检测核心区3个子域与DMZ区、网银区子域之间的网络通信，仅允许常规的业务更新或运维操作，并禁止一切外部来源或者DMZ区、网银区子域来源的对核心区的访问请求，确保更为良好的安全水平。以上述安全域划分为例，当进行内网渗透时，我们往往已获得DMZ区或网银区某台主机的控制权限，希望借助该权限完成对当前子域其他主机的控制，并进一步扩展控制权到其他域环境，这需要大量的测试域环境间的访问规则，并发现其中的疏漏。同时从渗透难度而言，对核心区内部3个子域的渗透难度将远大于DMZ区或网银区，因此可以反推出各网络的安全级别如下。外部网络＜DMZ区/网银区＜核心区与之类似，在通常情况下，各类目标网络的安全级别往往都是“外部网络＜DMZ区＜核心区/生产区”，而我们内网渗透的目标便是尽可能地获得最高安全级别网络中域环境的控制权，从而实现对业务的完全控制。