单位安全基线需“过五关”
2017-03-11
单位在经历过了一系列的数据丢失之殇、文件被锁之疫、以及服务中断之悖后,IT部门的领导要求对本单位IT系统进行一次彻底的梳理与排查,提出整改目标,设计安全体系的基线,从而铲除各类坑点和隐患。
单位IT人员先后开展了访用户、钻机房、登设备、查线路、测数据等活动,经历了半个月的“摸爬滚打”之后,终于弄清了本单位当前所使用的庞大的IT服务系统,以及各个环节中所涉及到的安全体系结构,并且草拟了一份基线的报告。下面来具体看看到底列出了哪些内容,值得我们在单位的安全运维管理中进行借鉴的。
体系基线的目标:为抵御来自外部的网络攻击和控制内部的不当变更,单位IT系统安全体系应具有多层次的、立体的防护结构。其总体上可分为边界安全和内部治理,在逻辑上通过硬件、软件、网络、系统和管理,形成五个层面的深度防护工事。
第一关:硬件
1.机房与数据中心
服务器或数据中心机房应安装机械或电子锁,并保持常锁状态。开锁权限仅掌握在有限数量的人员手中;
进出机房都要有纸质的或电子的记录;
机房应配备有架空防静电地板、7×24小时空调、UPS、安全摄像头、以及智能配线架等;
如果是数据中心,则要求具备有基于ITIL的服务管理,还应具有7×24小时监控、双路供电和双路上网线路接入,以及适当的发电设备。这些可以参照ISO27011:2008 或 SSAE 16等机房相关的标准。
2.用户端
统一将具有服务支持(如MS)的单位定制的操作系统镜像安装到用户电脑上;
通过组策略(Group Policy)禁止用户擅自修改系统设置、禁止用户擅自安装软件,并且启用规定时间无使用的自动锁屏;
浏览器里的代理设置可以被用户临时修改,但会在下一次登录时自动恢复。不过,用户无法修改浏览器的安全和隐私设置;
预安装防病毒软件且锁定,以使用户无法禁用或终止其守护进程;
用户不能以本地管理员身份登录电脑,无写入或修改系统注册表的权限,也无法将电脑退出单位的域或修改加入到其他域;
通过信息资产配置管理工具(如SCCM)对单位内用户电脑进行统一的注册、更新、修改和信息收集等管理。
用户端硬盘启用加密,以保证如笔记本电脑之类的设备丢失时硬盘上的文件机密性。
3.服务器端
统一将具有服务支持(如MS等)的操作系统镜像安装到服务器上;
预安装企业版防病毒软件并实现集中管理和更新;
根据标准化服务器的系统安装Checklist来进行操作并逐步核对;
及时测试、审核并给相关服务器打上补丁。注意审查更新系统的报告,以确认完成;
服务器应在初始安装的时候就予以安全加固;对于处于非军事区(DMZ)的外部服务器须有更多加固设置。
对于单位里所用到的所有服务器应该有一个全量的列表,此表应根据服务器的硬件类型、服务功能和使用范围进行分类。
4.移动设备
移动设备连接到单位邮箱时必须通过认证;
在设备丢失时,Helpdesk通过MDM系统可远程锁定或擦除设备上的数据;
启用设备自动锁屏等安全策略。
第二关:软件
1.一般应用程序
针对不同的应用程序,设置不同的用户组;
将各种应用程序的登录方式统一为单点登录(SSO),以实现用户账号权限的自动匹配;
对于单位所用到的所有应用程序应有一个全量的列表,此表应根据程序功能和使用范围进行分类;
每一种应用应该在表中具有版本号、许可证、交付方式、类别、基本描述、以及是否外网可用等特征项;
如有条件,最好能拟出一个数据是如何做本单位的各个应用及系统之间进行流转的图表,以方便对各个应用的协同工作状态和数据的走向有个宏观的认识。当然,也可以将该图表放大放置在IT部门或Helpdesk,以便在出现系统或服务故障时,能清晰的识别并标注出问题的环节。
2.文档及其管理平台
各类工作文档需存放在指定的共享目录下、网络盘里、或者导入到专门的文档管理与协作平台,而非电脑的本地磁盘上;
用户存储文档时,默认情况下为公开属性,如有需要可以添加相关安全设置,包括:私有属性、可以访问的用户与组、以及读/写/改/删等权限;
管理平台持续记录用户对文档的任何访问操作,该记录日志应被删除;
管理平台能够对批量删除/转发/导出等不合规的操作行为予以报警。
3.邮件管控
规范邮件系统网络架构,厘清邮件出入本系统的逻辑路径。对跨国企业,可按照区域划分中转的Hub;
对出入本系统的邮件配置相应的反垃圾邮件、邮件黑(白)名单、邮件加密等服务;
定期对邮件系统进行风险评估,比如可以用到MS ExRAP;
如果除了普通邮件客户端,单位还提供Web版的外网邮件访问方式,相关的安全设置也应有所配置,比如可以用到MS ISA;
禁止用户批量转发或设置为自动转发单位邮箱里的邮件;
运用反垃圾邮件系统通过扫描各种入站邮件,来防止钓鱼和保障内网安全;
为保证邮件系统的持续可用性,可适当采用SaaS服务来保证单位内邮件服务中断时,用户仍可用公网途径收发邮件。
第三关:网络
1.网络连接
单位上网线路建议采用双线制,可实现不同应用业务从各自线路与外部连接,并实现互相备份;
对有多个分支机构的单位,可以将需要与区域站点(或总部)协作的应用业务都通过一个WAN网专线进出;开启VPN建立数据通信专有通道,以实现业务数据的保密性。而另一条线路,提供员工上网以及在WAN出现故障时切换所使用(如通过BGP的配置);
运用工具发现并绘制详细的网络连接拓扑结构图。
网络连接设备(如:防火墙、路由器、交换机等)都遵循统一的配置模板,各个设备的配置都有集中的备份与归档;
有详尽的网络设备恢复方案与操作步骤的参考文档。
2.非军事区(DMZ)
在活动目录里划分单独的域给DMZ;
仅为外部用户提供安全套接层(SSL)的方式来访问DMZ里的Web资源;
将Outlook Web Access/ActiveSync/Citrix/Office Communications Server/VPN Gateway/SharePoint Extranet等服务放置在DMZ里。
3.用户上网规则
所有用户须持有有效的域账号,并通过代理服务器来访问互联网;
代理服务器对出入数据包执行病毒扫描、请求特征分析、策略判断、跟踪与记录等操作。
4.无线访问
单位提供统一的无线网络ID,并实现区域全覆盖;
通过配置实现无线网络与局域网的互通,域账号能在无线网络中访问所有单位资源;非域账号登录到无线网络后,仅能向外访问到互联网。
第四关:系统
1.备份
将备份视为一个单独的系统,列出单位所使用到的备份类型(如FC SAN、IP SAN(iSCSI)还 是 NAS)、硬件设备、软件特征、数据源及路径、备份策略、恢复数据点和恢复时间等;
对于有多个分支机构的单位,还可按地域厘清各个备份系统之间的联系和数据流转走向;
制定将备份好的介质离线投递到其他安全位置的相关策略,并严格执行。
2.电话与语音信箱
追踪打出的电话,以识别打往未授权国家与号码的国际长途;
以要求用户输入规定的前缀代码的方式,实现长途电话的计费;
系统在次月产生上个月每一门电话的通话清单与费用列表;
用户离职后直接呼叫转移其号码到继任者,并导出其语音信箱后立即从系统中删除;
对于有多个分支机构的单位,可通过使用入站电话重定向(ICR)实现将出现故障的某个区域的所有打入电话路由到他处。
3.远程访问
为实现员工在办公区以外能够对单位内部资源的访问,既允许在任何电脑上基于网页的远程桌面与应用(如Citrix),也支持具有单位统一系统镜像的笔记本上的VPN连接;
认证方式上采用灵活的支持多种通信方式的双因素认证模式;
为合作伙伴提供非本域的账号和受限的VPN远程连接方式。
第五关:管理
1.账号、组与密码
所有人都使用活动目录的域账号来登录单位的服务器和用户端电脑;
所有账号,在原则上具有相同的访问级别,而无任何特殊的访问权限;
通过基于角色的访问控制来实现基本用户账号最小特权的管理;
定期对活动目录进行风险评估,例如可以用到MS ADRAP;
仅授权单一部门对域账号进行统一的集中化管理;
只有IT部门员工才有、且能使用第二个账号来进行管理类事物操作。所有这些账号都以ADM_开头以便于跟踪和记录;
按职权分离和须知原则设定不同活动目录用户组,以方便跟踪、记录和管控;
普通账号遵循通用的密码策略;而对于ADM账号,则采用更严格的密码策略。
2.信息平台
为保持安全团队内部的及时协作、以及与外部的高效沟通,应设置一个统一的内网管理平台入口(如一个SharePoint站点)来实现集中化管理;
平台内容包括:安全信息的发布、事件情况的查询、项目进度的更新、参考文件的存储、负责人的公示等;
平台应能实现远程登录与运维,以提高整体效率;
使用统一的平台解决方案实现对所有的事件、事故、问题、请求以及变更的管理。Helpdesk和所有IT部门员工都有权限使用此平台并能获取平台推送的消息;
使用统一的平台解决方案实现对所有项目的进度、工时和时间的跟踪与管理。所有的项目经理、职能经理和高级工程师都有权限使用此平台并能获取平台推送的消息。一般IT人员仅能Read only该平台。
3.网络与设备监控
使用安全事件管理产品进行日志集中管理与联动;
监控各网络设备、服务器硬盘使用率与在线状态等;
监控LAN、WAN、WIFI 和上网线路状态;
对于单位网络中所用到的IDS/IPS以及DLP产品提供监控与响应。
4.应急响应与审计
具有既定的应急响应流程,并定期更新之,且周期性进行演练;
定期进行服务器(Web)、网络、客户端、BYOD等类型的渗透测试;
定期(每年一次或两次)执行内部审计和外部审计;
接受上下游合作商及客户所主导的各类安全评审。
5.培训与手册
定期以电子邮件、海报或组织员工面对面开展信息系统基本技能与安全意识的相关培训;
制定并定期更新面对全员发放的风险意识管理和速查手册。
