企业信息安全管理体系及防护要点

2018-08-11◆肖勇

网络安全技术与应用 2018年8期

◆肖勇

企业信息安全管理体系及防护要点

◆肖勇

(北京天融信网络安全技术有限公司广西 530000)

本文重点介绍如何对信息安全风险进行有效管理，建立健全企业信息安全管理体系，确保企业全体员工理解并执行信息安全管理体系文件，持续改进管理体系的有效性，实现企业信息安全方针目标。主要对传统IT系统安全、云安全、大数据安全等方面进行相应的安全技术防护。企业信息安全方针可概述为：积极预防、全面管理、控制风险、保障安全。

信息安全管理；安全体系；安全风险管理；安全防御

0 引言

时代发展自IT时代已走向DT时代，IT（Information Technology）时代是以自我控制、自我管理为主，而DT（Data Technology）时代，它是以服务大众、激发生产力为主。2016年3月，我国《国民经济和社会发展第十三个五年规划纲要》中明确提出了“实施国家大数据战略,把大数据作为基础性战略资源”。

新时代体制下信息安全管理思想随之变化，新的管理理念也要重新定义，在继承IT时代下好的经验基础上，用发展的思想看DT技术，DT时代下的安全体系也应该用迭代的方式进行信息安全管理。见表1两个时代的异同展示。

无论是云平台还是最基础的IT平台，在大数据时代下更应该做好信息安全管理，防止信息泄露，做好应急响应，维持好业务连续性。

1 信息安全管理体系过程模式

企业从ISO/IEC27001标准附录A中的13个控制项，35个控制目标，114个控制措施中选择控制目标和控制措施，来处理被识别的安全风险。

企业高层领导应对ISMS的规划（P）、实施（D）检查（C）、处置（A）提供必要的承诺和支持，为企业员工提供执行ISMS职责所必需的教育培训，如图1。

图1 信息安全管理体系过程模式图

表1 IT与DT的区别

企业应建立内部信息安全管理体系，并且每年做一次差距分析和整改纠正，企业领导要适度关注，建立信息安全管理小组，有效执行PDCA。

2 信息安全管理体系安全保障方法及防护要点

2.1 人员和资产安全

无论在哪个领域，发生安全事件时首先要保护人员的生命安全，其次考虑其他的资产安全以及对企业的影响。

通常企业在人员录用时，应做到对人员背景进行基本调查。企业应对人员进行岗前培训、在岗监督、离岗时删除所有账号和权限等全流程有效管理。据官方统计，大多数的安全问题是人为因素造成，所以控制好人为因素，能一定程度上实现对其他人员和资产安全的保护。此环节的防护要点可从安全管理体系建设中的人力资源安全中体现，通常为正式管理办法，要根据管理办法落实，并开展定时间检查和审计。

资产安全则通过风险评估、访问控制等技术手段来保障，通过制定规章制度等管理手段，限制违规行为和暴露安全问题。当然，对于资产安全的防护，上文只是做了简述，对应安全体系建设，资产安全的防护要点可在资产管理中进行细化，如资产的负责、信息分类、介质处置，另外还有访问控制物理和环境安全两个大的控制项。

2.2 安全风险评估及漏洞管理

企业实施安全风险评估是一种战略性的考虑，其结果将受到企业的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

安全风险评估识别企业内信息资产的安全脆弱性、安全威胁、已有安全措施、风险大小等。需评估的资产是具有价值的信息或资源，它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象和人员等。

安全漏洞在本文中理解成广义的漏洞，指系统漏洞、程序bug、业务流程逻辑错误、管理流程、以及风火水电存在的隐患等。通过风险评估发现问题（漏洞），对漏洞进行风险计算，输出风险评估报告和整改方案。对存在的漏洞进行闭环处理，制定漏洞处理机制等，实现对漏洞的安全管理。

2.3 安全扫描渗透

根据业务系统的重要性，可每季度或每半年进行安全检测。这里的防护要点是优先对外暴露面进行安全扫描和渗透测试，其次再对内网进行安全扫描和渗透测试；而对于无法修复的漏洞需要做好访问控制以及安全策略，如设置白名单等。此要点为要定时去开展此工作，但遇到特殊漏洞类似出现Oday等情况应该立即做应急响应。

下面重点简述下综合渗透，其主要有黑白盒子测试，内容主要包括SQL注入测试、越权测试、跨站脚本测试、弱口令测试、文件上传测试、文件下载测试、文件包含测试、不安全的URL访问测试、敏感信息泄露测试、未授权访问测试、信息未加密测试、认证会话访问测试、目录浏览测试、静态代码审计以及黑盒测试等。

图2 渗透测试的一般过程

多数企业没有自己专业的安全团队，一般委托其他安全公司进行扫描渗透加固工作，渗透的流程如图2所示，需注意一点，在开始渗透前均要由系统所属方出具渗透测试委托书等书面材料。

2.4 软件生命周期安全管理

现企业中均使用系统软件来完成大部分工作，例如网管系统、OA系统、CRM系统和一些对外的WEB服务等。提及软件不得不关注软件生命周期的安全，要做到安全开发设计、安全运营、安全退服下线全生命周期安全管理。

在需求分析和设计阶段就要考虑到安全问题；在代码编写时要注重逻辑错误和严格执行过滤，包括字符、目录、后缀名等；交付测试也要严格控制，最好进行代码审计测试，但目前的大多数情况均为先上线，出现漏洞后才去补救，往往会造成极大的危害和影响；运营阶段也需定时开展渗透测试及代码审计，及时发现漏洞并修复；退服下线阶段做好数据安全迁移或者信息脱敏处理。

同样对应安全体系中，系统获取、开发和维护是主要说明应用软件和系统安全控制的文件，需关注的是要严格按照规范性文件或流程来开展，对应用软件全生命周期进行安全防护。

2.5 数据安全防护和数据防泄密

本文中的数据指的是生产数据和一些用户的信息，包括姓名、身份证号码、电话、家庭住址和一些银行账号、系统登录账号和口令，这里的数据我们也理解为信息。

信息数据的安全我们采用密码学的方法进行保护，也就是我们常说的加密解密。信息从产生、传输到存储、到被分享、到最后的销毁都需采用加密技术进行加密，信息被分享时根据客体级别进行脱敏处理，信息销毁时采用不可还原机制。但由于全信息加密成本问题，可对关键信息进行加密处理。

系统口令应控制复杂程度，至少8位以上的字母、符号、数字的混合，并加密保存和定期要求变更等。在传输加密中的应用提几个名词，例如CA、HTTPS、SSH等。在关键系统登录或访问重要信息时，需要采用多认证机制，也可在关键操作点，采用金库模式“关键操作、多人完成、分权制衡”的原则，即访问控制。

企业可根据条件选择部署数据防泄密系统，一般以深度内容识别技术为核心，在数据存储、传输和使用过程中，发现并识别敏感数据安全隐患，确保敏感数据的合规使用，防止敏感数据泄露的数据安全保护系统。可定义企业中的敏感信息，制定对不同等级机密信息的监视和防护策略，多维度敏感数据检测，防止机密信息泄露。

上述只简要介绍，对于数据的安全的防护要点，除了有技术上的支持，管理上也不容忽视，需要在安全系统管理文件中细化。对应数据安全方面，从以下几个控制文件说明与细化：资产管理、访问控制、密码学、通信安全等方面。

2.6 业务连续性及应急保障

企业应注重建立业务连续性和灾难恢复计划，同时建立较完善的应急预案等办法，保障业务系统正常稳定运行。

如何做到保障业务连续性。首先，将重要数据业务进行异地备份、核心链路进行冗余备份、定期巡检数据及日志等信息的备份和运行情况；其次，根据企业实际情况，撰写包括DDOS攻击、网页防篡改、木马后门、系统中毒以及主链路中断切换备用链路等应急预案，定期开展应急演练，总结经验，输出报告；最后就是应急保障，企业应安排有重大保障经验的人员进行保障，若有条件可邀请有资质的安全厂家进行协助，以保障突发的安全事故。通常在应急处置中，有经验的安全人员会首先通过查看系统日志的方式打开突破口，所以日志的保存非常关键，若有条件可在企业内部部署日志收集与分析系统。

业务连续性的防护要点对应安全体系中的业务连续性管理的信息安全方面，应建立和定期开展各种场景的应急演练，确保企业的业务连续性。