APP下载

企业信息安全管理体系及防护要点

2018-08-11◆肖

网络安全技术与应用 2018年8期
关键词:漏洞管理体系信息安全

◆肖 勇



企业信息安全管理体系及防护要点

◆肖 勇

(北京天融信网络安全技术有限公司 广西 530000)

本文重点介绍如何对信息安全风险进行有效管理,建立健全企业信息安全管理体系,确保企业全体员工理解并执行信息安全管理体系文件,持续改进管理体系的有效性,实现企业信息安全方针目标。主要对传统IT系统安全、云安全、大数据安全等方面进行相应的安全技术防护。企业信息安全方针可概述为:积极预防、全面管理、控制风险、保障安全。

信息安全管理;安全体系;安全风险管理;安全防御

0 引言

时代发展自IT时代已走向DT时代,IT(Information Technology)时代是以自我控制、自我管理为主,而DT(Data Technology)时代,它是以服务大众、激发生产力为主。2016年3月,我国《国民经济和社会发展第十三个五年规划纲要》中明确提出了“实施国家大数据战略,把大数据作为基础性战略资源”。

新时代体制下信息安全管理思想随之变化,新的管理理念也要重新定义,在继承IT时代下好的经验基础上,用发展的思想看DT技术,DT时代下的安全体系也应该用迭代的方式进行信息安全管理。见表1两个时代的异同展示。

无论是云平台还是最基础的IT平台,在大数据时代下更应该做好信息安全管理,防止信息泄露,做好应急响应,维持好业务连续性。

1 信息安全管理体系过程模式

企业从ISO/IEC27001标准附录A中的13个控制项,35个控制目标,114个控制措施中选择控制目标和控制措施,来处理被识别的安全风险。

企业高层领导应对ISMS的规划(P)、实施(D)检查(C)、处置(A)提供必要的承诺和支持,为企业员工提供执行ISMS职责所必需的教育培训,如图1。

图1 信息安全管理体系过程模式图

表1 IT与DT的区别

企业应建立内部信息安全管理体系,并且每年做一次差距分析和整改纠正,企业领导要适度关注,建立信息安全管理小组,有效执行PDCA。

2 信息安全管理体系安全保障方法及防护要点

2.1 人员和资产安全

无论在哪个领域,发生安全事件时首先要保护人员的生命安全,其次考虑其他的资产安全以及对企业的影响。

通常企业在人员录用时,应做到对人员背景进行基本调查。企业应对人员进行岗前培训、在岗监督、离岗时删除所有账号和权限等全流程有效管理。据官方统计,大多数的安全问题是人为因素造成,所以控制好人为因素,能一定程度上实现对其他人员和资产安全的保护。此环节的防护要点可从安全管理体系建设中的人力资源安全中体现,通常为正式管理办法,要根据管理办法落实,并开展定时间检查和审计。

资产安全则通过风险评估、访问控制等技术手段来保障,通过制定规章制度等管理手段,限制违规行为和暴露安全问题。当然,对于资产安全的防护,上文只是做了简述,对应安全体系建设,资产安全的防护要点可在资产管理中进行细化,如资产的负责、信息分类、介质处置,另外还有访问控制物理和环境安全两个大的控制项。

2.2 安全风险评估及漏洞管理

企业实施安全风险评估是一种战略性的考虑,其结果将受到企业的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

安全风险评估识别企业内信息资产的安全脆弱性、安全威胁、已有安全措施、风险大小等。需评估的资产是具有价值的信息或资源,它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象和人员等。

安全漏洞在本文中理解成广义的漏洞,指系统漏洞、程序bug、业务流程逻辑错误、管理流程、以及风火水电存在的隐患等。通过风险评估发现问题(漏洞),对漏洞进行风险计算,输出风险评估报告和整改方案。对存在的漏洞进行闭环处理,制定漏洞处理机制等,实现对漏洞的安全管理。

2.3 安全扫描渗透

根据业务系统的重要性,可每季度或每半年进行安全检测。这里的防护要点是优先对外暴露面进行安全扫描和渗透测试,其次再对内网进行安全扫描和渗透测试;而对于无法修复的漏洞需要做好访问控制以及安全策略,如设置白名单等。此要点为要定时去开展此工作,但遇到特殊漏洞类似出现Oday等情况应该立即做应急响应。

下面重点简述下综合渗透,其主要有黑白盒子测试,内容主要包括SQL注入测试、越权测试、跨站脚本测试、弱口令测试、文件上传测试、文件下载测试、文件包含测试、不安全的URL访问测试、敏感信息泄露测试、未授权访问测试、信息未加密测试、认证会话访问测试、目录浏览测试、静态代码审计以及黑盒测试等。

图2 渗透测试的一般过程

多数企业没有自己专业的安全团队,一般委托其他安全公司进行扫描渗透加固工作,渗透的流程如图2所示,需注意一点,在开始渗透前均要由系统所属方出具渗透测试委托书等书面材料。

2.4 软件生命周期安全管理

现企业中均使用系统软件来完成大部分工作,例如网管系统、OA系统、CRM系统和一些对外的WEB服务等。提及软件不得不关注软件生命周期的安全,要做到安全开发设计、安全运营、安全退服下线全生命周期安全管理。

在需求分析和设计阶段就要考虑到安全问题;在代码编写时要注重逻辑错误和严格执行过滤,包括字符、目录、后缀名等;交付测试也要严格控制,最好进行代码审计测试,但目前的大多数情况均为先上线,出现漏洞后才去补救,往往会造成极大的危害和影响;运营阶段也需定时开展渗透测试及代码审计,及时发现漏洞并修复;退服下线阶段做好数据安全迁移或者信息脱敏处理。

同样对应安全体系中,系统获取、开发和维护是主要说明应用软件和系统安全控制的文件,需关注的是要严格按照规范性文件或流程来开展,对应用软件全生命周期进行安全防护。

2.5 数据安全防护和数据防泄密

本文中的数据指的是生产数据和一些用户的信息,包括姓名、身份证号码、电话、家庭住址和一些银行账号、系统登录账号和口令,这里的数据我们也理解为信息。

信息数据的安全我们采用密码学的方法进行保护,也就是我们常说的加密解密。信息从产生、传输到存储、到被分享、到最后的销毁都需采用加密技术进行加密,信息被分享时根据客体级别进行脱敏处理,信息销毁时采用不可还原机制。但由于全信息加密成本问题,可对关键信息进行加密处理。

系统口令应控制复杂程度,至少8位以上的字母、符号、数字的混合,并加密保存和定期要求变更等。在传输加密中的应用提几个名词,例如CA、HTTPS、SSH等。在关键系统登录或访问重要信息时,需要采用多认证机制,也可在关键操作点,采用金库模式“关键操作、多人完成、分权制衡”的原则,即访问控制。

企业可根据条件选择部署数据防泄密系统,一般以深度内容识别技术为核心,在数据存储、传输和使用过程中,发现并识别敏感数据安全隐患,确保敏感数据的合规使用,防止敏感数据泄露的数据安全保护系统。可定义企业中的敏感信息,制定对不同等级机密信息的监视和防护策略,多维度敏感数据检测,防止机密信息泄露。

上述只简要介绍,对于数据的安全的防护要点,除了有技术上的支持,管理上也不容忽视,需要在安全系统管理文件中细化。对应数据安全方面,从以下几个控制文件说明与细化:资产管理、访问控制、密码学、通信安全等方面。

2.6 业务连续性及应急保障

企业应注重建立业务连续性和灾难恢复计划,同时建立较完善的应急预案等办法,保障业务系统正常稳定运行。

如何做到保障业务连续性。首先,将重要数据业务进行异地备份、核心链路进行冗余备份、定期巡检数据及日志等信息的备份和运行情况;其次,根据企业实际情况,撰写包括DDOS攻击、网页防篡改、木马后门、系统中毒以及主链路中断切换备用链路等应急预案,定期开展应急演练,总结经验,输出报告; 最后就是应急保障,企业应安排有重大保障经验的人员进行保障,若有条件可邀请有资质的安全厂家进行协助,以保障突发的安全事故。通常在应急处置中,有经验的安全人员会首先通过查看系统日志的方式打开突破口,所以日志的保存非常关键,若有条件可在企业内部部署日志收集与分析系统。

业务连续性的防护要点对应安全体系中的业务连续性管理的信息安全方面,应建立和定期开展各种场景的应急演练,确保企业的业务连续性。

2.7 安全审计和法律法规

信息安全评审和符合法律要求是安全体系中符合性控制项中的两个控制点,下面也简要解释其要点。

企业内部开展安全审计,是企业注重安全的体现,审计内容包括人员访谈、文档、流程、日志、漏洞等多方面,其目的是为了发现企业在安全管理中存在的安全问题,并作为改正和调整的依据。

对于法律法规,企业应熟悉法律法规、知悉我国法律,并遵守法律法规的要求,在许可的范围内开展安全工作。例如依据我国《安全法》要求,企业需开展等级保护工作等。

3 安全设备及产品

目前网络安全环境日益严峻,企业面临的安全威胁逐步增加,除了构成网络的速通设备和传统的防火墙、入侵检测设备等。目前国内也根据市场需求问世了很多安全产品,目的就是能快速发现、动态感知网络环境的变化和安全趋势,最终将信息安全威胁由被动防御变成主动防御。

在专业安全领域,产品的出现也是依托在安全解决方案的体系下,方案和产品相互配合才能达到可观的效果,在此也简单罗列一些安全产品:安全审计系统、防泄密系统、电子签章系统、风险探知系统、网站监控系统、异常流量管理与抗拒绝服务系统以及各类安全网关。

虽然各类网络安全产品的出现,能帮助我们解决大部分的安全问题,但是作为安全人员千万不能怠慢,毕竟对这些设备合理运用并达到一个最优防护效果的探究,不亚于传统的任何一个安全工作,信息安全管理体系中最重要的因素还是在人。

4 总结

企业建立完整的信息安全管理体系,主要是通过主流的安全思想和先进的安全技术,从管理和技术手段一同着手。但据统计,企业中发生信息安全事件,70%以上都是由人员引起,所以员工的信息安全意识教育显的尤为重要,信息安全事件防范重点是“七分管理,三分技术”。

对安全事件可通过事前检测及预防、事中防御、事后发现三个环节,以安全事件和漏洞闭环管理等思路,建立安全监控的技术手段、抵御手段、审计溯源手段和有效的管理制度。在推动信息安全管理体系时,得到企业高层领导的足够支持尤其重要。

本文中无法具体到每个安全领域的控制和防御要点,但已经基本提及了各大关键点。信息安全防护要点可参见信息安全管理体系中14个控制项、35个控制目标、114个控制措施,通过不断的执行PDCA方法,完善安全管理和防范安全问题。

[1]ISO/IEC 27002:2013.信息技术-安全技术-信息安全控制实用规则.

[2]ISO/IEC 27005:2011.信息技术-安全技术-信息安全风险管理.

[3]姚永雷,马利.计算机网络安全(2版)[M].北京:清华大学出版社,2011.

猜你喜欢

漏洞管理体系信息安全
漏洞
对质量管理体系不符合项整改的理解与实施
基于KPI的绩效管理体系应用研究
当代经济管理体系中的会计与统计分析
控制系统价格管理体系探索与实践
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
三明:“两票制”堵住加价漏洞
漏洞在哪儿