企業(yè)信息安全管理體系及防護(hù)要點(diǎn)

◆肖 勇

?

企業(yè)信息安全管理體系及防護(hù)要點(diǎn)

◆肖 勇

(北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 廣西 530000)

本文重點(diǎn)介紹如何對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，建立健全企業(yè)信息安全管理體系，確保企業(yè)全體員工理解并執(zhí)行信息安全管理體系文件，持續(xù)改進(jìn)管理體系的有效性，實(shí)現(xiàn)企業(yè)信息安全方針目標(biāo)。主要對(duì)傳統(tǒng)IT系統(tǒng)安全、云安全、大數(shù)據(jù)安全等方面進(jìn)行相應(yīng)的安全技術(shù)防護(hù)。企業(yè)信息安全方針可概述為：積極預(yù)防、全面管理、控制風(fēng)險(xiǎn)、保障安全。

信息安全管理；安全體系；安全風(fēng)險(xiǎn)管理；安全防御

0 引言

時(shí)代發(fā)展自IT時(shí)代已走向DT時(shí)代，IT（Information Technology）時(shí)代是以自我控制、自我管理為主，而DT（Data Technology）時(shí)代，它是以服務(wù)大眾、激發(fā)生產(chǎn)力為主。2016年3月，我國(guó)《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》中明確提出了“實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略,把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源”。

新時(shí)代體制下信息安全管理思想隨之變化，新的管理理念也要重新定義，在繼承IT時(shí)代下好的經(jīng)驗(yàn)基礎(chǔ)上，用發(fā)展的思想看DT技術(shù)，DT時(shí)代下的安全體系也應(yīng)該用迭代的方式進(jìn)行信息安全管理。見表1兩個(gè)時(shí)代的異同展示。

無(wú)論是云平臺(tái)還是最基礎(chǔ)的IT平臺(tái)，在大數(shù)據(jù)時(shí)代下更應(yīng)該做好信息安全管理，防止信息泄露，做好應(yīng)急響應(yīng)，維持好業(yè)務(wù)連續(xù)性。

1 信息安全管理體系過(guò)程模式

企業(yè)從ISO/IEC27001標(biāo)準(zhǔn)附錄A中的13個(gè)控制項(xiàng)，35個(gè)控制目標(biāo)，114個(gè)控制措施中選擇控制目標(biāo)和控制措施，來(lái)處理被識(shí)別的安全風(fēng)險(xiǎn)。

企業(yè)高層領(lǐng)導(dǎo)應(yīng)對(duì)ISMS的規(guī)劃（P）、實(shí)施（D）檢查（C）、處置（A）提供必要的承諾和支持，為企業(yè)員工提供執(zhí)行ISMS職責(zé)所必需的教育培訓(xùn)，如圖1。

圖1 信息安全管理體系過(guò)程模式圖

表1 IT與DT的區(qū)別

企業(yè)應(yīng)建立內(nèi)部信息安全管理體系，并且每年做一次差距分析和整改糾正，企業(yè)領(lǐng)導(dǎo)要適度關(guān)注，建立信息安全管理小組，有效執(zhí)行PDCA。

2 信息安全管理體系安全保障方法及防護(hù)要點(diǎn)

2.1 人員和資產(chǎn)安全

無(wú)論在哪個(gè)領(lǐng)域，發(fā)生安全事件時(shí)首先要保護(hù)人員的生命安全，其次考慮其他的資產(chǎn)安全以及對(duì)企業(yè)的影響。

通常企業(yè)在人員錄用時(shí)，應(yīng)做到對(duì)人員背景進(jìn)行基本調(diào)查。企業(yè)應(yīng)對(duì)人員進(jìn)行崗前培訓(xùn)、在崗監(jiān)督、離崗時(shí)刪除所有賬號(hào)和權(quán)限等全流程有效管理。據(jù)官方統(tǒng)計(jì)，大多數(shù)的安全問(wèn)題是人為因素造成，所以控制好人為因素，能一定程度上實(shí)現(xiàn)對(duì)其他人員和資產(chǎn)安全的保護(hù)。此環(huán)節(jié)的防護(hù)要點(diǎn)可從安全管理體系建設(shè)中的人力資源安全中體現(xiàn)，通常為正式管理辦法，要根據(jù)管理辦法落實(shí)，并開展定時(shí)間檢查和審計(jì)。

資產(chǎn)安全則通過(guò)風(fēng)險(xiǎn)評(píng)估、訪問(wèn)控制等技術(shù)手段來(lái)保障，通過(guò)制定規(guī)章制度等管理手段，限制違規(guī)行為和暴露安全問(wèn)題。當(dāng)然，對(duì)于資產(chǎn)安全的防護(hù)，上文只是做了簡(jiǎn)述，對(duì)應(yīng)安全體系建設(shè)，資產(chǎn)安全的防護(hù)要點(diǎn)可在資產(chǎn)管理中進(jìn)行細(xì)化，如資產(chǎn)的負(fù)責(zé)、信息分類、介質(zhì)處置，另外還有訪問(wèn)控制物理和環(huán)境安全兩個(gè)大的控制項(xiàng)。

2.2 安全風(fēng)險(xiǎn)評(píng)估及漏洞管理

企業(yè)實(shí)施安全風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到企業(yè)的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。

安全風(fēng)險(xiǎn)評(píng)估識(shí)別企業(yè)內(nèi)信息資產(chǎn)的安全脆弱性、安全威脅、已有安全措施、風(fēng)險(xiǎn)大小等。需評(píng)估的資產(chǎn)是具有價(jià)值的信息或資源，它能夠以多種形式存在，有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象和人員等。

安全漏洞在本文中理解成廣義的漏洞，指系統(tǒng)漏洞、程序bug、業(yè)務(wù)流程邏輯錯(cuò)誤、管理流程、以及風(fēng)火水電存在的隱患等。通過(guò)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)問(wèn)題（漏洞），對(duì)漏洞進(jìn)行風(fēng)險(xiǎn)計(jì)算，輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和整改方案。對(duì)存在的漏洞進(jìn)行閉環(huán)處理，制定漏洞處理機(jī)制等，實(shí)現(xiàn)對(duì)漏洞的安全管理。

2.3 安全掃描滲透

根據(jù)業(yè)務(wù)系統(tǒng)的重要性，可每季度或每半年進(jìn)行安全檢測(cè)。這里的防護(hù)要點(diǎn)是優(yōu)先對(duì)外暴露面進(jìn)行安全掃描和滲透測(cè)試，其次再對(duì)內(nèi)網(wǎng)進(jìn)行安全掃描和滲透測(cè)試；而對(duì)于無(wú)法修復(fù)的漏洞需要做好訪問(wèn)控制以及安全策略，如設(shè)置白名單等。此要點(diǎn)為要定時(shí)去開展此工作，但遇到特殊漏洞類似出現(xiàn)Oday等情況應(yīng)該立即做應(yīng)急響應(yīng)。

下面重點(diǎn)簡(jiǎn)述下綜合滲透，其主要有黑白盒子測(cè)試，內(nèi)容主要包括SQL注入測(cè)試、越權(quán)測(cè)試、跨站腳本測(cè)試、弱口令測(cè)試、文件上傳測(cè)試、文件下載測(cè)試、文件包含測(cè)試、不安全的URL訪問(wèn)測(cè)試、敏感信息泄露測(cè)試、未授權(quán)訪問(wèn)測(cè)試、信息未加密測(cè)試、認(rèn)證會(huì)話訪問(wèn)測(cè)試、目錄瀏覽測(cè)試、靜態(tài)代碼審計(jì)以及黑盒測(cè)試等。

圖2 滲透測(cè)試的一般過(guò)程

多數(shù)企業(yè)沒(méi)有自己專業(yè)的安全團(tuán)隊(duì)，一般委托其他安全公司進(jìn)行掃描滲透加固工作，滲透的流程如圖2所示，需注意一點(diǎn)，在開始滲透前均要由系統(tǒng)所屬方出具滲透測(cè)試委托書等書面材料。

2.4 軟件生命周期安全管理

現(xiàn)企業(yè)中均使用系統(tǒng)軟件來(lái)完成大部分工作，例如網(wǎng)管系統(tǒng)、OA系統(tǒng)、CRM系統(tǒng)和一些對(duì)外的WEB服務(wù)等。提及軟件不得不關(guān)注軟件生命周期的安全，要做到安全開發(fā)設(shè)計(jì)、安全運(yùn)營(yíng)、安全退服下線全生命周期安全管理。

在需求分析和設(shè)計(jì)階段就要考慮到安全問(wèn)題；在代碼編寫時(shí)要注重邏輯錯(cuò)誤和嚴(yán)格執(zhí)行過(guò)濾，包括字符、目錄、后綴名等；交付測(cè)試也要嚴(yán)格控制，最好進(jìn)行代碼審計(jì)測(cè)試，但目前的大多數(shù)情況均為先上線，出現(xiàn)漏洞后才去補(bǔ)救，往往會(huì)造成極大的危害和影響；運(yùn)營(yíng)階段也需定時(shí)開展?jié)B透測(cè)試及代碼審計(jì)，及時(shí)發(fā)現(xiàn)漏洞并修復(fù)；退服下線階段做好數(shù)據(jù)安全遷移或者信息脫敏處理。

同樣對(duì)應(yīng)安全體系中，系統(tǒng)獲取、開發(fā)和維護(hù)是主要說(shuō)明應(yīng)用軟件和系統(tǒng)安全控制的文件，需關(guān)注的是要嚴(yán)格按照規(guī)范性文件或流程來(lái)開展，對(duì)應(yīng)用軟件全生命周期進(jìn)行安全防護(hù)。

2.5 數(shù)據(jù)安全防護(hù)和數(shù)據(jù)防泄密

本文中的數(shù)據(jù)指的是生產(chǎn)數(shù)據(jù)和一些用戶的信息，包括姓名、身份證號(hào)碼、電話、家庭住址和一些銀行賬號(hào)、系統(tǒng)登錄賬號(hào)和口令，這里的數(shù)據(jù)我們也理解為信息。

信息數(shù)據(jù)的安全我們采用密碼學(xué)的方法進(jìn)行保護(hù)，也就是我們常說(shuō)的加密解密。信息從產(chǎn)生、傳輸?shù)酱鎯?chǔ)、到被分享、到最后的銷毀都需采用加密技術(shù)進(jìn)行加密，信息被分享時(shí)根據(jù)客體級(jí)別進(jìn)行脫敏處理，信息銷毀時(shí)采用不可還原機(jī)制。但由于全信息加密成本問(wèn)題，可對(duì)關(guān)鍵信息進(jìn)行加密處理。

系統(tǒng)口令應(yīng)控制復(fù)雜程度，至少8位以上的字母、符號(hào)、數(shù)字的混合，并加密保存和定期要求變更等。在傳輸加密中的應(yīng)用提幾個(gè)名詞，例如CA、HTTPS、SSH等。在關(guān)鍵系統(tǒng)登錄或訪問(wèn)重要信息時(shí)，需要采用多認(rèn)證機(jī)制，也可在關(guān)鍵操作點(diǎn)，采用金庫(kù)模式“關(guān)鍵操作、多人完成、分權(quán)制衡”的原則，即訪問(wèn)控制。

企業(yè)可根據(jù)條件選擇部署數(shù)據(jù)防泄密系統(tǒng)，一般以深度內(nèi)容識(shí)別技術(shù)為核心，在數(shù)據(jù)存儲(chǔ)、傳輸和使用過(guò)程中，發(fā)現(xiàn)并識(shí)別敏感數(shù)據(jù)安全隱患，確保敏感數(shù)據(jù)的合規(guī)使用，防止敏感數(shù)據(jù)泄露的數(shù)據(jù)安全保護(hù)系統(tǒng)?？啥x企業(yè)中的敏感信息，制定對(duì)不同等級(jí)機(jī)密信息的監(jiān)視和防護(hù)策略，多維度敏感數(shù)據(jù)檢測(cè)，防止機(jī)密信息泄露。

上述只簡(jiǎn)要介紹，對(duì)于數(shù)據(jù)的安全的防護(hù)要點(diǎn)，除了有技術(shù)上的支持，管理上也不容忽視，需要在安全系統(tǒng)管理文件中細(xì)化。對(duì)應(yīng)數(shù)據(jù)安全方面，從以下幾個(gè)控制文件說(shuō)明與細(xì)化：資產(chǎn)管理、訪問(wèn)控制、密碼學(xué)、通信安全等方面。

2.6 業(yè)務(wù)連續(xù)性及應(yīng)急保障

企業(yè)應(yīng)注重建立業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃，同時(shí)建立較完善的應(yīng)急預(yù)案等辦法，保障業(yè)務(wù)系統(tǒng)正常穩(wěn)定運(yùn)行。

如何做到保障業(yè)務(wù)連續(xù)性。首先，將重要數(shù)據(jù)業(yè)務(wù)進(jìn)行異地備份、核心鏈路進(jìn)行冗余備份、定期巡檢數(shù)據(jù)及日志等信息的備份和運(yùn)行情況；其次，根據(jù)企業(yè)實(shí)際情況，撰寫包括DDOS攻擊、網(wǎng)頁(yè)防篡改、木馬后門、系統(tǒng)中毒以及主鏈路中斷切換備用鏈路等應(yīng)急預(yù)案，定期開展應(yīng)急演練，總結(jié)經(jīng)驗(yàn)，輸出報(bào)告； 最后就是應(yīng)急保障，企業(yè)應(yīng)安排有重大保障經(jīng)驗(yàn)的人員進(jìn)行保障，若有條件可邀請(qǐng)有資質(zhì)的安全廠家進(jìn)行協(xié)助，以保障突發(fā)的安全事故。通常在應(yīng)急處置中，有經(jīng)驗(yàn)的安全人員會(huì)首先通過(guò)查看系統(tǒng)日志的方式打開突破口，所以日志的保存非常關(guān)鍵，若有條件可在企業(yè)內(nèi)部部署日志收集與分析系統(tǒng)。

業(yè)務(wù)連續(xù)性的防護(hù)要點(diǎn)對(duì)應(yīng)安全體系中的業(yè)務(wù)連續(xù)性管理的信息安全方面，應(yīng)建立和定期開展各種場(chǎng)景的應(yīng)急演練，確保企業(yè)的業(yè)務(wù)連續(xù)性。

2.7 安全審計(jì)和法律法規(guī)

信息安全評(píng)審和符合法律要求是安全體系中符合性控制項(xiàng)中的兩個(gè)控制點(diǎn)，下面也簡(jiǎn)要解釋其要點(diǎn)。

企業(yè)內(nèi)部開展安全審計(jì)，是企業(yè)注重安全的體現(xiàn)，審計(jì)內(nèi)容包括人員訪談、文檔、流程、日志、漏洞等多方面，其目的是為了發(fā)現(xiàn)企業(yè)在安全管理中存在的安全問(wèn)題，并作為改正和調(diào)整的依據(jù)。

對(duì)于法律法規(guī)，企業(yè)應(yīng)熟悉法律法規(guī)、知悉我國(guó)法律，并遵守法律法規(guī)的要求，在許可的范圍內(nèi)開展安全工作。例如依據(jù)我國(guó)《安全法》要求，企業(yè)需開展等級(jí)保護(hù)工作等。

3 安全設(shè)備及產(chǎn)品

目前網(wǎng)絡(luò)安全環(huán)境日益嚴(yán)峻，企業(yè)面臨的安全威脅逐步增加，除了構(gòu)成網(wǎng)絡(luò)的速通設(shè)備和傳統(tǒng)的防火墻、入侵檢測(cè)設(shè)備等。目前國(guó)內(nèi)也根據(jù)市場(chǎng)需求問(wèn)世了很多安全產(chǎn)品，目的就是能快速發(fā)現(xiàn)、動(dòng)態(tài)感知網(wǎng)絡(luò)環(huán)境的變化和安全趨勢(shì)，最終將信息安全威脅由被動(dòng)防御變成主動(dòng)防御。

在專業(yè)安全領(lǐng)域，產(chǎn)品的出現(xiàn)也是依托在安全解決方案的體系下，方案和產(chǎn)品相互配合才能達(dá)到可觀的效果，在此也簡(jiǎn)單羅列一些安全產(chǎn)品：安全審計(jì)系統(tǒng)、防泄密系統(tǒng)、電子簽章系統(tǒng)、風(fēng)險(xiǎn)探知系統(tǒng)、網(wǎng)站監(jiān)控系統(tǒng)、異常流量管理與抗拒絕服務(wù)系統(tǒng)以及各類安全網(wǎng)關(guān)。

雖然各類網(wǎng)絡(luò)安全產(chǎn)品的出現(xiàn)，能幫助我們解決大部分的安全問(wèn)題，但是作為安全人員千萬(wàn)不能怠慢，畢竟對(duì)這些設(shè)備合理運(yùn)用并達(dá)到一個(gè)最優(yōu)防護(hù)效果的探究，不亞于傳統(tǒng)的任何一個(gè)安全工作，信息安全管理體系中最重要的因素還是在人。

4 總結(jié)

企業(yè)建立完整的信息安全管理體系，主要是通過(guò)主流的安全思想和先進(jìn)的安全技術(shù)，從管理和技術(shù)手段一同著手。但據(jù)統(tǒng)計(jì)，企業(yè)中發(fā)生信息安全事件，70%以上都是由人員引起，所以員工的信息安全意識(shí)教育顯的尤為重要，信息安全事件防范重點(diǎn)是“七分管理，三分技術(shù)”。

對(duì)安全事件可通過(guò)事前檢測(cè)及預(yù)防、事中防御、事后發(fā)現(xiàn)三個(gè)環(huán)節(jié)，以安全事件和漏洞閉環(huán)管理等思路，建立安全監(jiān)控的技術(shù)手段、抵御手段、審計(jì)溯源手段和有效的管理制度。在推動(dòng)信息安全管理體系時(shí)，得到企業(yè)高層領(lǐng)導(dǎo)的足夠支持尤其重要。

本文中無(wú)法具體到每個(gè)安全領(lǐng)域的控制和防御要點(diǎn)，但已經(jīng)基本提及了各大關(guān)鍵點(diǎn)。信息安全防護(hù)要點(diǎn)可參見信息安全管理體系中14個(gè)控制項(xiàng)、35個(gè)控制目標(biāo)、114個(gè)控制措施，通過(guò)不斷的執(zhí)行PDCA方法，完善安全管理和防范安全問(wèn)題。

[1]ISO/IEC 27002:2013.信息技術(shù)-安全技術(shù)-信息安全控制實(shí)用規(guī)則.

[2]ISO/IEC 27005:2011.信息技術(shù)-安全技術(shù)-信息安全風(fēng)險(xiǎn)管理.

[3]姚永雷，馬利.計(jì)算機(jī)網(wǎng)絡(luò)安全(2版)[M].北京:清華大學(xué)出版社，2011.