等保2.0测评:安全管理体系建设思绪
在实际项目中,很多单位都太不器重等保的安全管理方面,也有很多单位比较器重,但是又不知从何入手。因此本文从等保2.0三级根本要求方面的简朴先容下安全管理体系的建设思绪。一、安全管理建设的重要性
这个很多人可能很难明白,尤其是于网络攻防的人来说,可能以为打遍天下CTF,技能这么NB了,还要啥安全管理呢。这里举几个小例子,比如在运维管理方面,有些单位买了一台堡垒机,要责备部服务器、网络设备和安全设备都必要从堡垒机登录,但是在服务器、网络设备、安全设备上未作登录地点限定仅允许堡垒机的地点,这样就可能存在绕过堡垒机直接登录服务器的可能,在数据备份恢复方面,又比如关键的防火墙配置未及时备份,效果一场停电或者设备恢复出厂导致无法登录,更换新防火墙又没有最新的配置文件,又比如有些单位没有落实数据库系统、操作系统的管理权限分离原则,导致本身单位的业务数据库本身无法登录,却只能依赖第三方厂商办理,一旦出现数据丢失或误删除或者迁徙之类,得花一笔服务费,而且数据也可能早就被泄漏出去了。三分技能七分管理其实还是很有道理得,更不谈如果是社会工程学攻击场景下,再好得技能是否真的能保护重要资产。很多商业银行分行的安全产物不是那么多,架构也很简朴,比如笔者遇到的某个省会城市的某个商业银行分行,安全设备其实也就几台思科四层防火墙外加2台IDS和1台日志审计,没有高大上的态势感知,也没有下一代防火墙,防火墙访问控制战略也未精细到端口级,但是,银行的安全管理方面落实的很好,比如准入控制,全行全部终端必须安装准入,没有例外,安全设备的日志每天有人分析并邮件通知,交换机和防火墙的固件版本总行会不定期发布并升级,安全预警事件专门有人负责,因此,安全防护水平不亚于很多政府的数据中心,测评分数也很高,根本都是90分以上(2019版)。这说明决定安全防护水平的并不仅仅取决于有多少渗透测试专家,有多少安全设备,更取决于一样平常的安全管理体系的建设和落实。
二、安全管理体系
总体在等保2.0中,安全管理体系文件主要分为管理制度、操作规程、过程记载三大类。管理制度这个比较好明白,主要就是各类管理办法规定、各类通知等,操作规程主要是各类设备操作指南,比较像CNAS的作业引导书,用于引导人员对一样平常设备的操作维护,过程记载则是全部管理措施的文档,包括审批记载、修订记载、巡检记载、变更记载、分析记载等。也可以这样明白:管理制度代表有没有、操作规程代表怎么做、过程记载代表做了没。明白这三大块后下面的管理体系建立就比较容易明白了。
三、安全管理制度
等保2.0中安全管理制度要求中主要有安全战略、管理制度、制定和发布、评审和修订4个要求,实践中不肯定按照这个序次,因为安全管理体系建立必须先建立组织架构才能开展反面的安全战略、管理制度等工作。该层面是安全管理体系建设的第一步,即建立安全管理组织架构、安全方针、安全战略和管理制度制定修订。每个单位的业务不同,组织结构也不同,因此,安全管理架构、安全方针和安全战略也不同,因此,根据本身业务范例建立本身的组织架构。关键原则就是,信息安全组织肯定要独立于业务部门和IT部门,最好能略高于业务部门和IT部门,否则,信息安全工作开展后期会非常困难。比如大型生产制造型企业,可以在团体层面建立信息安全管理委员会,下设各个专业组,该委员会直接向董事会汇报。另外,还有一个比较重要是的,这里要明确网络安全领导小组的组成人员、工作流程和职责,最好能以正式通知的形式下发。建立好组织架构后,紧接着必要确定安全方针,安全方针是根据企业战略制定的,比如有的企业安全方针就是“1坚持以人为本;2进步人员信息安全风险意识;3确保本单位信息系统安全运行。”方针不必要太多,几句话就可以,有点像学校的校训。确定好安全方针后,必要制定安全管理战略。安全管理战略就是根据安全方针,在网络、机房、数据、应用系统、开发、实施、验收、人员等各个方面确定安全管理目标,并以管理制度、操作规程、过程记载形式确定下来,这个是企业安全管理最重要的一个环节。在安全战略制定方面,肯定要团坚固际情况制定,比如有些单位的系统是托管在公有云,那么在机房和网络管理这发那个可以临时不用思量,但是在数据安全这方面得重点思量,比如数据怎样备份恢复、数据怎样迁徙、数据怎样加密脱敏等。建议先确定好多个层面,然后在每个层面下面再逐步睁开。完成管理制度、操作规程和过程记载后,剩下的就是怎样发布、修订和评审了。这个重点是1确保发布出去能到达每个下层人员手中,包括系统操作人员;2是定期检查是否存在毛病或者不实用本身单位业务流程的地方,必要进行修订。
四、安全管理机构
等保2.0中的安全管理机构主要在岗位设置、人员配备、授权和审批、沟通和合作、考核和检查方面有要求。岗位设置方面,要求是除了必要建立引导和管理网络安全工作的委员会或领导小组和网络安全管理部门外,还必要设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。这个在大型单位容易实现,但是在小单位确实难,很多单位信息化建设的也就两三个人。但是这个倒不是必须每个岗位都是专职,可以兼职,只是兼职有限定,比如安全管理员不能兼任,必须是专职的。这个必要说明的一点就是,安全管理员、审计管理员和系统管理员主要是岗位脚色,不是单个设备的账户!!!职责上要相互管束,比如可以规定安全管理员负责全部设备、数据库、应用系统、操作系统的账户权限分配;审计管理员只负责全部全部设备、数据库、应用系统、操作系统的日志功能;系统管理员负责除了安全管理员和审计管理员外别的事件,还可以进一步细化上述职责。人员管理方面,这个同上,主要是安全管理员不能兼职,审计管理员和系统管理员可以兼职。授权和审批方面,这个主要是根据各个部门和岗位确定一样平常的授权和审批流程,比如网络设备配置变更方面,哪些人审批、是纸质的审批单还是电子的钉钉或者OA,通过这个可以梳理一样平常工作流程。沟通和合作。这个主要是针对内的部门间、上下级间怎样定期协调沟通网络安全问题,可以建立简朴的机制,比如每月开个短会,由网络安全部门汇总本月的主要安全事件,并提出处理建议,临时性突发事件可以通过电话聚会会议、QQ、远程聚会会议等方式协调沟通;对外则必要和一些业务主管部门、供应商、开发商、电信运营商、电力部门、消防部门、公安机关、通管局等单位进行定期沟通;最终形成一个沟通管理制度和接洽清单。考核和检查。这里必要制定检查管理制度,定期对系同一样平常运行、系统毛病和数据备份、安全保护措施有效性、战略有效性等开展安全检查,并形成安全检查报告,对于严峻违背安全战略的情况可以进行转达。
五、安全管理人员
安全管理人员主要在人员任命、人员离岗、安全意识教育和培训、外部人员访问管理4个方面有一些要求。人员任命方面,可以在人员管理制度某个章节中制定,比如先制定每个岗位的岗位要求和人员任命管理部门,然后制定人员雇用、笔试、技能考核、背景审查、条约签订、保密协议签订等流程。这里必要留意的是,在关键信息底子设施保护条例、网络安全法等相关法律中,重要岗位必须进行背景审查,审查标准现在还没有同一,但是通常来说,如果在个人征信方面存在较大消费贷款未偿还、受过网络安全犯罪刑罚的、具有外国国籍的等情形是不宜任命的。人员离岗方面,必要在管理制度中明确离岗交接流程,注销相关账户权限、收回U盘、电脑等重要资产,建议可以在去职审批单中参加。别的,还必要在去职证明或者保密协议上答应去职后不得泄漏企业重要机密信息。安全意识教育和培训方面,1必要根据不同岗位人员建立不同的培训计划,比如针对下层操作人员,主要开展一样平常办公安全培训,对于运维人员,开展数据库安全、操作系统系统、安全开发等培训,对于管理层,可以开展政策法规、社会工程学培训。2必要在管理制度方面明确惩罚措施,这个项目中比较少见,一般没有,或者就是情节较轻罚款或排除条约,严峻就是移送司法机关等,这类比较笼统,建议可以进一步细化,比如可以设置一般违规,警告就可以,造成数据丢失或者系统中断1小时以上等严峻结果,罚款XX元,故意企业机密信息或者业务数据XX条以上,排除条约,得罪刑法的,移送司法机关处理。3则是必要对岗位人员开展技能考核,确保满意人员任掷中的相关条件。这个可以通过电子行考试或者纸质考试的形式开展,一般3个月或6个月一次就够了,没必要太频繁。外部人员访问管理方面,这个可以单独制定章节,1重要区域比如机房等重要区域必须先申请后审批并答应保密义务后,由专人陪伴,记得曾经有个真实的案例就是某个体彩中心的服务器被人入侵导致中了一等奖,过后才发现是通过单独进入机房时间,偷偷把含有木马的U盘插入服务器中实现入侵的。因此,应该在管理制度中规定,机房区域必须要先申请后审批才能由专人陪伴进入,且必须全程陪伴。2外来人员如果要接入网络中,必要提出书面申请和审批,这个一般如果在有准入控制的网络中比较容易实现,如果没有则比较贫苦。3外来人员离开时必要扫除各类网络权限和账户权限。
六、安全建设管理
在安全建设管理中,一共有定级和备案、安全方案计划、产物采购和使用、自行-软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择要求。建议可以根据每块内容单独制定一个章节,外包开发和自行开发可以合并在一起制定。
安全方案计划,安全方案计划主要在信息系统计划阶段必要将安全保护需求纳入,实现同步计划、同步开发、同步验收,且该安全方案必要由业务部门、开发部门、安全部门同时评审,评审完后才可进入下一阶段。如果是保密性和完备性较高的系统,必须安全计划方案中必须包含密码应用方案,对不符合国密局要求的MD5等算法要在计划方案中进行更换符合国密要求的方案,克制后期开展商密测评时又要重新整改。这个流程可以这样计划,首先由开发单位在完成需求分析时,将安全防护需求纳入需求分析报告,通过评审后,再由开发单位编写计划方案,通过评审后才可进入编码阶段。
产物采购和使用,在《产物采购管理》部门中,1要求主要是安全产物必须要有安全产物销售许可证,密码产物必须有商用密码产物认证证书,并加上查询的网站,便于一样平常查询。2对于常用产物还必要制定产物选购目录,定期更新,要求企业内部的一样平常采购原则上应该从产物目录选购。
自行-软件开发,可以在《软件开发管理-自行开发》章节中,制定至少应该包含开发环境和正式环境隔离、制定安全开发规范、开发文档版本控制、开发控制流程(包括变更、提交、测试等)、安全测试和后门扫描流程等内容。
外包软件开发,由于软件是外包开发,因此,外包开发管理的重点主要在软件后门检测、病毒检测和开发文档提交三个方面,克制交付的软件本身带毒或者无维护文档,对后期的二次开发和升级迁徙造成困难。
工程实施,可以通过制定《项目管理》章节明确信息化项目的项目管理流程,比如项目可行性研究、项目立项、项目招标、项目监理、项目变更等内容。如果有条件建议还是请专业的IT监理公司比较好,可以省很多心。
测试验收,项目实施完后,就是必要测试验收了,可以通过制定《项目验收管理》来明确测试和验收流程,在这个环节中,首先要制定测试验收方案,测试方案中主要包括功能测试、安全测试、密码测试等,这个也可以让开发单位编写,主要内容包括测试时间、测试内容、测试效果判定、测试原始记载、是否满意需求,然后通过《验收单》确定验收时间、地点、参加人员 、验收过程、验收结论等。
系统交付,这个也可以放在《工程项目管理》章节中,也可以单独成章节,系统交付管理至少应该明确交付清单、操作培训和使用维护文档等3个方面的内容。
等级测评,这个就比较简朴,主要制定系统重新测评或备案的条件即可。
服务供应商选择要求,可以通过制定《服务供应商管理》制度,主要规定服务供应商的资质要求,这里仅仅是服务供应商,不包括产物供应商,比如安全服务资质的有中国网络安全审查技能与认证中心的安全集成、安全运维、风险评估、应急处理、软件安全开发、劫难备份和恢复、工业控制安全和网络安全审计服务资质,等级测评服务资质必要在全国等级测评机构推荐目录,商用密码测评资质必要在商用密码应用安全性评估试点机构目录中。与服务供应商签订协议还必要明确保密义务,这个现在根本都会有的,最后,还要定期跟踪、监督服务履行情况。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]