◆肖 勇

?

企業(yè)信息安全管理體系及防護(hù)要點

◆肖 勇

(北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 廣西 530000)

本文重點介紹如何對信息安全風(fēng)險進(jìn)行有效管理，建立健全企業(yè)信息安全管理體系，確保企業(yè)全體員工理解并執(zhí)行信息安全管理體系文件，持續(xù)改進(jìn)管理體系的有效性，實現(xiàn)企業(yè)信息安全方針目標(biāo)。主要對傳統(tǒng)IT系統(tǒng)安全、云安全、大數(shù)據(jù)安全等方面進(jìn)行相應(yīng)的安全技術(shù)防護(hù)。企業(yè)信息安全方針可概述為：積極預(yù)防、全面管理、控制風(fēng)險、保障安全。

信息安全管理；安全體系；安全風(fēng)險管理；安全防御

0 引言

時代發(fā)展自IT時代已走向DT時代，IT（Information Technology）時代是以自我控制、自我管理為主，而DT（Data Technology）時代，它是以服務(wù)大眾、激發(fā)生產(chǎn)力為主。2016年3月，我國《國民經(jīng)濟(jì)和社會發(fā)展第十三個五年規(guī)劃綱要》中明確提出了“實施國家大數(shù)據(jù)戰(zhàn)略,把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源”。

新時代體制下信息安全管理思想隨之變化，新的管理理念也要重新定義，在繼承IT時代下好的經(jīng)驗基礎(chǔ)上，用發(fā)展的思想看DT技術(shù)，DT時代下的安全體系也應(yīng)該用迭代的方式進(jìn)行信息安全管理。見表1兩個時代的異同展示。

無論是云平臺還是最基礎(chǔ)的IT平臺，在大數(shù)據(jù)時代下更應(yīng)該做好信息安全管理，防止信息泄露，做好應(yīng)急響應(yīng)，維持好業(yè)務(wù)連續(xù)性。

1 信息安全管理體系過程模式

企業(yè)從ISO/IEC27001標(biāo)準(zhǔn)附錄A中的13個控制項，35個控制目標(biāo)，114個控制措施中選擇控制目標(biāo)和控制措施，來處理被識別的安全風(fēng)險。

企業(yè)高層領(lǐng)導(dǎo)應(yīng)對ISMS的規(guī)劃（P）、實施（D）檢查（C）、處置（A）提供必要的承諾和支持，為企業(yè)員工提供執(zhí)行ISMS職責(zé)所必需的教育培訓(xùn)，如圖1。

圖1 信息安全管理體系過程模式圖

表1 IT與DT的區(qū)別

企業(yè)應(yīng)建立內(nèi)部信息安全管理體系，并且每年做一次差距分析和整改糾正，企業(yè)領(lǐng)導(dǎo)要適度關(guān)注，建立信息安全管理小組，有效執(zhí)行PDCA。

2 信息安全管理體系安全保障方法及防護(hù)要點

2.1 人員和資產(chǎn)安全

無論在哪個領(lǐng)域，發(fā)生安全事件時首先要保護(hù)人員的生命安全，其次考慮其他的資產(chǎn)安全以及對企業(yè)的影響。

通常企業(yè)在人員錄用時，應(yīng)做到對人員背景進(jìn)行基本調(diào)查。企業(yè)應(yīng)對人員進(jìn)行崗前培訓(xùn)、在崗監(jiān)督、離崗時刪除所有賬號和權(quán)限等全流程有效管理。據(jù)官方統(tǒng)計，大多數(shù)的安全問題是人為因素造成，所以控制好人為因素，能一定程度上實現(xiàn)對其他人員和資產(chǎn)安全的保護(hù)。此環(huán)節(jié)的防護(hù)要點可從安全管理體系建設(shè)中的人力資源安全中體現(xiàn)，通常為正式管理辦法，要根據(jù)管理辦法落實，并開展定時間檢查和審計。

資產(chǎn)安全則通過風(fēng)險評估、訪問控制等技術(shù)手段來保障，通過制定規(guī)章制度等管理手段，限制違規(guī)行為和暴露安全問題。當(dāng)然，對于資產(chǎn)安全的防護(hù)，上文只是做了簡述，對應(yīng)安全體系建設(shè)，資產(chǎn)安全的防護(hù)要點可在資產(chǎn)管理中進(jìn)行細(xì)化，如資產(chǎn)的負(fù)責(zé)、信息分類、介質(zhì)處置，另外還有訪問控制物理和環(huán)境安全兩個大的控制項。

2.2 安全風(fēng)險評估及漏洞管理

企業(yè)實施安全風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到企業(yè)的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。

安全風(fēng)險評估識別企業(yè)內(nèi)信息資產(chǎn)的安全脆弱性、安全威脅、已有安全措施、風(fēng)險大小等。需評估的資產(chǎn)是具有價值的信息或資源，它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象和人員等。

安全漏洞在本文中理解成廣義的漏洞，指系統(tǒng)漏洞、程序bug、業(yè)務(wù)流程邏輯錯誤、管理流程、以及風(fēng)火水電存在的隱患等。通過風(fēng)險評估發(fā)現(xiàn)問題（漏洞），對漏洞進(jìn)行風(fēng)險計算，輸出風(fēng)險評估報告和整改方案。對存在的漏洞進(jìn)行閉環(huán)處理，制定漏洞處理機(jī)制等，實現(xiàn)對漏洞的安全管理。

2.3 安全掃描滲透

根據(jù)業(yè)務(wù)系統(tǒng)的重要性，可每季度或每半年進(jìn)行安全檢測。這里的防護(hù)要點是優(yōu)先對外暴露面進(jìn)行安全掃描和滲透測試，其次再對內(nèi)網(wǎng)進(jìn)行安全掃描和滲透測試；而對于無法修復(fù)的漏洞需要做好訪問控制以及安全策略，如設(shè)置白名單等。此要點為要定時去開展此工作，但遇到特殊漏洞類似出現(xiàn)Oday等情況應(yīng)該立即做應(yīng)急響應(yīng)。

下面重點簡述下綜合滲透，其主要有黑白盒子測試，內(nèi)容主要包括SQL注入測試、越權(quán)測試、跨站腳本測試、弱口令測試、文件上傳測試、文件下載測試、文件包含測試、不安全的URL訪問測試、敏感信息泄露測試、未授權(quán)訪問測試、信息未加密測試、認(rèn)證會話訪問測試、目錄瀏覽測試、靜態(tài)代碼審計以及黑盒測試等。

圖2 滲透測試的一般過程

多數(shù)企業(yè)沒有自己專業(yè)的安全團(tuán)隊，一般委托其他安全公司進(jìn)行掃描滲透加固工作，滲透的流程如圖2所示，需注意一點，在開始滲透前均要由系統(tǒng)所屬方出具滲透測試委托書等書面材料。

2.4 軟件生命周期安全管理

現(xiàn)企業(yè)中均使用系統(tǒng)軟件來完成大部分工作，例如網(wǎng)管系統(tǒng)、OA系統(tǒng)、CRM系統(tǒng)和一些對外的WEB服務(wù)等。提及軟件不得不關(guān)注軟件生命周期的安全，要做到安全開發(fā)設(shè)計、安全運營、安全退服下線全生命周期安全管理。

在需求分析和設(shè)計階段就要考慮到安全問題；在代碼編寫時要注重邏輯錯誤和嚴(yán)格執(zhí)行過濾，包括字符、目錄、后綴名等；交付測試也要嚴(yán)格控制，最好進(jìn)行代碼審計測試，但目前的大多數(shù)情況均為先上線，出現(xiàn)漏洞后才去補(bǔ)救，往往會造成極大的危害和影響；運營階段也需定時開展?jié)B透測試及代碼審計，及時發(fā)現(xiàn)漏洞并修復(fù)；退服下線階段做好數(shù)據(jù)安全遷移或者信息脫敏處理。

同樣對應(yīng)安全體系中，系統(tǒng)獲取、開發(fā)和維護(hù)是主要說明應(yīng)用軟件和系統(tǒng)安全控制的文件，需關(guān)注的是要嚴(yán)格按照規(guī)范性文件或流程來開展，對應(yīng)用軟件全生命周期進(jìn)行安全防護(hù)。

2.5 數(shù)據(jù)安全防護(hù)和數(shù)據(jù)防泄密

本文中的數(shù)據(jù)指的是生產(chǎn)數(shù)據(jù)和一些用戶的信息，包括姓名、身份證號碼、電話、家庭住址和一些銀行賬號、系統(tǒng)登錄賬號和口令，這里的數(shù)據(jù)我們也理解為信息。

信息數(shù)據(jù)的安全我們采用密碼學(xué)的方法進(jìn)行保護(hù)，也就是我們常說的加密解密。信息從產(chǎn)生、傳輸?shù)酱鎯Α⒌奖环窒?、到最后的銷毀都需采用加密技術(shù)進(jìn)行加密，信息被分享時根據(jù)客體級別進(jìn)行脫敏處理，信息銷毀時采用不可還原機(jī)制。但由于全信息加密成本問題，可對關(guān)鍵信息進(jìn)行加密處理。

系統(tǒng)口令應(yīng)控制復(fù)雜程度，至少8位以上的字母、符號、數(shù)字的混合，并加密保存和定期要求變更等。在傳輸加密中的應(yīng)用提幾個名詞，例如CA、HTTPS、SSH等。在關(guān)鍵系統(tǒng)登錄或訪問重要信息時，需要采用多認(rèn)證機(jī)制，也可在關(guān)鍵操作點，采用金庫模式“關(guān)鍵操作、多人完成、分權(quán)制衡”的原則，即訪問控制。

企業(yè)可根據(jù)條件選擇部署數(shù)據(jù)防泄密系統(tǒng)，一般以深度內(nèi)容識別技術(shù)為核心，在數(shù)據(jù)存儲、傳輸和使用過程中，發(fā)現(xiàn)并識別敏感數(shù)據(jù)安全隱患，確保敏感數(shù)據(jù)的合規(guī)使用，防止敏感數(shù)據(jù)泄露的數(shù)據(jù)安全保護(hù)系統(tǒng)。可定義企業(yè)中的敏感信息，制定對不同等級機(jī)密信息的監(jiān)視和防護(hù)策略，多維度敏感數(shù)據(jù)檢測，防止機(jī)密信息泄露。

上述只簡要介紹，對于數(shù)據(jù)的安全的防護(hù)要點，除了有技術(shù)上的支持，管理上也不容忽視，需要在安全系統(tǒng)管理文件中細(xì)化。對應(yīng)數(shù)據(jù)安全方面，從以下幾個控制文件說明與細(xì)化：資產(chǎn)管理、訪問控制、密碼學(xué)、通信安全等方面。

2.6 業(yè)務(wù)連續(xù)性及應(yīng)急保障

企業(yè)應(yīng)注重建立業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃，同時建立較完善的應(yīng)急預(yù)案等辦法，保障業(yè)務(wù)系統(tǒng)正常穩(wěn)定運行。

如何做到保障業(yè)務(wù)連續(xù)性。首先，將重要數(shù)據(jù)業(yè)務(wù)進(jìn)行異地備份、核心鏈路進(jìn)行冗余備份、定期巡檢數(shù)據(jù)及日志等信息的備份和運行情況；其次，根據(jù)企業(yè)實際情況，撰寫包括DDOS攻擊、網(wǎng)頁防篡改、木馬后門、系統(tǒng)中毒以及主鏈路中斷切換備用鏈路等應(yīng)急預(yù)案，定期開展應(yīng)急演練，總結(jié)經(jīng)驗，輸出報告； 最后就是應(yīng)急保障，企業(yè)應(yīng)安排有重大保障經(jīng)驗的人員進(jìn)行保障，若有條件可邀請有資質(zhì)的安全廠家進(jìn)行協(xié)助，以保障突發(fā)的安全事故。通常在應(yīng)急處置中，有經(jīng)驗的安全人員會首先通過查看系統(tǒng)日志的方式打開突破口，所以日志的保存非常關(guān)鍵，若有條件可在企業(yè)內(nèi)部部署日志收集與分析系統(tǒng)。

業(yè)務(wù)連續(xù)性的防護(hù)要點對應(yīng)安全體系中的業(yè)務(wù)連續(xù)性管理的信息安全方面，應(yīng)建立和定期開展各種場景的應(yīng)急演練，確保企業(yè)的業(yè)務(wù)連續(xù)性。

2.7 安全審計和法律法規(guī)

信息安全評審和符合法律要求是安全體系中符合性控制項中的兩個控制點，下面也簡要解釋其要點。

企業(yè)內(nèi)部開展安全審計，是企業(yè)注重安全的體現(xiàn)，審計內(nèi)容包括人員訪談、文檔、流程、日志、漏洞等多方面，其目的是為了發(fā)現(xiàn)企業(yè)在安全管理中存在的安全問題，并作為改正和調(diào)整的依據(jù)。

對于法律法規(guī)，企業(yè)應(yīng)熟悉法律法規(guī)、知悉我國法律，并遵守法律法規(guī)的要求，在許可的范圍內(nèi)開展安全工作。例如依據(jù)我國《安全法》要求，企業(yè)需開展等級保護(hù)工作等。

3 安全設(shè)備及產(chǎn)品

目前網(wǎng)絡(luò)安全環(huán)境日益嚴(yán)峻，企業(yè)面臨的安全威脅逐步增加，除了構(gòu)成網(wǎng)絡(luò)的速通設(shè)備和傳統(tǒng)的防火墻、入侵檢測設(shè)備等。目前國內(nèi)也根據(jù)市場需求問世了很多安全產(chǎn)品，目的就是能快速發(fā)現(xiàn)、動態(tài)感知網(wǎng)絡(luò)環(huán)境的變化和安全趨勢，最終將信息安全威脅由被動防御變成主動防御。

在專業(yè)安全領(lǐng)域，產(chǎn)品的出現(xiàn)也是依托在安全解決方案的體系下，方案和產(chǎn)品相互配合才能達(dá)到可觀的效果，在此也簡單羅列一些安全產(chǎn)品：安全審計系統(tǒng)、防泄密系統(tǒng)、電子簽章系統(tǒng)、風(fēng)險探知系統(tǒng)、網(wǎng)站監(jiān)控系統(tǒng)、異常流量管理與抗拒絕服務(wù)系統(tǒng)以及各類安全網(wǎng)關(guān)。

雖然各類網(wǎng)絡(luò)安全產(chǎn)品的出現(xiàn)，能幫助我們解決大部分的安全問題，但是作為安全人員千萬不能怠慢，畢竟對這些設(shè)備合理運用并達(dá)到一個最優(yōu)防護(hù)效果的探究，不亞于傳統(tǒng)的任何一個安全工作，信息安全管理體系中最重要的因素還是在人。

4 總結(jié)

企業(yè)建立完整的信息安全管理體系，主要是通過主流的安全思想和先進(jìn)的安全技術(shù)，從管理和技術(shù)手段一同著手。但據(jù)統(tǒng)計，企業(yè)中發(fā)生信息安全事件，70%以上都是由人員引起，所以員工的信息安全意識教育顯的尤為重要，信息安全事件防范重點是“七分管理，三分技術(shù)”。

對安全事件可通過事前檢測及預(yù)防、事中防御、事后發(fā)現(xiàn)三個環(huán)節(jié)，以安全事件和漏洞閉環(huán)管理等思路，建立安全監(jiān)控的技術(shù)手段、抵御手段、審計溯源手段和有效的管理制度。在推動信息安全管理體系時，得到企業(yè)高層領(lǐng)導(dǎo)的足夠支持尤其重要。

本文中無法具體到每個安全領(lǐng)域的控制和防御要點，但已經(jīng)基本提及了各大關(guān)鍵點。信息安全防護(hù)要點可參見信息安全管理體系中14個控制項、35個控制目標(biāo)、114個控制措施，通過不斷的執(zhí)行PDCA方法，完善安全管理和防范安全問題。

[1]ISO/IEC 27002:2013.信息技術(shù)-安全技術(shù)-信息安全控制實用規(guī)則.

[2]ISO/IEC 27005:2011.信息技術(shù)-安全技術(shù)-信息安全風(fēng)險管理.

[3]姚永雷，馬利.計算機(jī)網(wǎng)絡(luò)安全(2版)[M].北京:清華大學(xué)出版社，2011.