背景
随着国家对网络安全的重视,极大的促进了网络安全的发展,越来越多的企业都开始开展企业安全建设的工作,但随着安全建设的不断深入,各种规划、制度、要求的增多,会逐渐进入安全运营阶段,这时肯定会存在有制度未落地,要求未执行到位的情况出现,这时安全审计与合规检查就显得尤为重要了,它能通过某些方法从安全的角度出发,发现一些需要优化及改正的地方,促进整个安全体系的建设与运营。
一、目的
1、减少风险
2、审计制度执行情况
3、优化内部流程
二、前期准备
安全合规检查有两种类型,一是专项检查,二是日常检查,专项检查一般会是针对某个具体方面,覆盖整个企业的检查工作,涉及的范围很广,但内容具有针对性,例如终端安全检查,那需要对企业所有终端进行检查,日常检查是日常操作进行或领导临时安排的检查工作,这是针对某个系统或应用开展的,涉及的内容会比较广,但范围不大,相当于风险评估一样,会根据企业内部的制度、流程,方法作为依据。此次主要针对日常检查的流程及方法来分享。
2.1 确定检查目标
开始安全检查之前,我们都会确认此次检查的主要目标,可能是某个比较新的系统或应用,也许是比较老的系统,但都有一个共同点–重要业务系统。
2.2 检查内容确认
确定了检测的目标系统或应用后,我们需要制定检测的内容,可能主要包括网络安全、应用安全、数据安全、访问控制、主机安全、权限控制等几方面考虑,也会考虑系统的特殊性及主要功能,确认出重点检查内容,例如,存在较多敏感数据的系统,我们会重点检查数据安全、访问控制、权限控制等几方面的内容,如下图:
详细的检查内容及控制要点及操作,如下表所示(仅供参考):
检查项 | 检查要点 | 具体检查内容 |
安全基线 | 检查服务器主机、数据库、中间件等基线符合情况 | 按照公司的安全基线标准,对服务器主机、数据库、中间件等基线符合情况 |
网络安全 | 网络隔离 | 服务器是否部署在专用网络区域,与其他数据库服务器、应用服务器等实现了有效隔离 |
防火墙策略 | 1、是否存在any端口的防火墙策略,不符合“最小授权原则” 2、是否存在源地址、目的地址开放过大的策略,不符合“最小授权原则” 3、是否存在开启3389,22,21等高危端口策略 |
|
应用安全 | 渗透测试、安全检测情况 | 1、互联网应用是否制定渗透测试计划,定期进行渗透测试,并在修复周期内完成修复 |
主机安全 | 补丁安装情况,主机扫描情况 | 1、是否已安装最新的系统补丁 2、是否定期开展服务器主机扫描,并在修复周期内完成修复 |
日志管理 | 检视日志存储、提取、审计情况 | 1、建立有效的日志管理机制和完整的系统日志记录 2、系统中必须开启日志功能,定期监督或检查日志,是否发现未经授权或不当的系统操作,未经许可,严禁任何人停止或中断日志记录 3、日志必须按照法律与监管要求,如无特别声明,存储时间至少6个月以上 4、禁止非授权用户访问日志设备和日志信息,应记录日志文件的操作(如读、写、删除) 5、必须定期对日志进行备份,并按公司规定进行保存 6、存储日志的介质必须建立机制监测容量变化,及时告警处置 |
数据安全 | 敏感数据管理 | 1、敏感信息访问权限应经过授权且满足需要,包括信息读取、使用、存 |
来源:freebuf.com 2020-07-19 16:32:36 by: jary123
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册