企业安全建设之安全合规检查 – 作者:jary123

背景

随着国家对网络安全的重视,极大的促进了网络安全的发展,越来越多的企业都开始开展企业安全建设的工作,但随着安全建设的不断深入,各种规划、制度、要求的增多,会逐渐进入安全运营阶段,这时肯定会存在有制度未落地,要求未执行到位的情况出现,这时安全审计与合规检查就显得尤为重要了,它能通过某些方法从安全的角度出发,发现一些需要优化及改正的地方,促进整个安全体系的建设与运营。

一、目的

1、减少风险

2、审计制度执行情况

3、优化内部流程

二、前期准备

安全合规检查有两种类型,一是专项检查,二是日常检查,专项检查一般会是针对某个具体方面,覆盖整个企业的检查工作,涉及的范围很广,但内容具有针对性,例如终端安全检查,那需要对企业所有终端进行检查,日常检查是日常操作进行或领导临时安排的检查工作,这是针对某个系统或应用开展的,涉及的内容会比较广,但范围不大,相当于风险评估一样,会根据企业内部的制度、流程,方法作为依据。此次主要针对日常检查的流程及方法来分享。

2.1 确定检查目标

开始安全检查之前,我们都会确认此次检查的主要目标,可能是某个比较新的系统或应用,也许是比较老的系统,但都有一个共同点–重要业务系统。

2.2 检查内容确认

确定了检测的目标系统或应用后,我们需要制定检测的内容,可能主要包括网络安全、应用安全、数据安全、访问控制、主机安全、权限控制等几方面考虑,也会考虑系统的特殊性及主要功能,确认出重点检查内容,例如,存在较多敏感数据的系统,我们会重点检查数据安全、访问控制、权限控制等几方面的内容,如下图:

详细的检查内容及控制要点及操作,如下表所示(仅供参考):

检查项 检查要点 具体检查内容
安全基线 检查服务器主机、数据库、中间件等基线符合情况 按照公司的安全基线标准,对服务器主机、数据库、中间件等基线符合情况
网络安全 网络隔离 服务器是否部署在专用网络区域,与其他数据库服务器、应用服务器等实现了有效隔离
防火墙策略 1、是否存在any端口的防火墙策略,不符合“最小授权原则”
2、是否存在源地址、目的地址开放过大的策略,不符合“最小授权原则”
3、是否存在开启3389,22,21等高危端口策略
应用安全 渗透测试、安全检测情况 1、互联网应用是否制定渗透测试计划,定期进行渗透测试,并在修复周期内完成修复
主机安全 补丁安装情况,主机扫描情况 1、是否已安装最新的系统补丁
2、是否定期开展服务器主机扫描,并在修复周期内完成修复
日志管理 检视日志存储、提取、审计情况 1、建立有效的日志管理机制和完整的系统日志记录
2、系统中必须开启日志功能,定期监督或检查日志,是否发现未经授权或不当的系统操作,未经许可,严禁任何人停止或中断日志记录
3、日志必须按照法律与监管要求,如无特别声明,存储时间至少6个月以上
4、禁止非授权用户访问日志设备和日志信息,应记录日志文件的操作(如读、写、删除)
5、必须定期对日志进行备份,并按公司规定进行保存
6、存储日志的介质必须建立机制监测容量变化,及时告警处置
数据安全 敏感数据管理 1、敏感信息访问权限应经过授权且满足需要,包括信息读取、使用、存

来源:freebuf.com 2020-07-19 16:32:36 by: jary123

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论