*本文作者:jin16879,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
作为一名从事多年信息安全的工作者,深深感觉到信息安全无小事,事事需尽心。安全防护不应该只防护外部攻击,更多的防护工作应该从内部出发,制定完善的安全管理制度,循序渐进的推进安全防护工作。企业信息安全建设工作可以从多个方面来建设与完善,我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验,与各位共勉,干货在后面。
等级保护包含哪些方面
根据GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》、GBT 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》、GB/T 28448-2012 《信息安全技术 信息系统安全等级保护测评要求》等相关标准,将等级保护分为 ‘技术’ 和 ‘管理’ 两大模块,其中技术部分包含:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面;管理部分包含:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理共五个方面,如下图所示:
本篇文章具体介绍在信息安全等级保护三级要求中–安全管理机构测评过程中的经验分享,安全管理机构有5个测评指标,分别是岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
如选图所示:
我将以测评方的角度来看待安全问题,下面开始干活。
安全管理机构具体测评
1、岗位设置
a:应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
测评经验: 此条测评项主要是检查客户有没有设立安全管理部门来具体负责信息安全工作,一般来说,政府单位会设立信息中心负责,并且会设置信息中心主任(一般就默认为安全主管),而在测评过程中发现,企业在这方面做的工作就不够,很多企业就只是有个兼职的部门来做这个事,而且没有相应的安全主管或安全负责人。我们在对这项进行测评的时候,要询问并记录安全管理责任部门、责任人、安全主管的具体名称,并要查看具体的岗位职责文件(有可能在任命文件中会提到)。
b:应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
测评经验 :这条就比较容易测评了,就访谈客户看看有没有设立安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员等职位,并且应提供专门的任职职责文件。一般来说,既然标准都着重提出安全、系统、网络这三个管理员,所以我们也要着重看。值得注意的是,一是安全管理员必须是专职的,不能由任何其他管理员兼任;二是系统管理员和数据库管理员不能为同一自然人,这两点要特别注意。但在很多真实环境中,客户方往往都没有专门设立相应的管理员,特别是安全管理员,并且根本不会出什么文件来明确各管理员的职责,本人遇到过的一个单位,整个安全部门就两个人,这种情况就是需要整改了。
c:应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
测评经验 :在这一条测评项中,我们要询问客户方是否成立了信息安全委员会或者领导小组,不能客户说成立了就成立了,我们应该要查看领导小组成立的正式文件,要查看这个文件中的组长和组员,要求文件中应有每个人的联系方式以及工作职责。值得注意的是:领导小组的组长应由企业一把手担任,虽然标准中没说必须,但在我国国情下(自行脑补国家信息安全领导小组组长),都应该由一把手来担任。
可以分享个真实的案例,我们当地的一家高校门户网站被入侵,首页发布了一些影响较大的言论,造成了一些影响,这种情况下,一把手当时是首当其冲的,所以我们测评过程中都是要求客户要由一把手来负责安全工作。
d:应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
测评经验:这一条中,我们要检查部门、岗位职责文件,查看部门职责是否覆盖物理、网络、系统安全等各个方面。岗位职责文件其实也可以查看招聘要求,招聘的时候一般就会说明此岗位的职责和需要的技能要求。一般我建议客户的整改方案是制作一份部门的职责的文件,里面全面描述部门职责、人员划分及职责的情况。
2、人员配备
a:应配备一定数量的系统管理员、网络管理员、安全管理员等。
测评经验: 这一条的测评方法就是询问客户系统管理员、网络管理员、安全管理员的配备数量,要求是至少1人及以上。但很多客户是达不到这种要求的,而我的建议整改是用兼职来代替,但兼职的注意事项就要参考1.b来实施了。
b:应配备专职安全管理员,不可兼任。
测评经验: 这一条就是要求客户的安全管理员是专岗专职的,不能由其他职位人员来兼任。如何验证是专岗专职呢,就查看岗位人员情况表。不过话说回来,很多单位都没有安全管理员……….
c:关键事务岗位应配备多人共同管理。
测评经验: 这一条的测评难点是在关键事务岗位的认定,很多客户是根本不会想到还有关键事务岗位这个条件的,所以我一般会给客户解释哪些可以认定为关键事务岗位,一般就是安全管理员、系统管理员、网络管理员、数据库管理员、机房管理员等,也可以包含其他的岗位,比如处理金钱的职位(和分为出纳与财务是一个道理)、前台敏感操作权限的职位等。关键事务岗位就要求必须是2人及以上了,或者互设为AB角。
3、授权和审批
a:应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
测评经验:这条测评项的测评方法就是访谈安全主管,询问对哪些信息系统活动进行审批,审批的部门是何部门,审批人是何人。一般情况下客户都会有这些东西,但是不会很全面,这个时候我一般就建议客户先把一些重要的活动进行审批就行,包含但不限于物理访问、远程控制、权限授予与变更、系统接入、需求变更等。
b:应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
测评经验:这一条说的比较清楚了,测评过程中至少要查看四份审批单:系统变更(包括权限变更、结构变更等)、重要操作(数据删除、权限变更、数据备份等)、物理访问(访问物理机房、访问办公环境中的敏感区域等)、系统接入(网络接入、远程控制、wifi接入等)。要查看这个审批流程中是否包含申请人、审核人、批准人,某些审批单也要查看授权的有效时间,因为遇到过授权日期已过,但授权账号还存在的情况,这是需要特别注意的。
c:应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
测评经验:这条的测评方式是检查审批事项的记录,查看是否对审批事项、审批部门、审批人的变更进行评审;询问安全主管是否定期审查、更新审批项目,审查周期多长。为什么会有这一项测评,因为在实际环境中,特别是在大型企业中,往往部门很多,人员复杂,业务流程复杂,审批流程涉及人员多。存在某一人员离岗后还在使用以前的审批流程,就会导致越权操作,所以要定期审查审批事项。
d: 应记录审批过程并保存审批文档。
测评经验:这条就不用说了,随机抽查几份审批文档,看看是否与当时及当前的情况一致。
4、沟通和合作
a:应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
测评经验:这个测评比较简单,就查看下内部有没有在一起开过会,有没有一起处理过安全问题,这个只需要客户提供会议纪要或者处理安全问题的过程表就行了,时间上面不需要特别的要求。
b:应加强与兄弟单位、公安机关、电信公司的合作与沟通。
测评经验:这一条就不多说,默认符合,原因不好说,就自行理解吧。
c:应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
测评经验:这条测评项其实也没什么好说的,如何算是符合呢,只要客户能提供与安全服务商签订的合作合同就行,像我们自身是测评单位,肯定也会与客户签订关于等保测评的合同,所以这条默认符合。
d:应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
测评经验:这一条就查看客户能否提供外联单位的联系列表,为什么会要求这项内容呢,个人理解就是甲方人员变动的时候,方便下一位接手人员能够更快的接手工作。
e:应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
测评经验:这一条就要看合同的内容了,一般只要与安全公司签订安全服务合同,像什么安全运维的、应急的、评估的、规划的内容等等都是可以的。这一条主要测评是在理解“常年”二字,就是要查看合同的期限,一般来说有连续三年以上的才算符合。
5、审核和检查
a:安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
测评经验:这一条的测评主要是看“定期”与“检查内容”两词,要查看客户有没有提供安全检查的报告。查看报告的时间就可以看出是不是定期的;查看检查项就可以看出检查了哪些方面。这一项的测评其实很大意义上来说是系统管理员的工作,但很多系统管理员对漏洞这块内容不太熟,所以如果是系统管理员和安全管理员一起执行此项工作是很好的。一般来说,客户不会做的细则,很多情况就是把相应的系统或者设备加到监控系统里面去,比如Zabbix等,但系统漏洞这块的内容很多监控系统就没法完成,所以这一项很多都得不了满分,给个3分算高的。
b:应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
测评经验:这一项得满分的就基本没有了,首先要理解全面的安全检查,仅这一块,就很多客户头大了,因为根本不知道要检查些什么。我到客户现场的一般做法是就是先把客户的各种权限授予单拿出来对比,一般就直接扣分了,再看安全管理制度的执行情况,那就基本确认0分了。这一项其实很多客户都是做了相应的工作的,只是没有形成完善的流程体系,所以失分比较多,我会建议客户在以后的安全工作都要做好记录,凸显工作量,也好给领导看。
c:应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
测评经验 :这项测评要求看起来字不多,但是要查看的资料其实是蛮多的,一是首先要有个安全检查表,二是要实施了安全检查工作,三是要汇总安全检查的数据,四是要查看是否有安全检查报告,五是要进行结果通报。很多企业其实在第一点上面就直接OVER了,这种情况太多了。。同理,基本都是零分。一般给客户建议的就是定期做个安全检查,如果不会,就请第三方来做。
d:应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
测评经验:这一条测评项就是一个具体的制度了,客户一般都没有,这项的测评打分就看有没有这个制度,只要有就得了4分,如果内容也比较全的话,就可以得5分了(一般内容都不全,4分算是比较合理的)。我一般就建议客户在取制度名称的时候就直接取“安全审核和安全检查制度”。这个制度主要拿来规范和支持安全审核和安全检查工作的,一般内容包括但不限于规定检查内容、检查程序、检查周期、检查人员资格、检查对象、检查方式、检查工具、检查结果处理等内容。
总结
以上就是等保三级里面安全管理机构的全部测评内容,别看内容不多,但要测评起来还是很麻烦的。曾经给一个金融行业的客户做评估,使用标准是通用标准+行业标准,就这么点内容,给他们测了一下午的时间。
心得:
测评过程中,往往会遇到各种各样的问题,客户的技术能力也参差不齐,讲解的详细程度也不一样,我的感觉是每一次做测评,都像是免费送了一次安全培训。由此可见,打铁还需自身硬,企业想要做好安全工作,仅仅靠外部力量是不行的,还需要企业自身有相关的安全人才。
另外多说一句:
等保涉及安全的各个方面, 并不是那么简单的,需要大量的安全经验累积,希望想从事等保测评的同志好好仔细看看,欢迎留言交流。
*本文作者:jin16879,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
来源:freebuf.com 2018-11-05 08:00:50 by: jin16879
请登录后发表评论
注册