今日頭條
官方微信
官方抖音
資訊頻道前言
作為一名從事多年信息安全的工作者,深深感覺到信息安全無小事,事事需盡心。安全防護不應該只防護外部攻擊,更多的防護工作應該從內部出發,制定完善的安全管理制度,循序漸進的推進安全防護工作。企業信息安全建設工作可以從多個方面來建設與完善,我在這里就介紹信息安全等級保護的基本要求加上自己從事多年的安全工作經驗,與各位共勉,干貨在后面。
等級保護包含哪些方面
根據GB/T22239-2008 《信息安全技術 信息系統安全等級保護基本要求》、GBT 22240-2008 《信息安全技術 信息系統安全等級保護定級指南》、GB/T 28448-2012 《信息安全技術 信息系統安全等級保護測評要求》等相關標準,將等級保護分為 ‘技術’ 和 ‘管理’ 兩大模塊,其中技術部分包含:物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復共五個方面;管理部分包含:安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理共五個方面,如下圖所示:
本篇文章具體介紹在信息安全等級保護三級要求中—安全管理機構測評過程中的經驗分享,安全管理機構有5個測評指標,分別是崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。
如選圖所示:
我將以測評方的角度來看待安全問題,下面開始干活。
安全管理機構具體測評
1、崗位設置
a:應設立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責。
測評經驗: 此條測評項主要是檢查客戶有沒有設立安全管理部門來具體負責信息安全工作,一般來說,政府單位會設立信息中心負責,并且會設置信息中心主任(一般就默認為安全主管),而在測評過程中發現,企業在這方面做的工作就不夠,很多企業就只是有個兼職的部門來做這個事,而且沒有相應的安全主管或安全負責人。我們在對這項進行測評的時候,要詢問并記錄安全管理責任部門、責任人、安全主管的具體名稱,并要查看具體的崗位職責文件(有可能在任命文件中會提到)。
b:應設立系統管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責。
測評經驗 :這條就比較容易測評了,就訪談客戶看看有沒有設立安全管理員、網絡管理員、系統管理員、數據庫管理員、機房管理員等職位,并且應提供專門的任職職責文件。一般來說,既然標準都著重提出安全、系統、網絡這三個管理員,所以我們也要著重看。值得注意的是,一是安全管理員必須是專職的,不能由任何其他管理員兼任;二是系統管理員和數據庫管理員不能為同一自然人,這兩點要特別注意。但在很多真實環境中,客戶方往往都沒有專門設立相應的管理員,特別是安全管理員,并且根本不會出什么文件來明確各管理員的職責,本人遇到過的一個單位,整個安全部門就兩個人,這種情況就是需要整改了。
c:應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。
測評經驗 :在這一條測評項中,我們要詢問客戶方是否成立了信息安全委員會或者領導小組,不能客戶說成立了就成立了,我們應該要查看領導小組成立的正式文件,要查看這個文件中的組長和組員,要求文件中應有每個人的聯系方式以及工作職責。值得注意的是:領導小組的組長應由企業一把手擔任,雖然標準中沒說必須,但在我國國情下(自行腦補國家信息安全領導小組組長),都應該由一把手來擔任。
可以分享個真實的案例,我們當地的一家高校門戶網站被入侵,首頁發布了一些影響較大的言論,造成了一些影響,這種情況下,一把手當時是首當其沖的,所以我們測評過程中都是要求客戶要由一把手來負責安全工作。
d:應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。
測評經驗:這一條中,我們要檢查部門、崗位職責文件,查看部門職責是否覆蓋物理、網絡、系統安全等各個方面。崗位職責文件其實也可以查看招聘要求,招聘的時候一般就會說明此崗位的職責和需要的技能要求。一般我建議客戶的整改方案是制作一份部門的職責的文件,里面全面描述部門職責、人員劃分及職責的情況。
2、人員配備
a:應配備一定數量的系統管理員、網絡管理員、安全管理員等。
測評經驗: 這一條的測評方法就是詢問客戶系統管理員、網絡管理員、安全管理員的配備數量,要求是至少1人及以上。但很多客戶是達不到這種要求的,而我的建議整改是用兼職來代替,但兼職的注意事項就要參考b來實施了。
b:應配備專職安全管理員,不可兼任。
測評經驗: 這一條就是要求客戶的安全管理員是專崗專職的,不能由其他職位人員來兼任。如何驗證是專崗專職呢,就查看崗位人員情況表。不過話說回來,很多單位都沒有安全管理員…
c:關鍵事務崗位應配備多人共同管理。
測評經驗: 這一條的測評難點是在關鍵事務崗位的認定,很多客戶是根本不會想到還有關鍵事務崗位這個條件的,所以我一般會給客戶解釋哪些可以認定為關鍵事務崗位,一般就是安全管理員、系統管理員、網絡管理員、數據庫管理員、機房管理員等,也可以包含其他的崗位,比如處理金錢的職位(和分為出納與財務是一個道理)、前臺敏感操作權限的職位等。關鍵事務崗位就要求必須是2人及以上了,或者互設為AB角。
3、授權和審批
a:應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等。
測評經驗:這條測評項的測評方法就是訪談安全主管,詢問對哪些信息系統活動進行審批,審批的部門是何部門,審批人是何人。一般情況下客戶都會有這些東西,但是不會很全面,這個時候我一般就建議客戶先把一些重要的活動進行審批就行,包含但不限于物理訪問、遠程控制、權限授予與變更、系統接入、需求變更等。
b:應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序,按照審批程序執行審批過程,對重要活動建立逐級審批制度。
測評經驗:這一條說的比較清楚了,測評過程中至少要查看四份審批單:系統變更(包括權限變更、結構變更等)、重要操作(數據刪除、權限變更、數據備份等)、物理訪問(訪問物理機房、訪問辦公環境中的敏感區域等)、系統接入(網絡接入、遠程控制、wifi接入等)。要查看這個審批流程中是否包含申請人、審核人、批準人,某些審批單也要查看授權的有效時間,因為遇到過授權日期已過,但授權賬號還存在的情況,這是需要特別注意的。
c:應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息。
測評經驗:這條的測評方式是檢查審批事項的記錄,查看是否對審批事項、審批部門、審批人的變更進行評審;詢問安全主管是否定期審查、更新審批項目,審查周期多長。為什么會有這一項測評,因為在實際環境中,特別是在大型企業中,往往部門很多,人員復雜,業務流程復雜,審批流程涉及人員多。存在某一人員離崗后還在使用以前的審批流程,就會導致越權操作,所以要定期審查審批事項。
d: 應記錄審批過程并保存審批文檔。
測評經驗:這條就不用說了,隨機抽查幾份審批文檔,看看是否與當時及當前的情況一致。
4、溝通和合作
a:應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通,定期或不定期召開協調會議,共同協作處理信息安全問題。
測評經驗:這個測評比較簡單,就查看下內部有沒有在一起開過會,有沒有一起處理過安全問題,這個只需要客戶提供會議紀要或者處理安全問題的過程表就行了,時間上面不需要特別的要求。
b:應加強與兄弟單位、公安機關、電信公司的合作與溝通。
測評經驗:這一條就不多說,默認符合,原因不好說,就自行理解吧。
c:應加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通。
測評經驗:這條測評項其實也沒什么好說的,如何算是符合呢,只要客戶能提供與安全服務商簽訂的合作合同就行,像我們自身是測評單位,肯定也會與客戶簽訂關于等保測評的合同,所以這條默認符合。
d:應建立外聯單位聯系列表,包括外聯單位名稱、合作內容、聯系人和聯系方式等信息。
測評經驗:這一條就查看客戶能否提供外聯單位的聯系列表,為什么會要求這項內容呢,個人理解就是甲方人員變動的時候,方便下一位接手人員能夠更快的接手工作。
e:應聘請信息安全專家作為常年的安全顧問,指導信息安全建設,參與安全規劃和安全評審等。
測評經驗:這一條就要看合同的內容了,一般只要與安全公司簽訂安全服務合同,像什么安全運維的、應急的、評估的、規劃的內容等等都是可以的。這一條主要測評是在理解“常年”二字,就是要查看合同的期限,一般來說有連續三年以上的才算符合。
5、審核和檢查
a:安全管理員應負責定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況。
測評經驗:這一條的測評主要是看“定期”與“檢查內容”兩詞,要查看客戶有沒有提供安全檢查的報告。查看報告的時間就可以看出是不是定期的;查看檢查項就可以看出檢查了哪些方面。這一項的測評其實很大意義上來說是系統管理員的工作,但很多系統管理員對漏洞這塊內容不太熟,所以如果是系統管理員和安全管理員一起執行此項工作是很好的。一般來說,客戶不會做的細則,很多情況就是把相應的系統或者設備加到監控系統里面去,比如Zabbix等,但系統漏洞這塊的內容很多監控系統就沒法完成,所以這一項很多都得不了滿分,給個3分算高的。
b:應由內部人員或上級單位定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。
測評經驗:這一項得滿分的就基本沒有了,首先要理解全面的安全檢查,僅這一塊,就很多客戶頭大了,因為根本不知道要檢查些什么。我到客戶現場的一般做法是就是先把客戶的各種權限授予單拿出來對比,一般就直接扣分了,再看安全管理制度的執行情況,那就基本確認0分了。這一項其實很多客戶都是做了相應的工作的,只是沒有形成完善的流程體系,所以失分比較多,我會建議客戶在以后的安全工作都要做好記錄,凸顯工作量,也好給領導看。
c:應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報。
測評經驗 :這項測評要求看起來字不多,但是要查看的資料其實是蠻多的,一是首先要有個安全檢查表,二是要實施了安全檢查工作,三是要匯總安全檢查的數據,四是要查看是否有安全檢查報告,五是要進行結果通報。很多企業其實在第一點上面就直接OVER了,這種情況太多了。。同理,基本都是零分。一般給客戶建議的就是定期做個安全檢查,如果不會,就請第三方來做。
d:應制定安全審核和安全檢查制度規范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。
測評經驗:這一條測評項就是一個具體的制度了,客戶一般都沒有,這項的測評打分就看有沒有這個制度,只要有就得了4分,如果內容也比較全的話,就可以得5分了(一般內容都不全,4分算是比較合理的)。我一般就建議客戶在取制度名稱的時候就直接取“安全審核和安全檢查制度”。這個制度主要拿來規范和支持安全審核和安全檢查工作的,一般內容包括但不限于規定檢查內容、檢查程序、檢查周期、檢查人員資格、檢查對象、檢查方式、檢查工具、檢查結果處理等內容。
總結
以上就是等保三級里面安全管理機構的全部測評內容,別看內容不多,但要測評起來還是很麻煩的。曾經給一個金融行業的客戶做評估,使用標準是通用標準+行業標準,就這么點內容,給他們測了一下午的時間。
心得:
測評過程中,往往會遇到各種各樣的問題,客戶的技術能力也參差不齊,講解的詳細程度也不一樣,我的感覺是每一次做測評,都像是免費送了一次安全培訓。由此可見,打鐵還需自身硬,企業想要做好安全工作,僅僅靠外部力量是不行的,還需要企業自身有相關的安全人才。
另外多說一句:
等保涉及安全的各個方面, 并不是那么簡單的,需要大量的安全經驗累積,希望想從事等保測評的同志好好仔細看看,歡迎留言交流。
來源:FreeBuf
北京市公安局海淀分局備案號:11010802023656號