聊聊我所理解的信息安全體系建設

作為一名安全從業人員,在你的職業生涯過程中都會接觸到不同方面的信息安全體系的建設,同時經過自我不斷的學習與總結,會對信息安全體系有著自已的理解; 下文是我所理解的;

僅以此文向那些在企業進行安全體系各方面建設的各級苦逼安全從業者們致敬!

作為一名安全從業人員,在你的職業生涯過程中都會接觸到不同方面的信息安全體系的建設,同時經過自我不斷的學習與總結,會對信息安全體系有著自已的理解;

下圖為筆者所理解的信息安全體系架構的簡圖:

安全體系.png

筆者認為,信息安全體系化建設就是安全組織在特定范圍內,將涉及安全管理與安全技術的措施、功能、系統等相互關聯在一起,為了實現特定的安全建設目標,從而形成一個整體的過程。

各公司的信息安全的建設目標都大同小異,都是為了保護資產,通過評估安全風險,以總體安全策略為指導,制定安全保護措施,為公司信息系統及知識產權提供全面的安全保護,建立適用及高效的信息安全體系,盡可能的降低安全風險,從而提高組織的整體安全防護水平,為業務發展提供穩健的信息安全保護。

為了實現建設目標,需要兩種手段,也就是說信息安全體系建設應該包括安全技術與安全管理兩種手段,就像我們常說的“三分靠技術,七分靠管理”;其中安全技術手段是安全管理手段的基礎,安全管理手段是安全技術手段發揮作用的關鍵,安全保護措施的正確實施需要同時有管理手段的監管及技術手段來驗證,兩種手段相互配合,缺一不可;

安全體系所包含的內容

公司的信息安全體系建設是每個安全從業人員,尤其是安全管理者所繞不過的工作內容;

信息安全體系大多可分為信息安全管理體系,信息安全技術體系,以及信息安全運營體系三個主要體系;

接下來,筆者將對這三個體系簡單介紹一下:

信息安全管理體系指組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和系統,同時確認了安全組織架構及角色責任,并最終形成文件化管理體系的過程;

主要包括的內容應該有以下幾個方面:

一、制定安全總體方針,確認安全建設目標;

通過評估總體安全風險,確定安全綱領和總體方針,明確安全權利義務責任,有助于建立適用及高效的信息安全體系,盡可能的降低安全風險,提高組織的整體安全防護水平。

安全管理者還需要根據安全目標制定相應的安全規劃,包括長期目標及中期目標,以及階段性成果的短期目標,提高老板對信息安全的信心,從而獲取更多的支持;

二、建立組織機構,確認角色責任;

1.安全管理委員會,公司信息安全最高權利機構

安委會.png

信息安全管委員會主席應由高層管理層或全權代表擔任,是信息安全總體負責人,總體協調工作由安全部門負責人負責,委員由內審合規部,人力資源部,法務部,政府關系以及各事業部的產品、技術負責人組成。

定期召集信息安全委員會會議,委員提交各種決議草案,戰略計劃、政策建議,待發布的制度等,由委員會共同討論決策,如果針對某項決議委員會無法達成統一決議,由主席最后來決策;

執行小組,用以完成具體事務

執行小組.png

安全委員會下設執行小組,根據具體事務,將各委員與專家組共同進行確認,如成本控制,變更控制,風險管理,重大安全事件響應,以及合規審計等;

比如:風險管理小組 ;

工作內容:

a.識別相應的風險,并給出相應的風險處理措施;

b.建立風險管理團隊,確認風險估評的規程

c.識別相關的資產,脆弱性,以及風險

d.風險計算,計算總風險,以及剩余風險

e.風險處理措施,轉移,降低,規避,接受

2.專職的安全團隊

每個公司都需要有一個專職的安全團隊,執行安全管委會的指示,全面負責公司信息安全的具體工作;

安全團隊.png

三、人員管理,實現員工從入職到離職的全周期安全管理;

人員是公司最重要的信息資產,做為安全從業人員,你需要對人員進行有效的設計及管理,與人力資源部進行協作,降低相應的風險;

人事流程.png

如,安全培訓設計

設計安全培訓體系,通過多種樣式,讓員工能夠通過培訓學習安全制度以及安全技能,從而提高員工安全意識;     

安全培訓.png

四、最終策略體系文件化

形成以方針,基線、流程、說明等策略制度的文件**,最終落地執行實行有效的安全策略;

1.制定文檔編號

規范信息安全體系各文檔的命名方式及規則,從而保證文檔的唯一性、可識別性及可控性;

命名規則.png

2.確定安全制度文檔審批流程

根據公司實際情況,將HR,法務,內審合規部門協調起來,使制度策略落地執行;

制度策略.png

如何才能讓制度執行落地呢?

多部門協作,在制度起草時清晰相應部門的責任,并嚴格執行;

舉個例子,如《XXX公司-ISMS-03-XXXX 安全事件管理規范》此文檔由安全部門進行起草,安委會專家組評審對內容中安全事件等級評級及獎懲標準進行確認,交由HR部門進行發布,并由學習發展部門進行安排培訓,內審合規部門進行流程審核;

在制度執行方面,安全事件處理完成后,安全部門向HR提交責任部門責任人及獎罰建議并抄送安委會進行留檔,由HR部門發起獎罰通知單,如責任人有異議,則向安委會進行申訴,內審合規部門將會介入,對整個流程和獎懲建議進行審核,最后給出處理意見,并將結論提交到安委會審計合規組進行備案留檔; 

信息安全技術體系指為了實現公司安全建設目標,對公司技術相應風險進行識別,并建立相應的安全技術措施,實現層級保護結構,保護信息資產,實現業務持續性發展;

首先要確認公司的采用的技術及框架,需要匯總入庫;

開發技術方面:

1.業務都使用什么程序語言進行開發?

2.是否按照最佳開發實踐手冊進行編碼?

3.源代碼如何保管?

機密性策略:

1.采用何種加密方式,對稱加密與非對稱加密?

2.加密算法如何選擇,是國際通用算法,還是國密算法?

完整性策略:

1.散列算法用的是什么?MD5?SHA1?SHA256?

2.salt原則

可用性策略:

1.災難恢復策略

2.RAID技術

3.負載均衡策略

4.異地多活策略

5.備份策略

6.防DDOS手段

     認證鑒別策略:

1.用戶鑒別,統一管理還是分散管理?

2.認證方面,靜態口令?動態口令?是否考慮防抵賴?

3.授權方面,授權方式是什么?是否需要審批?

4.審計方面,使用什么手段?需要審計什么內容?是否防篡改?

密碼策略:

1.使用靜態口令推薦使用位數,是否符合復雜性限制?

2.是否定期更換?更換頻率是什么?

其它需要考慮的問題:

1.主要威脅是什么?來源于外部還是來源于內部?

2.主要風險是什么?是否有對策?

3.是否有第三方接入?安全要求是否考慮到?

4.是否需要通過購買什么產品構建?供應鏈安全是否考慮到?

5.如何能花更少的錢實現最大的保護?

6.如何將威懾、防御、檢測、恢復、響應、監控這些防護手段加入到縱深防御體系中呢?

   …. 

 

關于層級縱深防御

層級示意圖.png

相關層的內容包括如下內容:

.應用層

隨著互聯網的推廣,WEB應用越來越廣泛,針對WEB應用程序的攻擊也越來越多,如:跨站腳本攻擊(XSS)、SQL注入、目錄遍歷、緩沖區溢出、拒絕服務攻擊(DOS)、頁面篡改等;

建議措施:

1.不要相信用戶的輸入,刪除/轉碼特殊字符

2.限制輸入,僅僅允許輸入你所希望的內容;

3.不要輸出多余的信息,比如錯誤信息,軟件版本信息等;

4.最少的服務+最小的權限=最大程度的安全;

5.保持清晰的思維,一定要有安全意識;

各位看官一定要積極持續推動公司產品安全開發生命周期SDL流程的建立和完善;

SDL.png

各階段所考慮的安全特征:

設計階段–通過威脅建模以及安全知識庫,提高產品和開發的安全意識,在產品設計階段就能考慮安全需求,使產品更加安全可靠;

開發階段–通過編碼要求,最佳安全實踐,以及開發過程中調用安全類庫,提高代碼的安全性,在開發階段減少安全隱患;

測試階段–對項目進行安全測試,提高產品安全性和穩定性;

上線階段–將上線的產品進行深度的安全測試,同時對承載產品的服務器及關聯系統進行測試,減少由于其它系統的脆弱性給產品帶來的風險;

運行階段–安全部門通過對安全事件的響應,以及對安全漏洞的管理,使產品在運行階段穩固運行,使業務持續發展;

下線階段–督促下線產品進行代碼回收,設備的回收,以及剩余數據的處理,同時對無人管轄產品并存在重大安全隱患的產品進行緊急下線保護,避免下線產品對公司產生的風險;

.網絡層

計算機網絡是用通信線路和通信設備將分布在不同地點的多臺自治計算機系統互相連接起來,按照共同的網絡協議,實現資源共享的系統。隨著互聯網在全球范圍內的快速發展,針對及利用網絡層的攻擊也越來越多,如DDOS攻擊,木馬肉雞,網絡監聽,黑客掃描,流量分析等也越來越多;

建議措施:

1.對敏感區域進行劃分,通過訪問控制以及防火墻實現邊界防護

2.通過部署蜜罐系統,網絡入侵檢測系統以及安全掃描,對網絡內的風險進行識別,對內部業務及資源進行保護;

網絡.png

 (標紅為安全措施) 

.系統層

由于配置不當會導致黑客利用系統漏洞進行攻擊,可能導致系統出現權限提升、非授權訪問、軟件或服務崩潰,病毒木馬等情況;

建議措施:

1.最小化安裝原則;

2.動態口令登陸,開啟來源IP限制;

3.安全配置腳本,同時修改相應提示信息;

4.安裝HIDS

5.安裝殺軟

6.及時更新補丁

安裝鏡像根據公司業務特點進行定制化,安全人員務必參與其中,將安全要求定制到鏡像中,從而實現配置規范;

.終端層

需要每個終端設備必須經過網絡準入認證才能訪問公司資源;終端可能包括PC、筆記本、智能手機、平板電腦和特定設備,如打印機或電視機等。

建議措施:

1.網絡隔離,尤其是特定設備

2.辦公網接入防抵賴

3.部署防病毒軟件

4.對用戶行為進行畫像

同時部署DLP反泄密系統用以發現內部用戶泄密行為,并使用終端管理系統及上網行為管理系統,可對用戶行為進行畫像,檢測異常用戶行為,這樣將大大提高終端層的安全;

如有BYOD(BringYour Own Device)用戶攜帶自己的設備到公司辦公需要我們怎么做呢?簡單的原則就是達到公司辦公用機的安全要求即可;

.數據層

近年來,針對數據的攻擊事件日益增多,拖庫、撞庫現象頻發,歸納起來,數據受到的常見威脅大致包括:誤操作、錯誤的安全配置、內部人員泄密、未及時修復的漏洞、高級持續威脅(APT)等。

建議措施:

1.對數據進行分級分類,根據不同的數據類型進行不同的防護等級

2.敏感數據訪問控制,做好權限控制;

3.實現數據生命周期的安全管理,

4.做好數據備份和應急處理,設定合理的數據庫備份策略

5.完善的審計策略

分級分類原則及方法:

分類:依據數據的用途對數據進行分類;

分級:按照數據的內容敏感程度進行劃分,比如:敏感數據,業務數據,一般數據,內部公開等進行劃分,每個級別都有相應的安全保護措施;

值得特別提出的是用戶敏感信息,一定要進行保護;比如:個人***信息,屬于敏感信息,所采取的措施是,在獲取時告知用戶用途并爭得用戶同意(用戶須知),進行加密存儲,并加鹽處理,顯示規則全部打碼,后臺不可修改,必須進行加密傳輸,記錄使用日志,并進行審計;

.物理層

在這一層次的保護大多由公司行政部門進行負責,安全部門基本不參與,筆者建議安全管理者在遇到辦公區搬遷或新大樓入駐的時候也要參與一下,因為信息安全最終保護的是人員,而物理安全則是保護人員和資產的第一道屏障;

建議參與的內容:

1.辦公敏感區域劃分

2.物理IDS部署

3.警衛行動路線規劃

4.門禁系統部署

5.CCTV監控分布設計安裝

6.防火防盜

7.IDC機房溫濕度

8.審計權限等

特別提示:物理CCTV(閉路電視)等監控設備安裝要考慮到員工個人隱私問題

信息安全運營體系指通過對資源的管理,配置的管理,變更的管理以及事件的管理以及流程的控制,完成公司安全日常運營工作,實現對公司資產的保護;

首先作為安全從業人員要知道安全部門在公司中保護什么?

1.確認保護的目標

識別資產,并根據產品進行分級分類,同時根據重要程度設定優先

2.形成資源清單

簡單的資源類型如下:

資產清單.png

將資源清單形成CMDB(ConfigurationManagement Database),這樣就可以更好的管理資源,與業務、人員、組織、流程等多方面更好的進行聯動;

3.建立事務跟蹤工具,比如類JIRA工具,用于進行事務跟蹤、流程審批、任務跟蹤、項目跟蹤等工作

信息安全運營相關工作內容如下:

配置管理

制定基線,并確保系統處于一致的安全狀態;

那么公司如何設定安全配置基線呢?

以制作操作系統鏡像為例,首先安裝操作系統及所需軟件,并對系統進行安全配置和配置相應的其它安裝要求,然后進行人工檢測,最后將制作安裝鏡像,并將鏡像放在鏡像服務器;

需要注意版本控制,以及配置文檔更新,建議加入到知識庫;

事件管理

通過對安全事件的管理,實現問題快速處理,降低安全事件對公司帶來的損失和影響,從而提高公司運營安全及產品的安全性;

包括三個階段,具體內容如下:

事件管理.png

安全事件檢測響應體系:

PDR模型(基于時間維度的檢測響應體系)

PDR模型.png

感謝屈延文先生宣傳的PDR模型,它包括protection(保護)、detection(檢測)、response(響應)3個部份,是美國國際互聯網安全系統公司(ISS)提出的,基于時間的可證明的安全模型,其概念是防護(Protection)及其防護時間Pt(系統在黑客攻擊下的存活時間)、檢測(Detection)及其檢測時間Dt(黑客攻擊開始到被發現時間)、響應(Response)及其響應時間Rt(從發現攻擊到做出有效響應的時間);

任何安全防護措施都是基于時間的,超過該段時間,防護措施就可能被攻破。該模型的基本思想是承認信息系統中存在漏洞,正視系統所面臨的威脅,通過適度的防護并加強檢測,落實安全事件響應,保障系統安全。

安全狀態:Pt>Dt+Rt  S安全(系統S的防護時間Pt大于攻擊及響應事件,系統安全);非安全狀態:Pt<Dt+Rt,S是不安全的,系統暴露風險敞口事件Et=(Dt+Rt)-Pt。從攻擊檢測響應事件看,攻擊存活時間Pt對應的是黑客攻擊能力,不好把握。所以對檢測時間Dt和恢復響應時間要求就越來越高,就像中間提到的威脅情報引入會降低MTTD和MTTR一樣,采用自動化手段能顯著降低響應時間(Rt);

安全狀態.png

PDR模型的擴展包括PPDR以及PPDRR模型,其中PPDR模型增加了策略(policy);而進一步演化的PPDRR模型增加了恢復環節,包括策略(Policy)、防護(Protection)、檢測(Detection)、響應(Response)和恢復(Recovery)5個主要部分

變更管理

確保變更不會造成安全保護中斷或下降,使安全策略保持有效;

變更規程如下:

1.確認是否需要變更

2.提出變更請求

3.由安委會變更小組進行審查評定

4.批準變更

5.實施變更

6.記錄存檔

 

補丁管理

確保系統安裝補丁,可以修復現有軟件的漏洞,提高安全性;

建議推動補丁服務器的建立,如windows系統的WSUS(Windows Server Update Services),或者CentOS系統建立自已的YUM源服務器;

補丁更新需要遵守以下的步驟:

1.評估補丁,是否適用,補丁來源是否安全

2.測試補丁,對系統及業務是否有影響

3.批準補丁,可以參考變更管理部分,如有補丁服務器,將進行添加

4.部署補丁,管理員安裝補丁

5.確認部署,定期測試,確保補丁有效;

漏洞管理

定期檢測漏洞,評估并采取相應措施來減少相應風險;

通用漏洞披露(CVE)數據庫為安全從業人員提供了研究的方向和方法,它是由MITER維護的,網址為cve.mitre.org

相信大多數安全從業人員都經歷過,使用漏洞掃描器或者系統對保護的目標進行定期或不定期的掃描,發現漏洞,評估對業務的影響,找到管理員通知修復,并提供修復方法,并驗證是否修復;

各位已經看到我們有保護的目標,也就是前面說的CMDB,有流程控制系統,那個類JIRA的系統,有管理員,有修復方法,同時公司應該也有漏洞管理的規范,那么將其自動化怎么樣? 

安全滲透

滲透測試是通過模擬黑客的攻擊方法及方式,來評估公司信息系統安全的一種評估方法;

人員分為內部,也就是大家常聽到的藍軍團隊,或者攻擊團隊,以及外部,也就是第三方技術檢測團隊,如,安全公司,公司SRC,眾測等;

方式分為多種:黑盒測試,白盒測試,灰盒等等

一般步驟為:獲取授權,確認范圍,識別資產,掃描,漏洞利用,權限提升,滲透報告;

最值得注意的是,作為第三方的技術檢測團隊,滲透測試一定要有授權才可以;

安全運營平臺SOC

筆者所理解的SOC是一個集中、統一、可視化的安全信息管理平臺,它更像一個指揮平臺,安全部門可以通過它集中管理安全設備,實時采集各種安全信息,實時地對安全信息進行關聯分析及風險評估,通過建立安全策略,能夠更好的進行安全事件響應,安全漏洞處理,以及安全態勢感知,同時可視化提供更好的呈現,更好的對業務進行安全賦能。

WechatIMG358.png

包含及聯動的相應功能有:

1.統一安全設備管理

2.日志匯聚及處理

3.配置管理庫

4.變更管理庫

5.安全解決方案庫

6.安全工具庫

7.威脅情報中心

8.應急響應中心

9.安全培訓系統

10.可視化呈現

SOC也不是一蹴而就的,筆者的思路是分一二三步走:

第一步,把安全設備日志和內部系統日志收集分析,給員工畫像;將業務日志,生產流量進行分析,給用戶畫像,給數據流畫像;

第二步就是把處理問題的方案方法,以及相應管理系統操作都聯動起來,真正做到關聯分析操作;

第三步,實現漏洞事件處理可視化,系統操作簡化,成為安全部門的展示和操作平臺;

安全體系建設從來就不是一個項目,而是一個持續不斷發展的過程,而這個過程也是需要不斷的更新和修正,才能跟得上業務的發展;   

PDCA是安全體系建議很科學的程序,看官們一定要好好利用; 

PDCA.png

筆者認為,有些公司只有管理,技術,運營三大體系是不夠的,應該還有一個安全審計體系,實現“權力應該放在籠子里”,安全審計將對安全組織的權利進行制約,同時對安全體系建設的成果進行考核和審計,會使安全體系更加有效,強烈建議;

羅馬也不是一天就能建成的,安全體系建議也不是一下子就建好的,需要打好基礎,有目地,有規劃,循序漸進…

至此,筆者對安全體系建設的內容基本告一段落;

本文已發表在公眾號https://mp.weixin.qq.com/s?__biz=MzI5MjEyOTE4MA==&mid=2648519614&idx=1&sn=85ac20f46a828b4eed2948dcfc1a629b&chksm=f42f834dc3580a5bee3ff7d491ab1f465d9282b28ca5a847c637f3b94cfc2e8f5a28e10b151c&token=1071634576&lang=zh_CN#rd,歡迎關注:)

今天就聊到這,如果各位有什么意見或建議,歡迎交流;      

 (文件有些圖片來源于百度圖片,如侵權請告知)

4

發表評論

已有 2 條評論

取消
Loading...

相關推薦

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗