今日頭條
官方微信
官方抖音
資訊頻道前言
作為一名從事多年信息安全的工作者,深深感覺到信息安全無小事,事事需盡心。安全防護(hù)不應(yīng)該只防護(hù)外部攻擊,更多的防護(hù)工作應(yīng)該從內(nèi)部出發(fā),制定完善的安全管理制度,循序漸進(jìn)的推進(jìn)安全防護(hù)工作。企業(yè)信息安全建設(shè)工作可以從多個方面來建設(shè)與完善,我在這里就介紹信息安全等級保護(hù)的基本要求加上自己從事多年的安全工作經(jīng)驗,與各位共勉,干貨在后面。
等級保護(hù)包含哪些方面
根據(jù)GB/T22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》、GBT 22240-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》、GB/T 28448-2012 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求》等相關(guān)標(biāo)準(zhǔn),將等級保護(hù)分為 ‘技術(shù)’ 和 ‘管理’ 兩大模塊,其中技術(shù)部分包含:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)共五個方面;管理部分包含:安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理共五個方面,如下圖所示:
本篇文章具體介紹在信息安全等級保護(hù)三級要求中—安全管理機(jī)構(gòu)測評過程中的經(jīng)驗分享,安全管理機(jī)構(gòu)有5個測評指標(biāo),分別是崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。
如選圖所示:
我將以測評方的角度來看待安全問題,下面開始干活。
安全管理機(jī)構(gòu)具體測評
1、崗位設(shè)置
a:應(yīng)設(shè)立信息安全管理工作的職能部門,設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé)。
測評經(jīng)驗: 此條測評項主要是檢查客戶有沒有設(shè)立安全管理部門來具體負(fù)責(zé)信息安全工作,一般來說,政府單位會設(shè)立信息中心負(fù)責(zé),并且會設(shè)置信息中心主任(一般就默認(rèn)為安全主管),而在測評過程中發(fā)現(xiàn),企業(yè)在這方面做的工作就不夠,很多企業(yè)就只是有個兼職的部門來做這個事,而且沒有相應(yīng)的安全主管或安全負(fù)責(zé)人。我們在對這項進(jìn)行測評的時候,要詢問并記錄安全管理責(zé)任部門、責(zé)任人、安全主管的具體名稱,并要查看具體的崗位職責(zé)文件(有可能在任命文件中會提到)。
b:應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個工作崗位的職責(zé)。
測評經(jīng)驗 :這條就比較容易測評了,就訪談客戶看看有沒有設(shè)立安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、機(jī)房管理員等職位,并且應(yīng)提供專門的任職職責(zé)文件。一般來說,既然標(biāo)準(zhǔn)都著重提出安全、系統(tǒng)、網(wǎng)絡(luò)這三個管理員,所以我們也要著重看。值得注意的是,一是安全管理員必須是專職的,不能由任何其他管理員兼任;二是系統(tǒng)管理員和數(shù)據(jù)庫管理員不能為同一自然人,這兩點要特別注意。但在很多真實環(huán)境中,客戶方往往都沒有專門設(shè)立相應(yīng)的管理員,特別是安全管理員,并且根本不會出什么文件來明確各管理員的職責(zé),本人遇到過的一個單位,整個安全部門就兩個人,這種情況就是需要整改了。
c:應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。
測評經(jīng)驗 :在這一條測評項中,我們要詢問客戶方是否成立了信息安全委員會或者領(lǐng)導(dǎo)小組,不能客戶說成立了就成立了,我們應(yīng)該要查看領(lǐng)導(dǎo)小組成立的正式文件,要查看這個文件中的組長和組員,要求文件中應(yīng)有每個人的聯(lián)系方式以及工作職責(zé)。值得注意的是:領(lǐng)導(dǎo)小組的組長應(yīng)由企業(yè)一把手擔(dān)任,雖然標(biāo)準(zhǔn)中沒說必須,但在我國國情下(自行腦補(bǔ)國家信息安全領(lǐng)導(dǎo)小組組長),都應(yīng)該由一把手來擔(dān)任。
可以分享個真實的案例,我們當(dāng)?shù)氐囊患腋咝iT戶網(wǎng)站被入侵,首頁發(fā)布了一些影響較大的言論,造成了一些影響,這種情況下,一把手當(dāng)時是首當(dāng)其沖的,所以我們測評過程中都是要求客戶要由一把手來負(fù)責(zé)安全工作。
d:應(yīng)制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。
測評經(jīng)驗:這一條中,我們要檢查部門、崗位職責(zé)文件,查看部門職責(zé)是否覆蓋物理、網(wǎng)絡(luò)、系統(tǒng)安全等各個方面。崗位職責(zé)文件其實也可以查看招聘要求,招聘的時候一般就會說明此崗位的職責(zé)和需要的技能要求。一般我建議客戶的整改方案是制作一份部門的職責(zé)的文件,里面全面描述部門職責(zé)、人員劃分及職責(zé)的情況。
2、人員配備
a:應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。
測評經(jīng)驗: 這一條的測評方法就是詢問客戶系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的配備數(shù)量,要求是至少1人及以上。但很多客戶是達(dá)不到這種要求的,而我的建議整改是用兼職來代替,但兼職的注意事項就要參考b來實施了。
b:應(yīng)配備專職安全管理員,不可兼任。
測評經(jīng)驗: 這一條就是要求客戶的安全管理員是專崗專職的,不能由其他職位人員來兼任。如何驗證是專崗專職呢,就查看崗位人員情況表。不過話說回來,很多單位都沒有安全管理員…
c:關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。
測評經(jīng)驗: 這一條的測評難點是在關(guān)鍵事務(wù)崗位的認(rèn)定,很多客戶是根本不會想到還有關(guān)鍵事務(wù)崗位這個條件的,所以我一般會給客戶解釋哪些可以認(rèn)定為關(guān)鍵事務(wù)崗位,一般就是安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、機(jī)房管理員等,也可以包含其他的崗位,比如處理金錢的職位(和分為出納與財務(wù)是一個道理)、前臺敏感操作權(quán)限的職位等。關(guān)鍵事務(wù)崗位就要求必須是2人及以上了,或者互設(shè)為AB角。
3、授權(quán)和審批
a:應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等。
測評經(jīng)驗:這條測評項的測評方法就是訪談安全主管,詢問對哪些信息系統(tǒng)活動進(jìn)行審批,審批的部門是何部門,審批人是何人。一般情況下客戶都會有這些東西,但是不會很全面,這個時候我一般就建議客戶先把一些重要的活動進(jìn)行審批就行,包含但不限于物理訪問、遠(yuǎn)程控制、權(quán)限授予與變更、系統(tǒng)接入、需求變更等。
b:應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序,按照審批程序執(zhí)行審批過程,對重要活動建立逐級審批制度。
測評經(jīng)驗:這一條說的比較清楚了,測評過程中至少要查看四份審批單:系統(tǒng)變更(包括權(quán)限變更、結(jié)構(gòu)變更等)、重要操作(數(shù)據(jù)刪除、權(quán)限變更、數(shù)據(jù)備份等)、物理訪問(訪問物理機(jī)房、訪問辦公環(huán)境中的敏感區(qū)域等)、系統(tǒng)接入(網(wǎng)絡(luò)接入、遠(yuǎn)程控制、wifi接入等)。要查看這個審批流程中是否包含申請人、審核人、批準(zhǔn)人,某些審批單也要查看授權(quán)的有效時間,因為遇到過授權(quán)日期已過,但授權(quán)賬號還存在的情況,這是需要特別注意的。
c:應(yīng)定期審查審批事項,及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。
測評經(jīng)驗:這條的測評方式是檢查審批事項的記錄,查看是否對審批事項、審批部門、審批人的變更進(jìn)行評審;詢問安全主管是否定期審查、更新審批項目,審查周期多長。為什么會有這一項測評,因為在實際環(huán)境中,特別是在大型企業(yè)中,往往部門很多,人員復(fù)雜,業(yè)務(wù)流程復(fù)雜,審批流程涉及人員多。存在某一人員離崗后還在使用以前的審批流程,就會導(dǎo)致越權(quán)操作,所以要定期審查審批事項。
d: 應(yīng)記錄審批過程并保存審批文檔。
測評經(jīng)驗:這條就不用說了,隨機(jī)抽查幾份審批文檔,看看是否與當(dāng)時及當(dāng)前的情況一致。
4、溝通和合作
a:應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會議,共同協(xié)作處理信息安全問題。
測評經(jīng)驗:這個測評比較簡單,就查看下內(nèi)部有沒有在一起開過會,有沒有一起處理過安全問題,這個只需要客戶提供會議紀(jì)要或者處理安全問題的過程表就行了,時間上面不需要特別的要求。
b:應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。
測評經(jīng)驗:這一條就不多說,默認(rèn)符合,原因不好說,就自行理解吧。
c:應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。
測評經(jīng)驗:這條測評項其實也沒什么好說的,如何算是符合呢,只要客戶能提供與安全服務(wù)商簽訂的合作合同就行,像我們自身是測評單位,肯定也會與客戶簽訂關(guān)于等保測評的合同,所以這條默認(rèn)符合。
d:應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。
測評經(jīng)驗:這一條就查看客戶能否提供外聯(lián)單位的聯(lián)系列表,為什么會要求這項內(nèi)容呢,個人理解就是甲方人員變動的時候,方便下一位接手人員能夠更快的接手工作。
e:應(yīng)聘請信息安全專家作為常年的安全顧問,指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評審等。
測評經(jīng)驗:這一條就要看合同的內(nèi)容了,一般只要與安全公司簽訂安全服務(wù)合同,像什么安全運(yùn)維的、應(yīng)急的、評估的、規(guī)劃的內(nèi)容等等都是可以的。這一條主要測評是在理解“常年”二字,就是要查看合同的期限,一般來說有連續(xù)三年以上的才算符合。
5、審核和檢查
a:安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
測評經(jīng)驗:這一條的測評主要是看“定期”與“檢查內(nèi)容”兩詞,要查看客戶有沒有提供安全檢查的報告。查看報告的時間就可以看出是不是定期的;查看檢查項就可以看出檢查了哪些方面。這一項的測評其實很大意義上來說是系統(tǒng)管理員的工作,但很多系統(tǒng)管理員對漏洞這塊內(nèi)容不太熟,所以如果是系統(tǒng)管理員和安全管理員一起執(zhí)行此項工作是很好的。一般來說,客戶不會做的細(xì)則,很多情況就是把相應(yīng)的系統(tǒng)或者設(shè)備加到監(jiān)控系統(tǒng)里面去,比如Zabbix等,但系統(tǒng)漏洞這塊的內(nèi)容很多監(jiān)控系統(tǒng)就沒法完成,所以這一項很多都得不了滿分,給個3分算高的。
b:應(yīng)由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。
測評經(jīng)驗:這一項得滿分的就基本沒有了,首先要理解全面的安全檢查,僅這一塊,就很多客戶頭大了,因為根本不知道要檢查些什么。我到客戶現(xiàn)場的一般做法是就是先把客戶的各種權(quán)限授予單拿出來對比,一般就直接扣分了,再看安全管理制度的執(zhí)行情況,那就基本確認(rèn)0分了。這一項其實很多客戶都是做了相應(yīng)的工作的,只是沒有形成完善的流程體系,所以失分比較多,我會建議客戶在以后的安全工作都要做好記錄,凸顯工作量,也好給領(lǐng)導(dǎo)看。
c:應(yīng)制定安全檢查表格實施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報告,并對安全檢查結(jié)果進(jìn)行通報。
測評經(jīng)驗 :這項測評要求看起來字不多,但是要查看的資料其實是蠻多的,一是首先要有個安全檢查表,二是要實施了安全檢查工作,三是要匯總安全檢查的數(shù)據(jù),四是要查看是否有安全檢查報告,五是要進(jìn)行結(jié)果通報。很多企業(yè)其實在第一點上面就直接OVER了,這種情況太多了。。同理,基本都是零分。一般給客戶建議的就是定期做個安全檢查,如果不會,就請第三方來做。
d:應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動。
測評經(jīng)驗:這一條測評項就是一個具體的制度了,客戶一般都沒有,這項的測評打分就看有沒有這個制度,只要有就得了4分,如果內(nèi)容也比較全的話,就可以得5分了(一般內(nèi)容都不全,4分算是比較合理的)。我一般就建議客戶在取制度名稱的時候就直接取“安全審核和安全檢查制度”。這個制度主要拿來規(guī)范和支持安全審核和安全檢查工作的,一般內(nèi)容包括但不限于規(guī)定檢查內(nèi)容、檢查程序、檢查周期、檢查人員資格、檢查對象、檢查方式、檢查工具、檢查結(jié)果處理等內(nèi)容。
總結(jié)
以上就是等保三級里面安全管理機(jī)構(gòu)的全部測評內(nèi)容,別看內(nèi)容不多,但要測評起來還是很麻煩的。曾經(jīng)給一個金融行業(yè)的客戶做評估,使用標(biāo)準(zhǔn)是通用標(biāo)準(zhǔn)+行業(yè)標(biāo)準(zhǔn),就這么點內(nèi)容,給他們測了一下午的時間。
心得:
測評過程中,往往會遇到各種各樣的問題,客戶的技術(shù)能力也參差不齊,講解的詳細(xì)程度也不一樣,我的感覺是每一次做測評,都像是免費送了一次安全培訓(xùn)。由此可見,打鐵還需自身硬,企業(yè)想要做好安全工作,僅僅靠外部力量是不行的,還需要企業(yè)自身有相關(guān)的安全人才。
另外多說一句:
等保涉及安全的各個方面, 并不是那么簡單的,需要大量的安全經(jīng)驗累積,希望想從事等保測評的同志好好仔細(xì)看看,歡迎留言交流。
來源:FreeBuf
北京市公安局海淀分局備案號:11010802023656號