一個人的安全部之企業資訊保安建設規劃
*本文原創作者:liong03,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
一 前言
先簡單自我介紹一下,其實,我是一個安全工程師。也是一個人的“安全部”,現在某創業型企業。。。
近期給某企業做了一份資訊保安建設規劃方案,但已經用不上了,因此突然想如果就這樣了了,還不如拿出來分享。。。
目錄架構
二 設計思路
資訊保安規劃,根據一些驅動因素進行思考,設計思路:
注:安全規劃思路,主要是用於安全建設的一個指導思想,在實際安全建設工作中,初級階段也可能包括安全深度感知、自主可控的建設的內容。
資訊保安是由多方面組成,主要工作需要防範威脅發生的可能,以及採取風險降低措施,因此安全工作開展涉及多方面的內容:
三 階段規劃實施
在規劃實施前,會先進行安全現狀瞭解,主要是通過對主機、應用系統、資料、終端、網路進行訪談和抽查,發現一些大致和企業共性的問題。
主要是從資產資訊收集,然後分析主機、應用、網路、資料、終端方面存在的一些安全問題,由於此次企業的生產伺服器均在雲上,因此也就未考慮物理機房的安全。
通過前期的現狀分析, 安全建設採用分期建設,主要是根據工作開展的緊迫性和易操作性進行分期規劃。
3.1 一期建設主要任務
資訊保安建設一期中進行安全技術檢查以及行業安全預警跟蹤,儘量及時發現安全脆弱性並加固指導,為後期安全建設提供指導依據。
工作開展計劃先防範風險屬性由外向內,影響嚴重程度由高向低進行時間安排。
3.2 二期建設主要任務
在資訊保安建設一期的基礎上開展二期建設計劃,主要針對內網安全、加強人員資訊保安意識、建立安全預警和安全管理體系初級檔案等工作。
3.3 三期建設主要任務
在資訊保安建設一期、二期的基礎上開展三期建設計劃,主要加強WEB安全問題早期發現、系統上線變更、資料防洩露等安全能力,全面提升安全體系管理與審計能力。
3.4 四期建設主要任務
在資訊保安建設一期、二期和三期的基礎上開展四期建設計劃,主要加強安全體系管理、審計和考核管理,更加有效的幫助軟體企業降低安全問題,提升對安全問題進行集中發現、管控及處理能力,實現安全主動防禦以及增強追蹤能力。
四 規劃內容
4.1 建設攻防實驗平臺
在企業內部建設一個專業的、私有的網路攻防實驗平臺,來滿足專業網路安全實踐、安全防護能力和安全意識提升、跟蹤最新網路安全技術和提升企業級專業影響力等具體需要。實驗平臺可承擔網路安全相關的技能實訓實習、綜合實訓以及網路安全檢測。
攻防實驗平臺主要能模擬以下的環境進行各種不同型別的攻防實驗。
為更接近一般網路的真實環境,與投入因素,後續將陸續增加的攻防實驗平臺套件,包括安全防護軟體、中介軟體、資料庫等。
攻防實驗平臺可能用到的部分工具:
4.2 安全評估與加固
4.2.1 主機安全評估與加固
主機安全檢查:
主機安全加固:
對上述範圍內的主機作業系統、資料庫系統和中介軟體等進行安全加固指導,解答各管理員在加固過程中所遇的疑難問題。
根據前期安全檢查的結果,提交針對主機的安全加固方案,與相關部門討論並認可後協助各部門進行安全加固實施。
4.2.2 應用安全評估與加固
應用安全檢查:
應用安全加固:
根據前期應用安全檢查的結果,提交針對應用的安全加固方案,與各部門討論並認可後由協助各部門進行安全加固實施。
4.2.3 網路安全評估與加固
網路安全檢查:
網路裝置安全加固:
根據前期網路裝置安全檢查的結果,提交針對網路裝置的安全加固方案,與各部門討論並認可後由協助各部門進行安全加固實施。
4.3 滲透測試
4.3.1 滲透測試類別
Ø根據測試者在測試前掌握被測物件的資訊多少可分為:
· 黑盒測試:滲透測試操作人員完全處於對系統一無所知的狀態,通常這類測試的最初資訊來自於DNS、Web、Email及各種公開對外的伺服器,主要是模擬來自網際網路的攻擊者。 · 白盒測試:測試者可以通過正常渠道向被測者要求,取得各種包括網路拓撲、員工資料甚至網站或其他程式的程式碼片斷等資料,這類測試的目的是模擬組織內部僱員的越權操作。 · 灰盒測試:對測試目標有一定的瞭解,主要是模擬離職的員工或合作伙伴,他們對組織的結構比較瞭解,但不在公司內部,沒有訪問許可權。
Ø根據滲透者所處的位置可以分為:
· 內網測試:滲透測試人員由內部網路發起測試,這類測試能夠模擬組織內部違規操作者的行為。最主要的“優勢”是繞過了防火牆的保護。 · 外網測試:滲透測試人員完全處於外部網路(例如撥號、ADSL或外部光纖),模擬從組織外部發起的攻擊行為,模擬可能來自於對組織內部資訊一無所知的攻擊者,或者對組織內部資訊一清二楚的攻擊者。
Ø根據滲透內容深度和廣度可以分為:
· 普通滲透測試:僅對特定業務系統的WEB站點進行模擬黑客攻擊,使用黑客工具、測試工具、特製shell工具,自動化、手工測試單個WEB站點的安全隱患; · 深入滲透測試:以特定業務系統的WEB站點為起點,(1)橫向測試同網段的相應WEB站點安全性,重點在於核查攻破單個站點後,對同網段的WEB站點整體危害。(2)縱向測試,從外網跳轉攻擊到內網,或者內部不同子網間跳轉攻擊,重點在於測試邊界防火牆、防護措施的有效性,盡力獲取內部有價值的資訊。
4.3.2 WEB網站滲透測試
4.3.2.1 滲透測試範圍
針對WEB網站進行滲透測試,重要網站系統每半年做一次滲透測試,普通網站系統每年做一次滲透測試,選擇一個網站為始點進行深度滲透測試。
4.3.2.2 滲透測試內容
WEB網站滲透測試內容主要以OWASP TO10與常見重大WEB漏洞為主,如:
4.3.3 手機客戶端滲透測試
4.3.3.1 滲透測試範圍
針對手機客戶端APP進行滲透測試:
4.3.3.1 滲透測試內容
手機客戶端APP滲透測試內容,如:
4.4 敏感資訊梳理
4.4.1 梳理目標
1) 建立以系統平臺數據為管理物件的敏感資訊防護,根據敏感資料內容、屬性、承載載體、使用方式和頻率進行資料分類、分級管理,全域性展現敏感資料的分佈及防護級別。 2) 加強對資料訪問使用中的許可權控制、二次授權管理,支援資料訪問控制流程、執行、審批的流程管理,實現資料互動中控制管理。 3) 資料互動、下載中的對於資訊內容防護措施,實現資料下載的專區控制,增加安全防護措施,包括模糊化處理、加密和數字水印管理,分離資料下載執行過程與下載範圍的控制管理。 4) 實現全面的資料操作審計管理,集中管理敏感資料操作日誌,包括應用系統資料操作日誌、堡壘主機操作日誌、同時應包括資料庫操作行為審計系統的日誌資訊,對資料實現補全、篩選以及關聯分析。 5) 明確敏感資訊存在載體、資料使用場景、系統資料互動介面、人員操作許可權等資訊,用於敏感資訊防護策略配置和管理。 6) 將敏感資料訪問建立獨立的訪問入口,與其他安全管控系統獨立工作,只有資料管控區訪問才能訪問核心域的主機和資料庫,從管控區匯出敏感資料需要經過申請審批,從物理上提高核心工作區安全性,確保各業務系統平臺系統維護和操作的安全性及確保運維操作人員身份合法性,防止敏感資料外洩,保證敏感資料的有效管控。
4.4.2 梳理物件
1) 面向審計物件梳理正常業務操作行為
根據業務系統的審計物件,調研分析針對審計物件的正常業務操作:如後臺程序和前臺呼叫。操作行為必須包括:由誰(賬號)執行程序、以何種方式操作、操作哪個實體、輸入何種引數、形成何種結果、操作頻率等等)。對於不在梳理的正常業務操作行為範圍內的操作,都是不合法,需要重點審計。
2) 分析賬號對審計物件的訪問許可權
收集業務系統主機、資料庫所有操作賬號。主機系統賬號包括資源帳號和自然人賬號。資料庫賬號應包括:自然人賬號、生產賬號,其中自然人賬號對應三個角色。結合審計物件,確認各種賬號對審計物件所具有的許可權,形成自然人賬號與資源賬號對應關係、資源帳號與實體操作許可權對應表。
3) 外部介面
收集業務系統各子系統之間互訪介面的訪問關係,包括介面發起方IP地址,介面使用的程序、介面型別、開放埠、資料流向、訪問頻率等內容。
4) 人員許可權
在明確重點敏感保護物件的情況下,梳理相應訪問許可權對應的資源帳號,以及資源帳號對應的角色,使用該帳號的自然人情況。
5)資訊溯源能力
在明確重點敏感保護物件的情況下,梳理使用者行為、資訊釋出、內容操作記錄的儲存、傳輸、銷燬流程。
4.5 專項安全檢查
4.5.1 弱口令檢查
通過分析行業內常見口令字典,形成弱口令檢查字典,對各平臺作業系統、應用、中介軟體、資料庫進行全面檢測的弱口令檢查。
4.5.2 埠專項檢查
梳理所屬各平臺的裝置所開放的埠對應服務與軟體版本,關閉不必要要埠,對維護埠進行訪問限制,形成產品資訊表並定期更新。
4.5.3 重大漏洞專項檢查
根據最新安全趨勢,選取風險級別高,威脅大,可能造成極嚴重後果的典型安全漏洞,對所有系統平臺進行全面檢測,如:
4.6 終端安全管理
4.6.1 終端安全目標
主要目標包括:
1、根據各終端的訪問需求,進行分類管理和合適的訪問控制; 2、對終端的防病毒、入侵防範策略進行統一管控,更加快捷有效的進行安全防護措施實施; 3、對終端的接入\訪問進行控制,避免非授權訪問及外部威脅引入; 4、嚴格控制終端外設的使用,監控並防止使用者USB口、光碟機、軟碟機的使用情況,以及上網行為監控,嚴防資訊洩密和外網威脅引入。
4.6.2 終端安全規劃
制定《終端安全管理規定》,對終端安全管理的要求,可參考如下:
4.7 網路安全域劃分
4.7.1 安全域劃分目標
1) 根據行業安全標準關於安全域劃分和邊界整合的精神,對現有信息系統及網路結構進一步優化和調整進行建議。 2) 對現存的一些不合理的邊界、系統互聯方式進行清理,將其納入到安全域劃分和邊界整合的體系;但需要充分考慮實施成本、可行性、對現有業務的影響,做階段性的目標規劃建議。 3) 針對各業務系統安全域的劃分,根據風險不同及防護重點不同,建議給出合理的監視、測量、清理、審計等技術手段,以實現安全域內安全事件的及時響應和清除。 4) 對現存的一些不合理的終端使用策略、內部訪問關係進行清理,參照現有的系統規劃技術方案,提出合理的整改、實施建議開展安全域劃分工作。
4.7.2 安全域劃分及設計思路
安全域的劃分必須要基於對網路與業務的充分理解,在保證業務正常開展的同時實現對安全域的有效隔離。
具體的規劃方案需要根據業務需求、現有網路架構進行規劃:
為了方便理解安全域劃分,把網路環境劃分成4個安全域(僅供參考):
計算域:資料庫伺服器,資料庫伺服器提供資料儲存和訪問服務。
服務域:WEB伺服器,負責處理終端發出的各種請求,並將處理結果以Web的方式返回。
網路域:網路域是由連線具有相同安全等級的計算域、維護域和服務域的網路裝置和網路拓撲組成,訪問必須通過VPN才能接入。
維護域:所有需要登入系統平臺進行日常維護的終端。
訪問控制參考,如:
1) 計算域(固定源IP)à服務域(固定目標IP、埠);
2) 服務域(固定源IP)à計算域(固定目標IP、埠);
3) 維護域(固定源IP/段)à計算域(固定目標、埠)、服務域(固定目標、埠);
4) 計算域內不同系統伺服器進行網路隔離;
5) 服務域內不同系統伺服器進行網路隔離;
6) 生產環境與測試環境、開發環境網路隔離;
7) 維護域(固定源IP/段)才可以跨網路域訪問雲平臺伺服器;
8) 網路域之間採用VPN連線。
4.7.3 網路結構分析
分析網路結構著重於分析目前網路架構是否既能實現平臺數據交換功能又能保證系統安全,目的是為了找到在系統建設初期單純為了實現功能而未考慮的安全的環節,從而在解決方案中補充缺少的安全環節,找到能夠同時滿足功能實現和安全要求,並且和現有 網路結構結合最緊密 、 對現有網路結構改動最小 、 不至於影響業務的解決方案 。
4.7.4 平臺數據流分析
在調研、訪談的結果基礎上對第一手資料進行分析與整理,由大到小,獲得各系統平臺之間的訪問關係及子系統之間的聯絡,最終獲得完整清晰的平臺數據流圖,在這個平臺數據流圖上進行平臺單元、叢集的劃分和平臺單元介面的界定。並根據這個平臺數據流圖總結整個系統面臨的安全隱患和外來威脅,為下一步的安全解決方案確定方向。
4.7.5 網路優化和邊界整合
針對各系統平臺進行網路結構分析和業務資料流分析的結果,結合各系統平臺對於安全威脅、安全防護要求的定義,對安全域邊界進行整合、加強邊界的互聯互訪控制,以幫助對現有的網路系統進行模組化劃分,進行層次化的保護,以有效保證系統和資訊保安,同時也為未來系統的建設和規劃提供了依據。
4.8 原始碼安全審計
4.8.1 程式碼安全審計綜述
由於業務平臺的複雜性、互動性增加多,程式碼編寫不規範帶來了更多不安全因素,需要進行白盒與黑盒安全測試,發現並指導解決WEB上的應用安全問題。
程式碼審計屬於白盒測試,白盒測試因為可以直接從程式碼層次看漏洞,所以能夠發現一些黑盒測試發現不了的漏洞,比如二次注入,反序列化,xml實體注入等可能的0day漏洞。
4.8.2 程式碼審計方法
對目標系統的程式程式碼通過檢測採用“工具輔助檢測+人工驗證+人工檢查”相結合的方法來對目的碼進行缺陷檢測。通過工具輔助和人工結合的方法,能夠有效的發現程式碼中存在的缺陷。
4.8.3 程式碼審計內容
主要包括三種類型的分析稽核:
一、動態分析
主要包括平臺系統外部介面的獲取、面向安全漏洞發現的畸形注入資料生成、注入測試與系統響應監控等技術環節:
1、外部介面的獲取
通過前期的分析,得到應用外部介面資訊,為下一步的檢測提供目標。需獲取的資訊包括:
Ø 地址、訪問方法、呼叫方法
Ø 介面引數、型別
Ø 響應機制
2、畸形輸入資料生成
本部分工作將根據獲取的介面資訊(引數型別等),基於黑客技術知識生成相應的畸形輸入測試資料。
3、輸入測試與系統響應監控
由安全分析人員在相關輸入工具的輔助下向目標系統注入畸形資料驅動目標系統執行,並根據介面資訊監控系統的反應,以期發現目標系統中可能存在的安全漏洞。
二、靜態分析
靜態分析部分的工作主要包括利用靜態分析工具在程式碼中查詢固定的模式或規則集合。靜態分析工具的輸出仍然需要人為判斷。
1、工具分析
使用工具自動檢查所有應用程式原始碼,發現程式碼中的問題。
2、人工程式碼分析階段
基於應用知識標識出安全關鍵點,即有可能引發安全問題的系統實現模組或語句,包括系統程式判斷、重要函式的呼叫、重要的程式執行、外部資料流分析其所有可能的流路徑,當路徑中出現安全關鍵點時進一步對資料的合法性檢驗的實現進行檢驗。若其合法性檢驗的實際實現存在缺漏,則預示著發現了一個可能的安全漏洞等進行人工的審計。
三、綜合分析
結合以上分析中的可疑點進行深入的分析測試,由程式碼稽核小組人員通過模擬攻擊的方式對程式碼問題進行測試,避免誤報。
4.9 安全預警監控
定期收集最新的預警資訊,及時瞭解業界動態、最新漏洞、最新風險,協同預警資訊的本地落實。
4.9.1 內網實時監控
通過安全檢測裝置、安全防護裝置,對各類安全事件進行安全預警監控、安全分析並下發安全事件處理工單,協助相關部門進行安全事件應急處理。
4.9.2 公網實時監控
實時監測洞響應平臺、CNCERT、CNVD等網路安全事件處置平臺以及各大安全論壇披露的漏洞資訊,通過篩選、過濾相關關鍵字實施動態安全監控,發現與公司系統相關的安全漏洞立即開展資訊推送與處置協作
4.9.3 每週安全預警
每週從網際網路應急中心(CNCERT)、CNVD、CVE、防病毒廠家、作業系統廠家的通告、告警資訊、大型資信網站,彙總成每週安全預警報告及安全知信,並給出相應的修復、整改指導意見。
4.9.4 安全預警跟蹤
每週協同相關工作人員,對上週安全預警資訊進行跟蹤落實,主要工作包括了:針對預警資訊,給出檢查漏洞的方法和解決辦法,並行資產關聯,指出存在風險的資產。
4.10 安全應急保障
4.10.1 應急預案
一、應急預案目標
建立健全的恢復應急工作機制,提高對突發事件的組織協調能力和應急處置能力,滿足突發情況下通訊保障和通訊恢復工作的需要,最大程度地降低重大災害、事件、故障等對通訊業務的損害。
二、應急預案內容
建立應急預案,預案內容不限於以下:
1、安全攻擊:DDOS攻擊、網頁篡改、網頁掛馬、惡意程式碼、域名劫持等。 2、裝置故障:平臺癱瘓、平臺過載、應用程序異常故障、資料備份及恢復故障、伺服器硬體故障等。
4.10.2 應急演練
每年1次應急演練。
應急演練和攻防演練的開展,現場技術支援扮演攻擊方,提供安全掃描工具、攻擊工具、測試指令碼。
應急演練的目的在於:
1. 驗證應急預案的有效性; 2. 測試各防護裝置及策略的有效性; 3. 理順安全事件上報及處理流程; 4. 校驗各工作人員安全事件處理技能熟練度。
4.10.3 應急響應
一、應急響應目標
安排具有網路安全攻防經驗和應急響應工作經歷的技術人員完成實施工作解決安全事件問題。根據每次應急響應的具體情況,在必要時將會聘請外部安全顧問協助進行安全事件的分析和處置。
二、應急響應範圍
應急響應服務啟動條件如下:
Ø 系統管理員通過評估、檢查等方式發現了安全問題(如主機已被入侵、系統存在後門、網路蠕蟲正在蔓延等情況),且可能對業務造成加大影響,無法自行解決或無法在短時間內自行解決時,可以啟動應急響應;
Ø 系統安全管理員在解決一般安全事件的過程中,由於處理不當或無法解決,造成安全事件的影響擴大或蔓延(如病毒向骨幹網路中蔓延等情況),在一定時間內沒有解決的情況下,可以啟動應急響應;
Ø 當發生以上情況啟動應急響應,因技術或事件等限制需要安全廠商提供對安全事件應急響應的知識經驗、技術手段和產品支援,啟動本應急響應服務。
三、應急響應內容
4.11 網路安全培訓
根據需求制定詳細的培訓計劃,從技術和管理兩個緯度進行網路與資訊保安的培訓。同時,採取“分階段,分層次”的形式,落實培訓計劃,強化培訓效果。
通過培訓希望能夠達到這樣幾個目的:
Ø 普及網路安全知識和黑客的一些常用攻擊手法,幫助員工提高安全意識保障組織網路安全。
Ø 提升漏洞掃描、滲透測試等所發現的共性問題的認識與理解,包括工具使用問題、漏洞原理、利用方式、加固方法等;
Ø 在統一的應急預案框架下制定不同事件的應急演練和培訓,鍛鍊實際操作技能及應變能力,提高了應急處理的信心;
Ø 提升資訊科技人員、管理人員等相關人員的安全意識,提高安全技術人員的安全技能,瞭解目前的安全技術現狀、安全體系的發展趨勢。
員工安全意識培訓案例,如:
4.12 安全漏洞閉環管理
1、建立漏洞閉環管理制度,指導規範安全整改工作,為安全整改工作提供製度依據;
2、安全風險治理“閉環管理”,是以安全漏洞治理為主線,從漏洞排查治理到漏洞消除的“閉環”管理流程,即安全檢查→分類整改→落實整改→複查驗收→資訊反饋→新的漏洞排查。
3、式釋出之後對相關崗位人員進行制度宣貫、培訓,規範漏洞加固流程,提升人員安全管理意識及管理水平。
4.13 上線/變更管理
4.13.1 建立上線變更管理
加強IT系統建設過程中安全控制,規範IT系統上線驗收的管理。
4.13.2 上線/變更安全檢測
對新上線的業務系統安全檢測內容包括:
1. 提供接入網路的系統的安全相關文件;
2. 對接入網路進行漏洞檢測,包括主機漏洞和應用漏洞;
3. 對接入網路的網站/APP進行滲透測試;
4. 對接入網路的系統的安全配置進行基線檢查。
4.14 資料防洩露
4.14.1 資料防洩露目標
企事業的機密文件,研發原始碼,圖紙等核心技術機密資料,很容易經內部員工的主動洩密流轉到外面,甚至落到競爭對手手中,給企業造成極大的經濟與聲譽損失。
常見的洩密的途徑包括:
- 內部人員將機密電子檔案通過U盤等移動儲存裝置從電腦中拷出帶出; - 內部人員將自帶膝上型電腦接入公司網路,把機密電子檔案複製走; - 內部人員通過網際網路將機密電子檔案通過電子郵件、QQ、微信等傳送出去; - 內部人員將機密電子檔案列印、影印後帶出公司; - 內部人員通過將機密電子檔案光碟燒錄或螢幕截圖帶出公司; - 內部人員把含有機密電子檔案的電腦或電腦硬碟帶出公司; - 含有機密電子檔案的電腦因為丟失,維修等原因落到外部人員手中。 - 外部電腦接入公司網路,訪問公司機密資源盜取機密電子檔案洩密 - 內部人員將通過Internet網路儲存,進行儲存。 。。。。 。。。。
為保障公司機密資料不至於洩露,企業資料防洩露建設目標,如下:
1、對核心技術文件(office,設計圖紙,原始碼等)進行全生命週期加密保護。
2、核心文件只能在受控範圍內被指定授權人員使用,非授權使用者不能篡改文件內容,不能隨意列印,不能隨意拷貝,不能截圖,未授權外帶禁止使用;
3、核心機密文件受控後,文件所有使用行為均可審計;
4、不改變使用者原有工作習慣、不增加使用者工作負擔、不限制使用者的正常操作行為,在保證使用者原有業務模式的情況下,不影響使用者的工作效率,讓使用者在安全的環境中無感知的處理各種研發業務。
4.14.2 資料防洩露規劃
針對資料防洩露的常見方式,分為技術與管理、產品部署兩種方式實現,如下:
一、技術與管理措施實現:
1)通過終端安全規劃的落地,實現部分防控措施;
2)通過管理制定如:安全管理制定、保密協議等進行約束。
二、產品部署實現方式:
雖然從技術上網路訪問控制、裝置接入等方面進行控制能起到一定的防洩露,但存在一些侷限性或影響工作效率。
綜合考慮,建議從 技術、安全產品、管理 三個層面進行防洩露管控。
4.15 構建漏洞知識庫
針對在日常評估工作中發現的常見的漏洞,梳理該類漏洞可操作性的檢測方法及其加固整改方案,構建“漏洞知識庫”。
下面這些只是個人工作中整理的,有點亂,基本是自己看:
4.16 資訊保安管理體系建設
4.16.1 建設目標
資訊保安策略與標準體系是資訊保安組織、運作、技術體系標準化、制度化後形成的一整套對資訊保安的管理規定。該標準體系包括資訊保安策略、資訊保安規範、資訊保安操作流程和細則,涉及管理要素和技術要素,覆蓋資訊系統的終端層、物理層、網路層、系統層、應用層五個層次以及通用資訊保安管理規範。
4.16.2 建設內容
4.16.2.1 資訊保安方針制定
陳述資訊保安的管理意圖,提出企業或組織的資訊保安目標,為今後目標明確、有組織、有計劃的資訊保安建設給出總體方向。
4.16.2.2 安全組織體系職責設計
建立整個資訊管理體系相吻合的資訊保安管理組織體系。
設計專門進行資訊保安建設和管理的組織管理體系。在體系中包括安全決策組織、決策人,安全管理組織、管理崗位和技術崗位等。設計安全組織和其他組織、部門中介面和協調關係,並對不同層次的組織和人員制定安全職責。
4.16.2.3 資訊保安規範文件制定
制定全面和適用的資訊保安標準和規範。
《資訊保安標準文件》是企業實施資訊保安管理和技術工作的指導性標準檔案,作為資訊保安建設和管理的內部標準和規範。一般包括各個網路裝置、主機作業系統和應用程式的應遵守的安全配置和管理的技術標準和規範;安全建設和日常管理和維護的規範。標準和規範將作為資訊系統和安全系統的安裝、配置、採購、專案評審、日常安全管理和維護時必須遵照的標準,從而成為資訊保安建設和管理的內部標準和規範。
4.16.2.4 資訊保安流程文件制定
開發和制定適用的資訊保安操作流程(Procedure)和執行手冊(Manual)必要文件。
《資訊保安標準文件》是指導企業具體使用安全實施、安全管理、日常安全操作和維護的檔案,詳細規定主要業務應用和事件處理的流程和步驟,和相關注意事項。可以作為安全管理和操作人員具體工作時的詳細指導和參考。此部分必須具有可操作性,而且應該得到有效推行和實施。
4.16.2.5 資訊保安制度制定
完成各類管理制度、管理規定、管理辦法和暫行規定等具體安全管理文件,作為具體安全管理的詳細規定。
資訊保安制度和管理辦法相關文件主要包括各類管理制度、管理規定、管理辦法和暫行規定等。根據安全方針中規定的安全各個方面所應遵守的原則方法和指導性策略,引出的具體安全管理規定、管理辦法和實施辦法,這些文件必須具有可操作性,而且必須得到有效推行和實施的。
4.16.2.6 文件輸出介紹
安全制度參考模板
總綱方針:
《IT安全管理策略》
安全管理體系:
《內部審計管理辦法》
《人員資訊保安策略》
《網路安全管理辦法》
《物理安全管理辦法》
《資訊保安符合性管理辦法》
《資訊保安組織架構》
《資訊交換安全管理辦法》
《資訊對外發布管理辦法》
《系統安全補丁管理指南》
《網路安全域劃分指南》
《員工資訊保安手冊》
《WEB安全程式設計技術規範》
《訪問控制管理辦法》
《資訊系統上線驗收安全管理指南》
《資訊系統運維管理辦法》
《資訊資產管理辦法》
《運維安全管理規範》
《IT安全事件管理指南》
《IT安全監控與預警管理指南》
安全標準:
《安全產品選擇》
《資訊保安管理崗位及其職責》
《第三方人員管理辦法》
《介質安全管理規定》
《網路裝置配置標準》
《防火牆管理規定》
《機房安全管理制度》
《系統日誌管理辦法》
《系統資料備份管理規定》
《系統使用者和口令管理規定》
《病毒惡意程式碼防範管理辦法》
《電子郵件使用安全管理規定》
《遠端辦公管理辦法》
完善網路安全架構
根據等級保護及行業安全需求分析和設計策略,選擇符合相應要求的安全產品,進行資訊系統安全保護環境的產品解決方案,可以分批建設,產品如:
4.18 網路安全課題研究與應用
針對安全威脅的防護,傳統的防火牆/UTM、IDS/IPS、防病毒系統、多種資訊保安審計系統和安全管理平臺等安全防護手段大多都採用基於特徵、規則或關聯分析的方式被動的保護網路安全。隨著網路入侵手段的日新月異,0day漏洞層出不窮的被發現,這些靜態的保護手段已經漸漸顯露出不足之處。
為了加強網路安全的及時性、有效性,開展網路安全課題研究與應用。
一、安全挑戰
1. 資產的資訊保安管控難度大
2. 網路攻擊的惡意樣本檔案檢測識別效率低
3. 新的攻擊技術手段難以預防
4. 難以進行資訊保安事件取證
二、安全需求
1. 資產安全主動監測管控能力
2. 實時安全監控及攻擊源快速定位能力
3. 最新真實的攻擊資訊庫,新型攻擊檢測及防護能力
4. 攻擊行為取證、攻擊樣本捕獲能力
4.18.1 蜜罐系統應用
4.18.1.1 建設目標
蜜罐(HoneyPot),是一種供攻擊者攻擊從而產生價值的安全設施。與使用者通常使用的安全防禦設施不同,蜜罐只有在受到攻擊的情況下才能展現出價值。
安全領域的專家及使用者通過蜜罐系統,可以瞭解到攻擊者通過什麼方法、使用什麼工具展開攻擊、以及他們攻擊的出發點,並能夠從中發現規律和趨勢,為安全防禦工作的有效進行提供了很好的基礎。
瞭解入侵者的攻擊方式、攻擊目標、攻擊工具、攻擊漏洞等資訊,對於網路安全研究,網路資料防範來說是非常重要的。同時,對於重要的網路伺服器,應該對其加強防護,加強監控,降低安全隱患。蜜網管理系統可以很好的完成這一目標。
蜜網系統有作用,如:
Ø 捕獲木馬和殭屍網路樣本;
Ø 挖掘已知漏洞利用方式。通過對網路資料包和樣本的分析可以瞭解黑客更新的漏洞利用方式甚至是溝通方式;
Ø 預警未知漏洞(0day),提供未知漏洞資訊供研究人員分析可以獲得更加具體的0day資訊。
可關注本地網路安全:
Ø 蜜網系統為網路提供了真實可靠的預警機制;
Ø 大量部署蜜罐可以有效的迷惑入侵者,從而能夠及時的預警併為本地及時反應留出足夠的時間;
Ø 蜜網系統捕獲的資料可使使用者更有效的瞭解網路安全狀況,從而有針對性的提高薄弱環節安全措施。
4.18.1.2 功能實現
蜜網管理系統的部署必須能夠獲取入侵者的操作,並保證工作網路的安全。為了保證工作網路的安全,應將 工作網路 與 蜜網網路 劃分為兩個網路。同時,為了分析蜜網管理系統獲取的資料,還必須有分析人員操作的主機來分析資料。顯然,分析人員也應當是一個獨立的網路,我們稱之為 分析網路 。因此,從安全方面和工作方面考量,蜜罐的部署環境應該是工作網路、蜜網網路、分析網路隔離的。如下圖所示。
蜜網網路中,可以根據需求,配置任意多數量的蜜罐主機。這些主機可以放在一臺或多臺伺服器上。
研究蜜罐技術,部署蜜罐在企業網內,收集黑客攻擊資訊,查詢網內殭屍、木馬、蠕蟲、惡意訪問等。 計劃先部署蜜罐系統的功能如下所示:
4.18.1 SDL應用
4.18.2.1 建設目標
SDL是安全軟體開發生命週期,是一套完整的,面向Web和APP開發廠商的安全工程方法。幫助軟體企業降低安全問題,提升軟體安全質量。
專案目標:
(1)制定面向Web和APP開發企業的安全開發流程
制定動態的安全開發流程,對安全活動及活動要求進行分級,不同型別的軟體,可以根據產品的風險及可用的投入資源來確定開發過程中要執行的安全活動,明確活動的輸入,輸出,執行者及依賴關係;
(2)制定及開發安全基礎培訓課程
制定安全培訓體系,確定不同的角色需要接受的培訓內容及培訓的週期;開發基礎性的培訓課程;
(3)根據實踐經驗,輸出各個安全活動的方法指導及模板,主要的安全活動有:安全風險評估、SDL安全要求設計、威脅建模、基於威脅建模的測試
(4)制定WEB應用/移動應用安全設計指南
(5)制定安全編碼(JAVA、PHP)
(6)將OWASP現有專案,如開發指南、測試指南融合到軟體全開發體系中;
4.18.2.2 SDL實現
安全軟體開發的流程,以及各個階段需要進行的安全活動,包括活動指南,工具、模板等,主要包括:
Ø 培訓:提供安全培訓體系,包含安全意識培訓,安全基礎知識培訓,安全開發生命週期流程培訓和安全專業知識培訓
Ø 需求階段:如何對軟體產品的風險進行評估,建立基本的安全需求
Ø 設計階段:提供安全方案設計及威脅建模
Ø 實現階段:提供主流程式語言的安全編碼規範,安全函式庫以及程式碼審計方法
Ø 測試階段:基於威脅建模的測試設計,滲透測試
Ø 釋出/維護階段:建立漏洞管理體系
SDL 流程介紹示意圖:
注: 當系統數量多,對系統安全性要求非常高的時候,嚴格按照SDL流程是很有必要。
4.18.3 SOC平臺應用
4.18.3.1 建設目標
SOC(安全管理中心)是實現網路安全管理的技術支撐平臺,它以風險管理為核心,為安全運營和管理提供支撐,用於企業網路、裝置、應用、資料等安全物件的安全保護。
設計思路:
將安全管理員從複雜的裝置配置和海量日誌資訊中解脫出來,把精力專注於發現和處理各種重要安全事件;同時又將各自獨立的安全裝置組成為一個有機的整體,通過基於資產管理的事件關聯分析和管理,及時發現安全風險、安全事件和業務安全隱患,並結合安全策略和安全知識的管理,提供多種安全響應機制,從而使得客戶能夠實時掌控網路的安全態勢。
安全管理中心與已經部署的各類安全裝置形成一個完整的安全保障體系,從而實現了高效、全面的網路安全防護、檢測和響應。具備監控、預警、響應、追蹤等功能,並具備可審計功能,即對內部安全管理人員的相關操作進行日誌記錄。
設計目標:
實現價值:
Ø 統一日誌管理
Ø 統一配置管理
Ø 統一威脅管理
Ø 各安全產品和系統的統一協調和處理
Ø 裝置的自動發現
Ø 風險分析自動化
Ø KPI考核等
SOC的功能架構圖這裡就不放了,因為也是學習別人的,隨便放怕被打。。。
五 最後
本來還想把資料安全加進來,但看了看篇幅已經太長了。。。
最後不想多說,一些細節已經刪除,本文章僅是個人工作生活中的一些經驗,不同的角度會有不同的觀點。。。
能夠看到這裡的表哥,,,
*本文原創作者:liong03,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載