今日頭條
官方微信
官方抖音
資訊頻道前言
作為一名從事多年信息安全的工作者,深深感覺到信息安全無小事,事事需盡心。安全防護(hù)不應(yīng)該只防護(hù)外部攻擊,更多的防護(hù)工作應(yīng)該從內(nèi)部出發(fā),制定完善的安全管理制度,循序漸進(jìn)的推進(jìn)安全防護(hù)工作。企業(yè)信息安全建設(shè)工作可以從多個(gè)方面來建設(shè)與完善,我在這里就介紹信息安全等級(jí)保護(hù)的基本要求加上自己從事多年的安全工作經(jīng)驗(yàn),與各位共勉,干貨在后面。
等級(jí)保護(hù)包含哪些方面
根據(jù)GB/T22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GBT 22240-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、GB/T 28448-2012 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等相關(guān)標(biāo)準(zhǔn),將等級(jí)保護(hù)分為 ‘技術(shù)’ 和 ‘管理’ 兩大模塊,其中技術(shù)部分包含:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)共五個(gè)方面;管理部分包含:安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理共五個(gè)方面,如下圖所示:
本篇文章具體介紹在信息安全等級(jí)保護(hù)三級(jí)要求中—安全管理機(jī)構(gòu)測(cè)評(píng)過程中的經(jīng)驗(yàn)分享,安全管理機(jī)構(gòu)有5個(gè)測(cè)評(píng)指標(biāo),分別是崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。
如選圖所示:
我將以測(cè)評(píng)方的角度來看待安全問題,下面開始干活。
安全管理機(jī)構(gòu)具體測(cè)評(píng)
1、崗位設(shè)置
a:應(yīng)設(shè)立信息安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé)。
測(cè)評(píng)經(jīng)驗(yàn): 此條測(cè)評(píng)項(xiàng)主要是檢查客戶有沒有設(shè)立安全管理部門來具體負(fù)責(zé)信息安全工作,一般來說,政府單位會(huì)設(shè)立信息中心負(fù)責(zé),并且會(huì)設(shè)置信息中心主任(一般就默認(rèn)為安全主管),而在測(cè)評(píng)過程中發(fā)現(xiàn),企業(yè)在這方面做的工作就不夠,很多企業(yè)就只是有個(gè)兼職的部門來做這個(gè)事,而且沒有相應(yīng)的安全主管或安全負(fù)責(zé)人。我們?cè)趯?duì)這項(xiàng)進(jìn)行測(cè)評(píng)的時(shí)候,要詢問并記錄安全管理責(zé)任部門、責(zé)任人、安全主管的具體名稱,并要查看具體的崗位職責(zé)文件(有可能在任命文件中會(huì)提到)。
b:應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé)。
測(cè)評(píng)經(jīng)驗(yàn) :這條就比較容易測(cè)評(píng)了,就訪談客戶看看有沒有設(shè)立安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、機(jī)房管理員等職位,并且應(yīng)提供專門的任職職責(zé)文件。一般來說,既然標(biāo)準(zhǔn)都著重提出安全、系統(tǒng)、網(wǎng)絡(luò)這三個(gè)管理員,所以我們也要著重看。值得注意的是,一是安全管理員必須是專職的,不能由任何其他管理員兼任;二是系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員不能為同一自然人,這兩點(diǎn)要特別注意。但在很多真實(shí)環(huán)境中,客戶方往往都沒有專門設(shè)立相應(yīng)的管理員,特別是安全管理員,并且根本不會(huì)出什么文件來明確各管理員的職責(zé),本人遇到過的一個(gè)單位,整個(gè)安全部門就兩個(gè)人,這種情況就是需要整改了。
c:應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。
測(cè)評(píng)經(jīng)驗(yàn) :在這一條測(cè)評(píng)項(xiàng)中,我們要詢問客戶方是否成立了信息安全委員會(huì)或者領(lǐng)導(dǎo)小組,不能客戶說成立了就成立了,我們應(yīng)該要查看領(lǐng)導(dǎo)小組成立的正式文件,要查看這個(gè)文件中的組長(zhǎng)和組員,要求文件中應(yīng)有每個(gè)人的聯(lián)系方式以及工作職責(zé)。值得注意的是:領(lǐng)導(dǎo)小組的組長(zhǎng)應(yīng)由企業(yè)一把手擔(dān)任,雖然標(biāo)準(zhǔn)中沒說必須,但在我國(guó)國(guó)情下(自行腦補(bǔ)國(guó)家信息安全領(lǐng)導(dǎo)小組組長(zhǎng)),都應(yīng)該由一把手來?yè)?dān)任。
可以分享個(gè)真實(shí)的案例,我們當(dāng)?shù)氐囊患腋咝iT戶網(wǎng)站被入侵,首頁(yè)發(fā)布了一些影響較大的言論,造成了一些影響,這種情況下,一把手當(dāng)時(shí)是首當(dāng)其沖的,所以我們測(cè)評(píng)過程中都是要求客戶要由一把手來負(fù)責(zé)安全工作。
d:應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。
測(cè)評(píng)經(jīng)驗(yàn):這一條中,我們要檢查部門、崗位職責(zé)文件,查看部門職責(zé)是否覆蓋物理、網(wǎng)絡(luò)、系統(tǒng)安全等各個(gè)方面。崗位職責(zé)文件其實(shí)也可以查看招聘要求,招聘的時(shí)候一般就會(huì)說明此崗位的職責(zé)和需要的技能要求。一般我建議客戶的整改方案是制作一份部門的職責(zé)的文件,里面全面描述部門職責(zé)、人員劃分及職責(zé)的情況。
2、人員配備
a:應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。
測(cè)評(píng)經(jīng)驗(yàn): 這一條的測(cè)評(píng)方法就是詢問客戶系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的配備數(shù)量,要求是至少1人及以上。但很多客戶是達(dá)不到這種要求的,而我的建議整改是用兼職來代替,但兼職的注意事項(xiàng)就要參考b來實(shí)施了。
b:應(yīng)配備專職安全管理員,不可兼任。
測(cè)評(píng)經(jīng)驗(yàn): 這一條就是要求客戶的安全管理員是專崗專職的,不能由其他職位人員來兼任。如何驗(yàn)證是專崗專職呢,就查看崗位人員情況表。不過話說回來,很多單位都沒有安全管理員…
c:關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。
測(cè)評(píng)經(jīng)驗(yàn): 這一條的測(cè)評(píng)難點(diǎn)是在關(guān)鍵事務(wù)崗位的認(rèn)定,很多客戶是根本不會(huì)想到還有關(guān)鍵事務(wù)崗位這個(gè)條件的,所以我一般會(huì)給客戶解釋哪些可以認(rèn)定為關(guān)鍵事務(wù)崗位,一般就是安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、機(jī)房管理員等,也可以包含其他的崗位,比如處理金錢的職位(和分為出納與財(cái)務(wù)是一個(gè)道理)、前臺(tái)敏感操作權(quán)限的職位等。關(guān)鍵事務(wù)崗位就要求必須是2人及以上了,或者互設(shè)為AB角。
3、授權(quán)和審批
a:應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等。
測(cè)評(píng)經(jīng)驗(yàn):這條測(cè)評(píng)項(xiàng)的測(cè)評(píng)方法就是訪談安全主管,詢問對(duì)哪些信息系統(tǒng)活動(dòng)進(jìn)行審批,審批的部門是何部門,審批人是何人。一般情況下客戶都會(huì)有這些東西,但是不會(huì)很全面,這個(gè)時(shí)候我一般就建議客戶先把一些重要的活動(dòng)進(jìn)行審批就行,包含但不限于物理訪問、遠(yuǎn)程控制、權(quán)限授予與變更、系統(tǒng)接入、需求變更等。
b:應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程,對(duì)重要活動(dòng)建立逐級(jí)審批制度。
測(cè)評(píng)經(jīng)驗(yàn):這一條說的比較清楚了,測(cè)評(píng)過程中至少要查看四份審批單:系統(tǒng)變更(包括權(quán)限變更、結(jié)構(gòu)變更等)、重要操作(數(shù)據(jù)刪除、權(quán)限變更、數(shù)據(jù)備份等)、物理訪問(訪問物理機(jī)房、訪問辦公環(huán)境中的敏感區(qū)域等)、系統(tǒng)接入(網(wǎng)絡(luò)接入、遠(yuǎn)程控制、wifi接入等)。要查看這個(gè)審批流程中是否包含申請(qǐng)人、審核人、批準(zhǔn)人,某些審批單也要查看授權(quán)的有效時(shí)間,因?yàn)橛龅竭^授權(quán)日期已過,但授權(quán)賬號(hào)還存在的情況,這是需要特別注意的。
c:應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。
測(cè)評(píng)經(jīng)驗(yàn):這條的測(cè)評(píng)方式是檢查審批事項(xiàng)的記錄,查看是否對(duì)審批事項(xiàng)、審批部門、審批人的變更進(jìn)行評(píng)審;詢問安全主管是否定期審查、更新審批項(xiàng)目,審查周期多長(zhǎng)。為什么會(huì)有這一項(xiàng)測(cè)評(píng),因?yàn)樵趯?shí)際環(huán)境中,特別是在大型企業(yè)中,往往部門很多,人員復(fù)雜,業(yè)務(wù)流程復(fù)雜,審批流程涉及人員多。存在某一人員離崗后還在使用以前的審批流程,就會(huì)導(dǎo)致越權(quán)操作,所以要定期審查審批事項(xiàng)。
d: 應(yīng)記錄審批過程并保存審批文檔。
測(cè)評(píng)經(jīng)驗(yàn):這條就不用說了,隨機(jī)抽查幾份審批文檔,看看是否與當(dāng)時(shí)及當(dāng)前的情況一致。
4、溝通和合作
a:應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問題。
測(cè)評(píng)經(jīng)驗(yàn):這個(gè)測(cè)評(píng)比較簡(jiǎn)單,就查看下內(nèi)部有沒有在一起開過會(huì),有沒有一起處理過安全問題,這個(gè)只需要客戶提供會(huì)議紀(jì)要或者處理安全問題的過程表就行了,時(shí)間上面不需要特別的要求。
b:應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。
測(cè)評(píng)經(jīng)驗(yàn):這一條就不多說,默認(rèn)符合,原因不好說,就自行理解吧。
c:應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。
測(cè)評(píng)經(jīng)驗(yàn):這條測(cè)評(píng)項(xiàng)其實(shí)也沒什么好說的,如何算是符合呢,只要客戶能提供與安全服務(wù)商簽訂的合作合同就行,像我們自身是測(cè)評(píng)單位,肯定也會(huì)與客戶簽訂關(guān)于等保測(cè)評(píng)的合同,所以這條默認(rèn)符合。
d:應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。
測(cè)評(píng)經(jīng)驗(yàn):這一條就查看客戶能否提供外聯(lián)單位的聯(lián)系列表,為什么會(huì)要求這項(xiàng)內(nèi)容呢,個(gè)人理解就是甲方人員變動(dòng)的時(shí)候,方便下一位接手人員能夠更快的接手工作。
e:應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問,指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評(píng)審等。
測(cè)評(píng)經(jīng)驗(yàn):這一條就要看合同的內(nèi)容了,一般只要與安全公司簽訂安全服務(wù)合同,像什么安全運(yùn)維的、應(yīng)急的、評(píng)估的、規(guī)劃的內(nèi)容等等都是可以的。這一條主要測(cè)評(píng)是在理解“常年”二字,就是要查看合同的期限,一般來說有連續(xù)三年以上的才算符合。
5、審核和檢查
a:安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
測(cè)評(píng)經(jīng)驗(yàn):這一條的測(cè)評(píng)主要是看“定期”與“檢查內(nèi)容”兩詞,要查看客戶有沒有提供安全檢查的報(bào)告。查看報(bào)告的時(shí)間就可以看出是不是定期的;查看檢查項(xiàng)就可以看出檢查了哪些方面。這一項(xiàng)的測(cè)評(píng)其實(shí)很大意義上來說是系統(tǒng)管理員的工作,但很多系統(tǒng)管理員對(duì)漏洞這塊內(nèi)容不太熟,所以如果是系統(tǒng)管理員和安全管理員一起執(zhí)行此項(xiàng)工作是很好的。一般來說,客戶不會(huì)做的細(xì)則,很多情況就是把相應(yīng)的系統(tǒng)或者設(shè)備加到監(jiān)控系統(tǒng)里面去,比如Zabbix等,但系統(tǒng)漏洞這塊的內(nèi)容很多監(jiān)控系統(tǒng)就沒法完成,所以這一項(xiàng)很多都得不了滿分,給個(gè)3分算高的。
b:應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。
測(cè)評(píng)經(jīng)驗(yàn):這一項(xiàng)得滿分的就基本沒有了,首先要理解全面的安全檢查,僅這一塊,就很多客戶頭大了,因?yàn)楦静恢酪獧z查些什么。我到客戶現(xiàn)場(chǎng)的一般做法是就是先把客戶的各種權(quán)限授予單拿出來對(duì)比,一般就直接扣分了,再看安全管理制度的執(zhí)行情況,那就基本確認(rèn)0分了。這一項(xiàng)其實(shí)很多客戶都是做了相應(yīng)的工作的,只是沒有形成完善的流程體系,所以失分比較多,我會(huì)建議客戶在以后的安全工作都要做好記錄,凸顯工作量,也好給領(lǐng)導(dǎo)看。
c:應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。
測(cè)評(píng)經(jīng)驗(yàn) :這項(xiàng)測(cè)評(píng)要求看起來字不多,但是要查看的資料其實(shí)是蠻多的,一是首先要有個(gè)安全檢查表,二是要實(shí)施了安全檢查工作,三是要匯總安全檢查的數(shù)據(jù),四是要查看是否有安全檢查報(bào)告,五是要進(jìn)行結(jié)果通報(bào)。很多企業(yè)其實(shí)在第一點(diǎn)上面就直接OVER了,這種情況太多了。。同理,基本都是零分。一般給客戶建議的就是定期做個(gè)安全檢查,如果不會(huì),就請(qǐng)第三方來做。
d:應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。
測(cè)評(píng)經(jīng)驗(yàn):這一條測(cè)評(píng)項(xiàng)就是一個(gè)具體的制度了,客戶一般都沒有,這項(xiàng)的測(cè)評(píng)打分就看有沒有這個(gè)制度,只要有就得了4分,如果內(nèi)容也比較全的話,就可以得5分了(一般內(nèi)容都不全,4分算是比較合理的)。我一般就建議客戶在取制度名稱的時(shí)候就直接取“安全審核和安全檢查制度”。這個(gè)制度主要拿來規(guī)范和支持安全審核和安全檢查工作的,一般內(nèi)容包括但不限于規(guī)定檢查內(nèi)容、檢查程序、檢查周期、檢查人員資格、檢查對(duì)象、檢查方式、檢查工具、檢查結(jié)果處理等內(nèi)容。
總結(jié)
以上就是等保三級(jí)里面安全管理機(jī)構(gòu)的全部測(cè)評(píng)內(nèi)容,別看內(nèi)容不多,但要測(cè)評(píng)起來還是很麻煩的。曾經(jīng)給一個(gè)金融行業(yè)的客戶做評(píng)估,使用標(biāo)準(zhǔn)是通用標(biāo)準(zhǔn)+行業(yè)標(biāo)準(zhǔn),就這么點(diǎn)內(nèi)容,給他們測(cè)了一下午的時(shí)間。
心得:
測(cè)評(píng)過程中,往往會(huì)遇到各種各樣的問題,客戶的技術(shù)能力也參差不齊,講解的詳細(xì)程度也不一樣,我的感覺是每一次做測(cè)評(píng),都像是免費(fèi)送了一次安全培訓(xùn)。由此可見,打鐵還需自身硬,企業(yè)想要做好安全工作,僅僅靠外部力量是不行的,還需要企業(yè)自身有相關(guān)的安全人才。
另外多說一句:
等保涉及安全的各個(gè)方面, 并不是那么簡(jiǎn)單的,需要大量的安全經(jīng)驗(yàn)累積,希望想從事等保測(cè)評(píng)的同志好好仔細(xì)看看,歡迎留言交流。
來源:FreeBuf
北京市公安局海淀分局備案號(hào):11010802023656號(hào)