我的資訊安全體系建設實踐
- 2019 年 11 月 20 日
- 筆記
僅以此文向那些在企業進行安全體系各方面建設的各級苦逼安全從業者們致敬!
作為一名安全從業人員,在你的職業生涯過程中都會接觸到不同方面的資訊安全體系的建設,同時經過自我不斷的學習與總結,會對資訊安全體系有著自已的理解;
下圖為筆者理解的資訊安全體系架構簡圖:
筆者認為,資訊安全體系化建設就是安全組織在特定範圍內,將涉及安全管理與安全技術的措施、功能、系統等相互關聯在一起,為了實現特定的安全建設目標,從而形成一個整體的過程。
各公司的資訊安全的建設目標都大同小異,都是為了保護資產,通過評估安全風險,以總體安全策略為指導,制定安全保護措施,為公司資訊系統及知識產權提供全面的安全保護,建立適用及高效的資訊安全體系,儘可能的降低安全風險,從而提高組織的整體安全防護水平,為業務發展提供穩健的資訊安全保護。
為了實現建設目標,需要兩種手段,也就是說資訊安全體系建設應該包括安全技術與安全管理兩種手段,就像我們常說的「三分靠技術,七分靠管理」;其中安全技術手段是安全管理手段的基礎,安全管理手段是安全技術手段發揮作用的關鍵,安全保護措施的正確實施需要同時有管理手段的監管及技術手段來驗證,兩種手段相互配合,缺一不可;
安全體系所包含的內容
公司的資訊安全體系建設是每個安全從業人員,尤其是安全管理者所繞不過的工作內容;
資訊安全體系大多可分為資訊安全管理體系,資訊安全技術體系,以及資訊安全運營體系三個主要體系;
接下來,筆者將對這三個體系簡單介紹一下:
資訊安全管理體系指組織在整體或特定範圍內建立的資訊安全方針和目標,以及完成這些目標所用的方法和系統,同時確認了安全組織架構及角色責任,並最終形成文件化管理體系的過程;
主要包括的內容應該有以下幾個方面:
一、制定安全總體方針,確認安全建設目標;
通過評估總體安全風險,確定安全綱領和總體方針,明確安全權利義務責任,有助於建立適用及高效的資訊安全體系,儘可能的降低安全風險,提高組織的整體安全防護水平。
安全管理者還需要根據安全目標制定相應的安全規劃,包括長期目標及中期目標,以及階段性成果的短期目標,提高老闆對資訊安全的信心,從而獲取更多的支援;
二、建立組織機構,確認角色責任;
1.安全管理委員會,公司資訊安全最高權利機構
資訊安全管委員會主席應由高層管理層或全權代表擔任,是資訊安全總體負責人,總體協調工作由安全部門負責人負責,委員由內審合規部,人力資源部,法務部,政府關係以及各事業部的產品、技術負責人組成。
定期召集資訊安全委員會會議,委員提交各種決議草案,戰略計劃、政策建議,待發布的制度等,由委員會共同討論決策,如果針對某項決議委員會無法達成統一決議,由主席最後來決策; 執行小組,用以完成具體事務
安全委員會下設執行小組,根據具體事務,將各委員與專家組共同進行確認,如成本控制,變更控制,風險管理,重大安全事件響應,以及合規審計等。
比如:風險管理小組
工作內容:識別相應的風險,並給出相應的風險處理措施;
l 建立風險管理團隊,確認風險估評的規程
l 識別相關的資產,脆弱性,以及風險
l 風險計算,計算總風險,以及剩餘風險
l 風險處理措施,轉移,降低,規避,接受
2.專職的安全團隊
每個公司都需要有一個專職的安全團隊,執行安全管委會的指示,全面負責公司資訊安全的具體工作;
三、人員管理,實現員工從入職到離職的全周期安全管理;
人員是公司最重要的資訊資產,做為安全從業人員,你需要對人員進行有效的設計及管理,與人力資源部進行協作,降低相應的風險;
安全培訓設計:
設計安全培訓體系,通過多種樣式,讓員工能夠通過培訓學習安全制度以及安全技能,從而提高員工安全意識;
四、最終策略體系文件化
形成以方針,基準線、流程、說明等策略制度的文件集合,最終落地執行實行有效的安全策略;
1.制定文檔編號
規範資訊安全體系各文檔的命名方式及規則,從而保證文檔的唯一性、可識別性及可控性;
2.確定安全制度文檔審批流程
根據公司實際情況,將HR,法務,內審合規部門協調起來,使制度策略落地執行;
如何才能讓制度執行落地呢?
多部門協作,在制度起草時清晰相應部門的責任,並嚴格執行;
比如:《XXX公司-ISMS-03-XXXX 安全事件管理規範》此文檔由安全部門進行起草,安委會專家組評審對內容中安全事件等級評級及獎懲標準進行確認,交由HR部門進行發布,並由學習發展部門進行安排培訓,內審合規部門進行流程審核;
在制度執行方面,安全事件處理完成後,安全部門向HR提交責任部門責任人及獎罰建議並抄送安委會進行留檔,由HR部門發起獎罰通知單,如責任人有異議,則向安委會進行申訴,內審合規部門將會介入,對整個流程和獎懲建議進行審核,最後給出處理意見,並將結論提交到安委會審計合規組進行備案留檔;
資訊安全技術體系指為了實現公司安全建設目標,對公司技術相應風險進行識別,並建立相應的安全技術措施,實現層級保護結構,保護資訊資產,實現業務持續性發展;
首先要確認公司的採用的技術及框架,需要匯總入庫;
開發技術方面:
· 業務都使用什麼程式語言進行開發?
· 是否按照最佳開發實踐手冊進行編碼?
· 源程式碼如何保管?
機密性策略:
· 採用何種加密方式,對稱加密與非對稱加密?
· 加密演算法如何選擇,是國際通用演算法,還是國密演算法?
完整性策略
· 散列演算法用的是什麼?MD5?SHA1?SHA256?
· salt原則
可用性策略
· 災難恢復策略
· RAID技術
· 負載均衡策略
· 異地多活策略
· 備份策略
· 防DDOS方式
認證鑒別策略:
· 用戶鑒別,統一管理還是分散管理?
· 認證方面,靜態口令?動態口令?是否考慮防抵賴?
· 授權方面,授權方式是什麼?是否需要審批?
· 審計方面,使用什麼手段?需要審計什麼內容?是否防篡改?
密碼策略:
· 使用靜態口令推薦使用8位以上密碼,大小寫特殊符號的組合;
· 每三個月更換一次;
其它需要考慮的問題:
主要威脅是什麼?來源於外部還是來源於內部?
主要風險是什麼?是否有對策?
是否有第三方接入?安全要求是否考慮到?
是否需要通過購買什麼產品構建?供應鏈安全是否考慮到?
如何能花更少的錢實現最大的保護?
如何將威懾、防禦、檢測、恢復、響應、監控這些防護手段加入到防禦體系中呢?
….
關於層級縱深防禦
相關層的內容包括如下內容:
一.應用層
隨著互聯網的推廣,WEB應用越來越廣泛,針對WEB應用程式的攻擊也越來越多,如:跨站腳本攻擊(XSS)、SQL注入、目錄遍歷、緩衝區溢出、拒絕服務攻擊(DOS)、頁面篡改等;
建議措施:
1.不要相信用戶的輸入,刪除/轉碼特殊字元;
2.限制輸入,僅僅允許輸入你所希望的內容;
3.不要輸出多餘的資訊,比如錯誤資訊,軟體版本資訊等;
4.最少的服務+最小的許可權=最大程度的安全;
5.保持清晰的思維,一定要有安全意識;
一定要持續推動公司產品安全開發生命周期SDL流程的建立和完善;
(產品安全開發生命周期SDL)
各階段所考慮的安全特徵:
· 設計階段–通過威脅建模以及安全知識庫,提高產品和開發的安全意識,在產品設計階段就能考慮安全需求,使產品更加安全可靠;
· 開發階段–通過編碼要求,最佳安全實踐,以及開發過程中調用安全類庫,提高程式碼的安全性,在開發階段減少安全隱患;
· 測試階段–對項目進行安全測試,提高產品安全性和穩定性;
· 上線階段–將上線的產品進行深度的安全測試,同時對承載產品的伺服器及關聯繫統進行測試,減少由於其它系統的脆弱性給產品帶來的風險;
· 運行階段–安全部門通過對安全事件的響應,以及對安全漏洞的管理,使產品在運行階段穩固運行,使業務持續發展;
· 下線階段–督促下線產品進行程式碼回收,設備的回收,以及剩餘數據的處理,同時對無人管轄產品並存在重大安全隱患的產品進行緊急下線保護,避免下線產品對公司產生的風險;
二.網路層
電腦網路是用通訊線路和通訊設備將分布在不同地點的多台自治電腦系統互相連接起來,按照共同的網路協議,實現資源共享的系統。隨著互聯網在全球範圍內的快速發展,針對及利用網路層的攻擊也越來越多,如DDOS攻擊,木馬肉雞,網路監聽,黑客掃描,流量分析等也越來越多;
建議措施:
1.對敏感區域進行劃分,通過訪問控制以及防火牆實現邊界防護
2.通過部署蜜罐系統,網路入侵檢測系統以及安全掃描,對網路內的風險進行識別,對內部業務及資源進行保護;
(標紅為安全措施)
三.系統層
由於配置不當會導致黑客利用系統漏洞進行攻擊,可能導致系統出現許可權提升、非授權訪問、軟體或服務崩潰,病毒木馬等情況;
建議措施:
1.最小化安裝原則;
2.動態口令登陸,開啟來源IP限制;
3.安全配置腳本,同時修改相應提示資訊;
4.安裝HIDS
5.安裝殺軟
6.及時更新修補程式
將安裝鏡像根據公司業務進行訂製化,安全人員務必參與其中,除業務訂製化軟體外也將安全要求訂製到鏡像中,從而實現配置規範化;
四.終端層
需要每個終端設備必須經過網路准入認證才能訪問公司資源;終端可能包括PC、筆記型電腦、智慧手機、平板電腦和特定設備,如印表機或電視機等。
建議措施:
1.網路隔離,尤其是特定設備
2.辦公網接入防抵賴
3.部署防病毒軟體
4.對用戶行為進行畫像
同時部署DLP反泄密系統用以發現內部用戶泄密行為,並使用終端管理系統及上網行為管理系統,可對用戶行為進行畫像,檢測異常用戶行為,這樣將大大提高終端層的安全;
如有BYOD(BringYour Own Device)用戶攜帶自己的設備到公司辦公需要我們怎麼做呢?簡單的原則就是達到公司用機的安全要求即可;
五.數據層
近年來,針對數據的攻擊事件日益增多,拖庫、撞庫現象頻發,歸納起來,數據受到的常見威脅大致包括:誤操作、錯誤的安全配置、內部人員泄密、未及時修復的漏洞、高級持續威脅(APT)等。
建議措施:
1.對數據進行分級分類,根據不同的數據類型進行不同的防護等級;
2.敏感數據訪問控制,做好許可權控制;
3.實現數據生命周期的安全管理,
4.做好數據備份和應急處理,設定合理的資料庫備份策略
5.完善的審計策略
分級分類原則及方法:
分類:依據數據的用途對數據進行分類;
分級:按照數據的內容敏感程度進行劃分,比如:敏感數據,業務數據,一般數據,內部公開等進行劃分,每個級別都有相應的安全保護措施;
如:用戶個人身份證資訊,屬於敏感資訊,所採取的保護措施是,加密存儲,必須加鹽,顯示規則全部打碼,後台不可修改,必須加密傳輸;
6.物理層
在這一層次的保護大多由公司行政部門進行負責,安全部門基本不參與,筆者建議安全管理者在遇到辦公區搬遷或新大樓入駐的時候也要參與一下,因為資訊安全最終保護的是人員,而物理安全則是保護人員和資產的第一道屏障;
建議參與的內容:
· 辦公敏感區域劃分
· 物理IDS部署
· 警衛行動路線規劃
· 門禁系統部署
· CCTV安裝
· 防火防盜
· IDC機房溫濕度
· 審計許可權等
資訊安全運營體系指通過對資源的管理,配置的管理,變更的管理以及事件的管理以及流程的控制,完成公司安全日常運營工作;
首先作為安全從業人員要知道安全部門在公司中保護什麼?
1.確認保護的目標
識別資產,並根據產品進行分級分類,同時根據重要程度設定優先順序;
2.形成資源清單
簡單的資源類型如下:
將資源清單形成CMDB(ConfigurationManagement Database),這樣就可以更好的管理資源,與業務、人員、組織、流程等多方面更好的進行聯動;
3.建立事務跟蹤工具,比如類JIRA工具,用於進行事務跟蹤、流程審批、任務跟蹤、項目跟蹤等工作
資訊安全運營相關工作內容如下:
配置管理
制定基準線,並確保系統處於一致的安全狀態;
那麼公司如何設定安全配置基準線呢?
以製作作業系統鏡像為例,首先安裝作業系統及所需軟體,並對系統進行安全配置和配置相應的其它安裝要求,然後進行人工檢測,最後將製作安裝鏡像,並將鏡像放在鏡像伺服器;
需要注意版本控制,以及配置文檔更新,建議加入到知識庫;
事件管理
通過對安全事件的管理,實現問題快速處理,降低安全事件對公司帶來的損失和影響,從而提高公司運營安全及產品的安全性;
(安全事件管理的內容)
包括三個階段,具體內容如下:
事前準備階段:
· 事件定義
· 事件定級標準
· 事件處理流程
· 確認組織與人員
· 工具集準備
· 相應預案
事中處理階段
· 檢測驗證事件
· 專家組作為事件的第一響應者
· 事件響應
· 緩解止損
· 事件報告
· 組織內部報告
· 外部通告
· 業務恢復到正常狀態
· 問題修復,根除風險
· 事後反思階段
· 事件復盤
· 經驗總結
· 更新策略
安全事件檢測響應體系:
PDR模型(基於時間維度的檢測響應體系)
感謝屈延文先生宣傳的PDR模型,它包括protection(保護)、detection(檢測)、response(響應)3個部份,是美國國際互聯網安全系統公司(ISS)提出的,基於時間的可證明的安全模型,其概念是防護(Protection)及其防護時間Pt(系統在黑客攻擊下的存活時間)、檢測(Detection)及其檢測時間Dt(黑客攻擊開始到被發現時間)、響應(Response)及其響應時間Rt(從發現攻擊到做出有效響應的時間)。
任何安全防護措施都是基於時間的,超過該段時間,防護措施就可能被攻破。該模型的基本思想是承認資訊系統中存在漏洞,正視系統所面臨的威脅,通過適度的防護並加強檢測,落實安全事件響應,保障系統安全。
安全狀態:Pt>Dt+Rt S安全(系統S的防護時間Pt大於攻擊及響應事件,系統安全);非安全狀態:Pt<Dt+Rt,S是不安全的,系統暴露風險敞口事件Et=(Dt+Rt)-Pt。從攻擊檢測響應事件看,攻擊存活時間Pt對應的是黑客攻擊能力,不好把握。所以對檢測時間Dt和恢復響應時間要求就越來越高,就像中間提到的威脅情報引入會降低MTTD和MTTR一樣,採用自動化手段能顯著降低響應時間(Rt)。
PDR模型的擴展包括PPDR以及PPDRR模型,其中PPDR模型增加了策略(policy);而進一步演化的PPDRR模型增加了恢復環節,包括策略(Policy)、防護(Protection)、檢測(Detection)、響應(Response)和恢復(Recovery)5個主要部分。
變更管理
確保變更不會造成安全保護中斷或下降,使安全策略保持有效;
變更規程如下:
1.確認是否需要變更
2.請求變更
3.由安委會變更小組進行審查評定
4.批准變更
5.實施
6.記錄存檔;
修補程式管理
確保系統安裝修補程式,可以修復現有軟體的漏洞,提高安全性;
建議推動修補程式伺服器的建立,如windows系統的WSUS(Windows Server Update Services),或者CentOS系統建立自已的YUM源伺服器;
修補程式更新需要遵守以下的步驟:
1.評估修補程式,是否適用,修補程式來源是否安全
2.測試修補程式,對業務是否有影響
3.批准修補程式,可以參考變更管理部分,如有修補程式伺服器,將進行添加;
4.部署修補程式,管理員安裝修補程式
5.確認部署,定期測試,確保修補程式有效;
漏洞管理
定期檢測漏洞,評估並採取相應措施來減少相應風險;
通用漏洞披露(CVE)資料庫為安全從業人員提供了研究的方向和方法,它是由MITER維護的,網址為cve.mitre.org
相信大多數安全從業人員都經歷過,使用漏洞掃描器或者系統對保護的目標進行定期或不定期的掃描,發現漏洞,評估對業務的影響,找到管理員通知修復,並提供修復方法,並驗證是否修復;
各位看到我們有保護的目標,也就是前面說的CMDB,有流程式控制制系統,那個類JIRA的系統,有管理員,有修復方法,同時公司應該也有漏洞管理的規範,那麼將其自動化怎麼樣?
安全滲透
滲透測試是通過模擬黑客的攻擊方法及方式,來評估公司資訊系統安全的一種評估方法;
人員分為內部,也就是大家常聽到的藍軍團隊,以及外部,也就是第三方檢測團隊,如,安全公司,公司SRC,眾測等;
方式分為:黑盒測試,白盒測試
一般步驟為:獲取授權,確認範圍,識別資產,掃描,漏洞利用,許可權提升,滲透報告;
值得注意的是,作為第三方的檢測團隊,滲透測試一定要有授權才可以;
安全運營平台SOC
筆者所理解的SOC是一個集中、統一、可視化的安全資訊管理平台,它更像一個指揮平台,安全部門可以通過它集中管理安全設備,實時採集各種安全資訊,實時地對安全資訊進行關聯分析及風險評估,通過建立安全策略,能夠更好的進行安全事件響應,安全漏洞處理,以及安全態勢感知,同時可視化提供更好的呈現,更好的對業務進行安全賦能。
包含的相應功能有:
1.統一安全設備管理
2.日誌匯聚及處理
3.配置管理庫
4.變更管理庫
5.安全解決方案庫
6.安全工具庫
7.威脅情報中心
8.應急響應中心
9.安全培訓系統
10.可視化呈現
SOC也不是一蹴而就的,筆者的思路是分一二三步走:
第一步,把安全設備日誌和內部系統日誌收集分析,給員工畫像,將業務日誌,生產流量進行分析,給用戶畫像,給數據流畫像
第二步就是把處理問題的方案方法,以及系統操作都聯動起來,真正做到關聯分析操作
第三步,實現漏洞事件處理可視化,系統操作簡化,成為安全部門的展示和操作平台
安全體系建設也從來就不是一個項目,而是一個持續不斷發展的過程,而這個過程也是需要不斷的更新和修正;
PDCA是安全體系建議很科學的程式,看官們一定要好好利用;
筆者認為,有些公司有管理,技術,運營三個體系是不夠的,應該還有一個安全審計體系,實現「權力應該放在籠子里」,安全審計將對安全組織的權利進行制約,同時對安全體系建設的成果進行考核和審計,會使安全體系更加有效,強烈建議;
羅馬也不是一天就能建成的,安全體系建議也不是一下子就建好的,需要打好基礎,循序漸進,一步一步來;
至此,我對安全體系建設的內容基本告一段落。
