本文简单讨论企业整体的安全体系,涉及哪些方面,大致是如何构成和运作的。
一、 安全体系的目的和意义
1、 目的
无论从信息安全,还是网络安全的定义,安全都是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行,网络服务不中断。
私下认为构建安全体系的目的是保障公司业务开展,保护公司资产。
2、 防护主体
公司资产,包括:
各种硬件设备(网路设备、主机设备、存储设备、其他设备);
各种软件服务(操作系统、软件、服务)
各种信息数据(数据、信息)
3、 基本原则
1> 业务保障:保障合理的业务安全开展,不是阻碍业务;
2> 整体协同:防护主体存在多样性和复杂性,安全手段对应多样性,安全体系中各个部分,相互协同,共同防御;
3> 技术与管理并重:针对性的技术手段,全方位的管理运作;
二、 安全体系的构成
1、 参与主体
从防护主体看,包括网络、主机(包括终端)、系统、服务、数据;
从参与人员看,包括安全工程师、网络 主机 系统 数据 应用工程师、公司人员、社会大众、黑客等攻击者、审计人员、监理人员(上级 监管机构等);
2、 安全体系构成
从防护主体看,包括网络安全、主机安全、应用安全、数据安全等;
从公司资产阶段看,包括资产准入安全、资产存续安全、资产处置安全等;
从参与人员看,包括安全工程师、IT人员(非安全专员)、员工等;
从工作阶段看,包括安全策略制定与实施、安全测试、安全日常运作、安全事件处置、安全审计报告等;
3、 安全体系的运作
1> 建设,规划、设计、实施,包括技术和管理规程;
2> 运营,检查、发现,依据管理规程和技术手段,进行检查和测试,发现问题,优化安全体系;
3> 响应、处置,依据管理规程和技术手段,对安全事件进行响应、处置,发现问题,优化安全体系;
4> 总结、引入、优化,总结经验,引入新方案,优化安全体系;
三、 企业基本安全体系
根据多年的经验,企业的基本安全体系大致包括:
1、 总体
企业安全体系(目标 原则 管理规程 范围 分类 持续优化)
基本原则:
保障业务、按需访问、最小原则、各司其职、流程保障、了解自己(保护什么)
2、 管理相关
企业资产安全管理(资产管理、组件管理、服务管理)
企业资产准入和基线管理(安全准入、安全基线)
企业信息及数据安全管理(分类、权限、移动、存贮、脱敏、验证)
企业安全日常及定期运维管理(日常运作)
企业人员安全规程(人员分类、职责界定、员工安全手册)
企业安全事件管理(发现、形成、流程、处置、分析,优化)
3、 技术相关
1> 建立企业资产管理,知道企业有什么、保护什么、有什么漏洞;
2> 建立企业资产安全准入和基线管理,涉及网络 主机 其他设备,操作系统 应用软件 基础组件 服务,在系统上线时,进行安全准入测试;日常应进行巡查,对不符合安全的,应形成安全事件,进行处理;企业资产退出时,应按安全退出处置
3> 根据企业信息及数据安全管理,对企业信息和数据分类管理、将相关权限、移动、存贮、脱敏、验证落实到相关系统中(数据库、文件服务器、应用系统等);
4> 网络安全:
网络设备自身安全管理,访问、口令、权限、人员、安全域;
网络安全域管理,分区管理,采用功能 使用 解耦分区,如公共管理区、业务服务区、办公服务区、业务客户端区、办公客户端区、业务接入端区、办公接入端区、专线外联区、互联网服务区、互联网访问区、测试区等等(其他还有许多如IP电话、数据等);
网络安全的核心是按需建立连接通路、阻断一切无需连接;
网络访问策略与企业资产密切相关,一一对应,设立源自资产上线、调整源自资产变更、失效源自资产退出,应定期检查对应;
网络监控、防护设备,如DDOS、IPS、WAF、防火墙、流量分析等;
网络漏洞检查与处置;
5> 主机安全(服务端):
主机自身安全管理,访问、口令、权限、人员、安全域;
主机自身网络访问控制(外部资源使用),按需,主机防火墙 静态路由;
主机自身进程和服务管理,最简、按需;进程和服务策略与企业资产密切相关,一一对应;
主机监控、防护软件,如天擎、安全狗、进程查*等;
系统漏洞检查与处置;
主机对应数据及信息安全;
6> 终端安全:
终端自身安全管理,访问、口令、权限、人员、安全域;终端与人员绑定;
终端自身网络访问控制(外部资源使用),按需,云桌面策略 终端防火墙 静态路由;
终端自身进程和服务管理,最简、按需;进程和服务策略与企业资产密切相关,一一对应;
主机监控、防护软件,如天擎、域策略等;
系统漏洞检查与处置;
终端对应数据及信息安全;
7> 应用安全:
应用自身安全管理,访问、口令、权限、人员、安全域;终端与账号绑定;
应用对资源的使用,通过主机、网路访问策略实现;
应用自身进程和服务管理,通过主机进程和服务管理实现;
应用监控、防护软件,自检,如稽核、F5等;
应用漏洞检查与处置;
应用对应数据及信息安全;
8> 开发实施安全:
开发实施自身安全管理,访问、口令、权限、人员、安全域;终端与账号绑定;开发区安全域严格隔离;
开发实施对资源的使用,通过主机、网路访问策略实现;
开发实施漏洞检查与处置;
开发实施对应数据及信息安全(脱敏、销毁);
开发实施技术及组件的引入、评估、测试、对应策略;
开发实施代码检测;
独立安全上线测试验证;
9> 测试安全:
测试系统自身安全管理,访问、口令、权限、人员、安全域;终端与账号绑定;
测试区安全域严格隔离;
测试系统对资源的使用,通过主机、网路访问策略实现;
测试系统漏洞检查与处置;
测试系统对应数据及信息安全(脱敏、销毁);
10> 业务连续性:
已应用为单位业务的高可用性和连续性;
11> 操作安全:
应用系统防止性措施,锁屏、有效性检查、验证码等;
应用系统日志全记录、可审计;
四、 企业安全工作重点建议
长期建议如下:
1、 分析现状,逐步安全体系;
2、 逐步调整,优化安全体系;
近期建议如下:
1、 网络隔离,重检策略、按需访问、杜绝横向访问;
2、 终端安全,重检策略,网络管控(白名单)、进程管控(白名单)
3、 资产管理,建立资产管理,严格上线流程;
4、 安全运作,重检日常、定期安全检查工作,加强安全事件处理流程;
