單位安全基線需“過五關”

單位在經歷過了一系列的數據丟失之殤、文件被鎖之疫、以及服務中斷之悖后，IT部門的領導要求對本單位IT系統進行一次徹底的梳理與排查，提出整改目標，設計安全體系的基線，從而鏟除各類坑點和隱患。

單位IT人員先后開展了訪用戶、鉆機房、登設備、查線路、測數據等活動，經歷了半個月的“摸爬滾打”之后，終于弄清了本單位當前所使用的龐大的IT服務系統，以及各個環節中所涉及到的安全體系結構，并且草擬了一份基線的報告。下面來具體看看到底列出了哪些內容，值得我們在單位的安全運維管理中進行借鑒的。

體系基線的目標：為抵御來自外部的網絡攻擊和控制內部的不當變更，單位IT系統安全體系應具有多層次的、立體的防護結構。其總體上可分為邊界安全和內部治理，在邏輯上通過硬件、軟件、網絡、系統和管理，形成五個層面的深度防護工事。

第一關：硬件

1.機房與數據中心

服務器或數據中心機房應安裝機械或電子鎖，并保持常鎖狀態。開鎖權限僅掌握在有限數量的人員手中；

進出機房都要有紙質的或電子的記錄；

機房應配備有架空防靜電地板、7×24小時空調、UPS、安全攝像頭、以及智能配線架等；

如果是數據中心，則要求具備有基于ITIL的服務管理，還應具有7×24小時監控、雙路供電和雙路上網線路接入，以及適當的發電設備。這些可以參照ISO27011：2008 或 SSAE 16等機房相關的標準。

2.用戶端

統一將具有服務支持（如MS）的單位定制的操作系統鏡像安裝到用戶電腦上；

通過組策略（Group Policy）禁止用戶擅自修改系統設置、禁止用戶擅自安裝軟件，并且啟用規定時間無使用的自動鎖屏；

瀏覽器里的代理設置可以被用戶臨時修改，但會在下一次登錄時自動恢復。不過，用戶無法修改瀏覽器的安全和隱私設置；

預安裝防病毒軟件且鎖定，以使用戶無法禁用或終止其守護進程；

用戶不能以本地管理員身份登錄電腦，無寫入或修改系統注冊表的權限，也無法將電腦退出單位的域或修改加入到其他域；

通過信息資產配置管理工具（如SCCM）對單位內用戶電腦進行統一的注冊、更新、修改和信息收集等管理。

用戶端硬盤啟用加密，以保證如筆記本電腦之類的設備丟失時硬盤上的文件機密性。

3.服務器端

統一將具有服務支持（如MS等）的操作系統鏡像安裝到服務器上；

預安裝企業版防病毒軟件并實現集中管理和更新；

根據標準化服務器的系統安裝Checklist來進行操作并逐步核對；

及時測試、審核并給相關服務器打上補丁。注意審查更新系統的報告，以確認完成；

服務器應在初始安裝的時候就予以安全加固；對于處于非軍事區（DMZ）的外部服務器須有更多加固設置。

對于單位里所用到的所有服務器應該有一個全量的列表，此表應根據服務器的硬件類型、服務功能和使用范圍進行分類。

4.移動設備

移動設備連接到單位郵箱時必須通過認證；

在設備丟失時，Helpdesk通過MDM系統可遠程鎖定或擦除設備上的數據；

啟用設備自動鎖屏等安全策略。

第二關：軟件

1.一般應用程序

針對不同的應用程序，設置不同的用戶組；

將各種應用程序的登錄方式統一為單點登錄（SSO），以實現用戶賬號權限的自動匹配；

對于單位所用到的所有應用程序應有一個全量的列表，此表應根據程序功能和使用范圍進行分類；

每一種應用應該在表中具有版本號、許可證、交付方式、類別、基本描述、以及是否外網可用等特征項；

如有條件，最好能擬出一個數據是如何做本單位的各個應用及系統之間進行流轉的圖表,以方便對各個應用的協同工作狀態和數據的走向有個宏觀的認識。當然，也可以將該圖表放大放置在IT部門或Helpdesk，以便在出現系統或服務故障時，能清晰的識別并標注出問題的環節。

2.文檔及其管理平臺

各類工作文檔需存放在指定的共享目錄下、網絡盤里、或者導入到專門的文檔管理與協作平臺，而非電腦的本地磁盤上；

用戶存儲文檔時，默認情況下為公開屬性，如有需要可以添加相關安全設置，包括：私有屬性、可以訪問的用戶與組、以及讀/寫/改/刪等權限；

管理平臺持續記錄用戶對文檔的任何訪問操作，該記錄日志應被刪除；

管理平臺能夠對批量刪除/轉發/導出等不合規的操作行為予以報警。

3.郵件管控

規范郵件系統網絡架構，厘清郵件出入本系統的邏輯路徑。對跨國企業，可按照區域劃分中轉的Hub；

對出入本系統的郵件配置相應的反垃圾郵件、郵件黑（白）名單、郵件加密等服務；

定期對郵件系統進行風險評估，比如可以用到MS ExRAP；

如果除了普通郵件客戶端，單位還提供Web版的外網郵件訪問方式，相關的安全設置也應有所配置，比如可以用到MS ISA；

禁止用戶批量轉發或設置為自動轉發單位郵箱里的郵件；

運用反垃圾郵件系統通過掃描各種入站郵件，來防止釣魚和保障內網安全；

為保證郵件系統的持續可用性，可適當采用SaaS服務來保證單位內郵件服務中斷時，用戶仍可用公網途徑收發郵件。

第三關：網絡

1.網絡連接

單位上網線路建議采用雙線制，可實現不同應用業務從各自線路與外部連接，并實現互相備份；

對有多個分支機構的單位，可以將需要與區域站點（或總部）協作的應用業務都通過一個WAN網專線進出；開啟VPN建立數據通信專有通道，以實現業務數據的保密性。而另一條線路，提供員工上網以及在WAN出現故障時切換所使用（如通過BGP的配置）；

運用工具發現并繪制詳細的網絡連接拓撲結構圖。

網絡連接設備（如：防火墻、路由器、交換機等）都遵循統一的配置模板，各個設備的配置都有集中的備份與歸檔；

有詳盡的網絡設備恢復方案與操作步驟的參考文檔。

2.非軍事區（DMZ）

在活動目錄里劃分單獨的域給DMZ；

僅為外部用戶提供安全套接層（SSL）的方式來訪問DMZ里的Web資源；

將Outlook Web Access/ActiveSync/Citrix/Office Communications Server/VPN Gateway/SharePoint Extranet等服務放置在DMZ里。

3.用戶上網規則

所有用戶須持有有效的域賬號，并通過代理服務器來訪問互聯網；

代理服務器對出入數據包執行病毒掃描、請求特征分析、策略判斷、跟蹤與記錄等操作。

4.無線訪問

單位提供統一的無線網絡ID，并實現區域全覆蓋；

通過配置實現無線網絡與局域網的互通，域賬號能在無線網絡中訪問所有單位資源；非域賬號登錄到無線網絡后，僅能向外訪問到互聯網。

第四關：系統

1.備份

將備份視為一個單獨的系統，列出單位所使用到的備份類型（如FC SAN、IP SAN（iSCSI）還 是 NAS）、硬件設備、軟件特征、數據源及路徑、備份策略、恢復數據點和恢復時間等；

對于有多個分支機構的單位，還可按地域厘清各個備份系統之間的聯系和數據流轉走向；

制定將備份好的介質離線投遞到其他安全位置的相關策略，并嚴格執行。

2.電話與語音信箱

追蹤打出的電話，以識別打往未授權國家與號碼的國際長途；

以要求用戶輸入規定的前綴代碼的方式，實現長途電話的計費；

系統在次月產生上個月每一門電話的通話清單與費用列表；

用戶離職后直接呼叫轉移其號碼到繼任者，并導出其語音信箱后立即從系統中刪除；

對于有多個分支機構的單位，可通過使用入站電話重定向（ICR）實現將出現故障的某個區域的所有打入電話路由到他處。

3.遠程訪問

為實現員工在辦公區以外能夠對單位內部資源的訪問，既允許在任何電腦上基于網頁的遠程桌面與應用（如Citrix），也支持具有單位統一系統鏡像的筆記本上的VPN連接；

認證方式上采用靈活的支持多種通信方式的雙因素認證模式；

為合作伙伴提供非本域的賬號和受限的VPN遠程連接方式。

第五關：管理

1.賬號、組與密碼

所有人都使用活動目錄的域賬號來登錄單位的服務器和用戶端電腦；

所有賬號，在原則上具有相同的訪問級別，而無任何特殊的訪問權限；

通過基于角色的訪問控制來實現基本用戶賬號最小特權的管理；

定期對活動目錄進行風險評估，例如可以用到MS ADRAP；

僅授權單一部門對域賬號進行統一的集中化管理；

只有IT部門員工才有、且能使用第二個賬號來進行管理類事物操作。所有這些賬號都以ADM_開頭以便于跟蹤和記錄；

按職權分離和須知原則設定不同活動目錄用戶組，以方便跟蹤、記錄和管控；

普通賬號遵循通用的密碼策略；而對于ADM賬號，則采用更嚴格的密碼策略。

2.信息平臺

為保持安全團隊內部的及時協作、以及與外部的高效溝通，應設置一個統一的內網管理平臺入口（如一個SharePoint站點）來實現集中化管理；

平臺內容包括：安全信息的發布、事件情況的查詢、項目進度的更新、參考文件的存儲、負責人的公示等；

平臺應能實現遠程登錄與運維，以提高整體效率；

使用統一的平臺解決方案實現對所有的事件、事故、問題、請求以及變更的管理。Helpdesk和所有IT部門員工都有權限使用此平臺并能獲取平臺推送的消息；

使用統一的平臺解決方案實現對所有項目的進度、工時和時間的跟蹤與管理。所有的項目經理、職能經理和高級工程師都有權限使用此平臺并能獲取平臺推送的消息。一般IT人員僅能Read only該平臺。

3.網絡與設備監控

使用安全事件管理產品進行日志集中管理與聯動；

監控各網絡設備、服務器硬盤使用率與在線狀態等；

監控LAN、WAN、WIFI 和上網線路狀態；

對于單位網絡中所用到的IDS/IPS以及DLP產品提供監控與響應。

4.應急響應與審計

具有既定的應急響應流程，并定期更新之，且周期性進行演練；

定期進行服務器（Web）、網絡、客戶端、BYOD等類型的滲透測試；

定期（每年一次或兩次）執行內部審計和外部審計；

接受上下游合作商及客戶所主導的各類安全評審。

5.培訓與手冊

定期以電子郵件、海報或組織員工面對面開展信息系統基本技能與安全意識的相關培訓；

制定并定期更新面對全員發放的風險意識管理和速查手冊。