企業信息安全管理體系及防護要點

◆肖 勇

?

企業信息安全管理體系及防護要點

◆肖 勇

(北京天融信網絡安全技術有限公司 廣西 530000)

本文重點介紹如何對信息安全風險進行有效管理，建立健全企業信息安全管理體系，確保企業全體員工理解并執行信息安全管理體系文件，持續改進管理體系的有效性，實現企業信息安全方針目標。主要對傳統IT系統安全、云安全、大數據安全等方面進行相應的安全技術防護。企業信息安全方針可概述為：積極預防、全面管理、控制風險、保障安全。

信息安全管理；安全體系；安全風險管理；安全防御

0 引言

時代發展自IT時代已走向DT時代，IT（Information Technology）時代是以自我控制、自我管理為主，而DT（Data Technology）時代，它是以服務大眾、激發生產力為主。2016年3月，我國《國民經濟和社會發展第十三個五年規劃綱要》中明確提出了“實施國家大數據戰略,把大數據作為基礎性戰略資源”。

新時代體制下信息安全管理思想隨之變化，新的管理理念也要重新定義，在繼承IT時代下好的經驗基礎上，用發展的思想看DT技術，DT時代下的安全體系也應該用迭代的方式進行信息安全管理。見表1兩個時代的異同展示。

無論是云平臺還是最基礎的IT平臺，在大數據時代下更應該做好信息安全管理，防止信息泄露，做好應急響應，維持好業務連續性。

1 信息安全管理體系過程模式

企業從ISO/IEC27001標準附錄A中的13個控制項，35個控制目標，114個控制措施中選擇控制目標和控制措施，來處理被識別的安全風險。

企業高層領導應對ISMS的規劃（P）、實施（D）檢查（C）、處置（A）提供必要的承諾和支持，為企業員工提供執行ISMS職責所必需的教育培訓，如圖1。

圖1 信息安全管理體系過程模式圖

表1 IT與DT的區別

企業應建立內部信息安全管理體系，并且每年做一次差距分析和整改糾正，企業領導要適度關注，建立信息安全管理小組，有效執行PDCA。

2 信息安全管理體系安全保障方法及防護要點

2.1 人員和資產安全

無論在哪個領域，發生安全事件時首先要保護人員的生命安全，其次考慮其他的資產安全以及對企業的影響。

通常企業在人員錄用時，應做到對人員背景進行基本調查。企業應對人員進行崗前培訓、在崗監督、離崗時刪除所有賬號和權限等全流程有效管理。據官方統計，大多數的安全問題是人為因素造成，所以控制好人為因素，能一定程度上實現對其他人員和資產安全的保護。此環節的防護要點可從安全管理體系建設中的人力資源安全中體現，通常為正式管理辦法，要根據管理辦法落實，并開展定時間檢查和審計。

資產安全則通過風險評估、訪問控制等技術手段來保障，通過制定規章制度等管理手段，限制違規行為和暴露安全問題。當然，對于資產安全的防護，上文只是做了簡述，對應安全體系建設，資產安全的防護要點可在資產管理中進行細化，如資產的負責、信息分類、介質處置，另外還有訪問控制物理和環境安全兩個大的控制項。

2.2 安全風險評估及漏洞管理

企業實施安全風險評估是一種戰略性的考慮，其結果將受到企業的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。

安全風險評估識別企業內信息資產的安全脆弱性、安全威脅、已有安全措施、風險大小等。需評估的資產是具有價值的信息或資源，它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務、形象和人員等。

安全漏洞在本文中理解成廣義的漏洞，指系統漏洞、程序bug、業務流程邏輯錯誤、管理流程、以及風火水電存在的隱患等。通過風險評估發現問題（漏洞），對漏洞進行風險計算，輸出風險評估報告和整改方案。對存在的漏洞進行閉環處理，制定漏洞處理機制等，實現對漏洞的安全管理。

2.3 安全掃描滲透

根據業務系統的重要性，可每季度或每半年進行安全檢測。這里的防護要點是優先對外暴露面進行安全掃描和滲透測試，其次再對內網進行安全掃描和滲透測試；而對于無法修復的漏洞需要做好訪問控制以及安全策略，如設置白名單等。此要點為要定時去開展此工作，但遇到特殊漏洞類似出現Oday等情況應該立即做應急響應。

下面重點簡述下綜合滲透，其主要有黑白盒子測試，內容主要包括SQL注入測試、越權測試、跨站腳本測試、弱口令測試、文件上傳測試、文件下載測試、文件包含測試、不安全的URL訪問測試、敏感信息泄露測試、未授權訪問測試、信息未加密測試、認證會話訪問測試、目錄瀏覽測試、靜態代碼審計以及黑盒測試等。

圖2 滲透測試的一般過程

多數企業沒有自己專業的安全團隊，一般委托其他安全公司進行掃描滲透加固工作，滲透的流程如圖2所示，需注意一點，在開始滲透前均要由系統所屬方出具滲透測試委托書等書面材料。

2.4 軟件生命周期安全管理

現企業中均使用系統軟件來完成大部分工作，例如網管系統、OA系統、CRM系統和一些對外的WEB服務等。提及軟件不得不關注軟件生命周期的安全，要做到安全開發設計、安全運營、安全退服下線全生命周期安全管理。

在需求分析和設計階段就要考慮到安全問題；在代碼編寫時要注重邏輯錯誤和嚴格執行過濾，包括字符、目錄、后綴名等；交付測試也要嚴格控制，最好進行代碼審計測試，但目前的大多數情況均為先上線，出現漏洞后才去補救，往往會造成極大的危害和影響；運營階段也需定時開展滲透測試及代碼審計，及時發現漏洞并修復；退服下線階段做好數據安全遷移或者信息脫敏處理。

同樣對應安全體系中，系統獲取、開發和維護是主要說明應用軟件和系統安全控制的文件，需關注的是要嚴格按照規范性文件或流程來開展，對應用軟件全生命周期進行安全防護。

2.5 數據安全防護和數據防泄密

本文中的數據指的是生產數據和一些用戶的信息，包括姓名、身份證號碼、電話、家庭住址和一些銀行賬號、系統登錄賬號和口令，這里的數據我們也理解為信息。

信息數據的安全我們采用密碼學的方法進行保護，也就是我們常說的加密解密。信息從產生、傳輸到存儲、到被分享、到最后的銷毀都需采用加密技術進行加密，信息被分享時根據客體級別進行脫敏處理，信息銷毀時采用不可還原機制。但由于全信息加密成本問題，可對關鍵信息進行加密處理。

系統口令應控制復雜程度，至少8位以上的字母、符號、數字的混合，并加密保存和定期要求變更等。在傳輸加密中的應用提幾個名詞，例如CA、HTTPS、SSH等。在關鍵系統登錄或訪問重要信息時，需要采用多認證機制，也可在關鍵操作點，采用金庫模式“關鍵操作、多人完成、分權制衡”的原則，即訪問控制。

企業可根據條件選擇部署數據防泄密系統，一般以深度內容識別技術為核心，在數據存儲、傳輸和使用過程中，發現并識別敏感數據安全隱患，確保敏感數據的合規使用，防止敏感數據泄露的數據安全保護系統。可定義企業中的敏感信息，制定對不同等級機密信息的監視和防護策略，多維度敏感數據檢測，防止機密信息泄露。

上述只簡要介紹，對于數據的安全的防護要點，除了有技術上的支持，管理上也不容忽視，需要在安全系統管理文件中細化。對應數據安全方面，從以下幾個控制文件說明與細化：資產管理、訪問控制、密碼學、通信安全等方面。

2.6 業務連續性及應急保障

企業應注重建立業務連續性和災難恢復計劃，同時建立較完善的應急預案等辦法，保障業務系統正常穩定運行。

如何做到保障業務連續性。首先，將重要數據業務進行異地備份、核心鏈路進行冗余備份、定期巡檢數據及日志等信息的備份和運行情況；其次，根據企業實際情況，撰寫包括DDOS攻擊、網頁防篡改、木馬后門、系統中毒以及主鏈路中斷切換備用鏈路等應急預案，定期開展應急演練，總結經驗，輸出報告； 最后就是應急保障，企業應安排有重大保障經驗的人員進行保障，若有條件可邀請有資質的安全廠家進行協助，以保障突發的安全事故。通常在應急處置中，有經驗的安全人員會首先通過查看系統日志的方式打開突破口，所以日志的保存非常關鍵，若有條件可在企業內部部署日志收集與分析系統。

業務連續性的防護要點對應安全體系中的業務連續性管理的信息安全方面，應建立和定期開展各種場景的應急演練，確保企業的業務連續性。

2.7 安全審計和法律法規

信息安全評審和符合法律要求是安全體系中符合性控制項中的兩個控制點，下面也簡要解釋其要點。

企業內部開展安全審計，是企業注重安全的體現，審計內容包括人員訪談、文檔、流程、日志、漏洞等多方面，其目的是為了發現企業在安全管理中存在的安全問題，并作為改正和調整的依據。

對于法律法規，企業應熟悉法律法規、知悉我國法律，并遵守法律法規的要求，在許可的范圍內開展安全工作。例如依據我國《安全法》要求，企業需開展等級保護工作等。

3 安全設備及產品

目前網絡安全環境日益嚴峻，企業面臨的安全威脅逐步增加，除了構成網絡的速通設備和傳統的防火墻、入侵檢測設備等。目前國內也根據市場需求問世了很多安全產品，目的就是能快速發現、動態感知網絡環境的變化和安全趨勢，最終將信息安全威脅由被動防御變成主動防御。

在專業安全領域，產品的出現也是依托在安全解決方案的體系下，方案和產品相互配合才能達到可觀的效果，在此也簡單羅列一些安全產品：安全審計系統、防泄密系統、電子簽章系統、風險探知系統、網站監控系統、異常流量管理與抗拒絕服務系統以及各類安全網關。

雖然各類網絡安全產品的出現，能幫助我們解決大部分的安全問題，但是作為安全人員千萬不能怠慢，畢竟對這些設備合理運用并達到一個最優防護效果的探究，不亞于傳統的任何一個安全工作，信息安全管理體系中最重要的因素還是在人。

4 總結

企業建立完整的信息安全管理體系，主要是通過主流的安全思想和先進的安全技術，從管理和技術手段一同著手。但據統計，企業中發生信息安全事件，70%以上都是由人員引起，所以員工的信息安全意識教育顯的尤為重要，信息安全事件防范重點是“七分管理，三分技術”。

對安全事件可通過事前檢測及預防、事中防御、事后發現三個環節，以安全事件和漏洞閉環管理等思路，建立安全監控的技術手段、抵御手段、審計溯源手段和有效的管理制度。在推動信息安全管理體系時，得到企業高層領導的足夠支持尤其重要。

本文中無法具體到每個安全領域的控制和防御要點，但已經基本提及了各大關鍵點。信息安全防護要點可參見信息安全管理體系中14個控制項、35個控制目標、114個控制措施，通過不斷的執行PDCA方法，完善安全管理和防范安全問題。

[1]ISO/IEC 27002:2013.信息技術-安全技術-信息安全控制實用規則.

[2]ISO/IEC 27005:2011.信息技術-安全技術-信息安全風險管理.

[3]姚永雷，馬利.計算機網絡安全(2版)[M].北京:清華大學出版社，2011.