小型企業(yè)信息安全日常運(yùn)維

■ 安徽 于晗

編者按：面對(duì)信息安全威脅，大型企業(yè)有著足夠的人力和財(cái)力來應(yīng)對(duì)危機(jī)，而小型企業(yè)則不盡然，需要以有限的資源應(yīng)對(duì)無窮的威脅。因此，高效的安全策略和管理方式就變得極為重要，本文特別針對(duì)小型企業(yè)來進(jìn)行探討。

伴隨著物聯(lián)網(wǎng)及云計(jì)算技術(shù)的不斷發(fā)展，企業(yè)信息化程度不斷提高，為了保證企業(yè)的信息安全建設(shè)，很多企業(yè)選擇購買大量的安全防護(hù)設(shè)備，以為在網(wǎng)絡(luò)邊界加裝一些防護(hù)設(shè)備就可以保證企業(yè)的正常運(yùn)營。實(shí)際上這些行為大部分只是給企業(yè)提供了心理上的安慰。

另外,小型企業(yè)的人員與成本均有限，不能像大型企業(yè)那樣設(shè)置專門的信息安全崗位來進(jìn)行安全管理。更有一些企業(yè)為了應(yīng)付檢查將安全管理工作隨意派遣給內(nèi)部技術(shù)管理部門，造成一人多崗、信息交叉、自做自查等問題。

本文將根據(jù)實(shí)際工作中的經(jīng)驗(yàn)，綜合國家標(biāo)準(zhǔn) 《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中三級(jí)等級(jí)保護(hù)要求，總結(jié)出一套相對(duì)簡單的日常運(yùn)維管理方法，希望給大家提供參考。

圖1 運(yùn)維管理控制點(diǎn)劃分

企業(yè)信息安全管理平臺(tái)運(yùn)維管理控制點(diǎn)說明

為了方便企業(yè)的信息安全管理平臺(tái)的運(yùn)維管理，運(yùn)維管理控制點(diǎn)將分為兩個(gè)部分：

第一個(gè)部分為針對(duì)所有信息安全設(shè)備資產(chǎn)、信息安全及監(jiān)控中心、安全事件及應(yīng)急預(yù)案的管理，只在控制點(diǎn)的屬性上進(jìn)行區(qū)分，不在做針對(duì)單個(gè)業(yè)務(wù)子系統(tǒng)的細(xì)化處理；

第二部分則與第一部分相反，所有控制點(diǎn)都針對(duì)單個(gè)業(yè)務(wù)子系統(tǒng)，所有系統(tǒng)均保證包含第二部分中的控制點(diǎn)分項(xiàng)。如圖1所示。

第一部分控制點(diǎn)分項(xiàng)

1.運(yùn)維資產(chǎn)管理

主要包括企業(yè)所有信息安全設(shè)備序列號(hào)、維保年限、用途、特征庫更新時(shí)間、大版本升級(jí)時(shí)間。

具體樣表格式如圖2所示。

2.密碼管理

主要包括企業(yè)所有的信息安全設(shè)備的密碼控制及管理，包括有入侵防御系統(tǒng)、網(wǎng)頁防護(hù)、堡壘機(jī)、內(nèi)容審計(jì)、二代防火墻以及抗DDoS設(shè)備等。

這里需要著重注意的是密碼管理員必須與運(yùn)維管理員分離。因?yàn)槊艽a是企業(yè)安全運(yùn)維的重中之重，也可以說是企業(yè)安全運(yùn)維的最后一道防線。

3.監(jiān)控及安全管理中心管理

主要包括針對(duì)企業(yè)所有信息安全設(shè)備進(jìn)行日志收集及分析的安全管理中心，日志收集及分析系統(tǒng)的運(yùn)維管理。

這一方面管理的日常工作也是最頻繁的，因?yàn)閷?duì)于安全來說是“七分管理，三分技術(shù)”。

4.安全及運(yùn)維事件管理

安全事件主要針對(duì)突發(fā)安全事件的記錄，包括信息來源、事件動(dòng)機(jī)、影響范圍、事件性質(zhì)、事件發(fā)展趨勢(shì)以及采取的措施等。

運(yùn)維事件主要包括信息安全項(xiàng)目執(zhí)行情況、廠家服務(wù)情況、信息安全年度技術(shù)執(zhí)行進(jìn)展、信息安全文件管理等。

5.賬號(hào)權(quán)限管理

主要針對(duì)企業(yè)信息安全設(shè)備對(duì)外分發(fā)登錄賬號(hào)的權(quán)限控制，包括設(shè)備使用賬號(hào)、VPN賬號(hào)和堡壘機(jī)使用賬號(hào)等。

這部分賬號(hào)處理工作一定要做好賬號(hào)變更管理，需要明確賬號(hào)在過去、現(xiàn)在、未來的使用情況，以便于出現(xiàn)問題時(shí)進(jìn)行回溯。

圖2 運(yùn)維資產(chǎn)管理表格樣式

6.應(yīng)急預(yù)案管理

主要針對(duì)“兩會(huì)”、春節(jié)、“十一”等重大公共事件期間的信息安全保障應(yīng)急需求制定并進(jìn)行管理。

具體要求如下：

（1）基本原則

分級(jí)負(fù)責(zé)：

按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則，針對(duì)不同公司業(yè)務(wù)子系統(tǒng)，強(qiáng)調(diào)部門安全責(zé)任制，各部門應(yīng)當(dāng)積極支持和協(xié)助相應(yīng)的應(yīng)急處置工作。

果斷處置：

一旦發(fā)生網(wǎng)絡(luò)與信息安全事故，應(yīng)迅速做出反應(yīng)，及時(shí)啟動(dòng)應(yīng)急處置預(yù)案。各業(yè)務(wù)部門應(yīng)盡力配合減少損失，以恢復(fù)網(wǎng)絡(luò)與系統(tǒng)運(yùn)行為目標(biāo)。

適用范圍：

本預(yù)案適用于企業(yè)各業(yè)務(wù)部門。

（2）組織體系

應(yīng)急人員組成：

對(duì)于小型企業(yè)而言無法另外在各個(gè)部門之間抽調(diào)人員，因此建議采用固定應(yīng)急處置人員，可以臨時(shí)增加問題系統(tǒng)的負(fù)責(zé)人。

主要職責(zé)：

負(fù)責(zé)應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)與信息安全突發(fā)事件，指導(dǎo)督促重要業(yè)務(wù)系統(tǒng)信息安全突發(fā)事件應(yīng)急預(yù)案的修訂和完善，參與執(zhí)行并檢查落實(shí)預(yù)案執(zhí)行情況。

（3）預(yù)防預(yù)警

按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)企業(yè)各業(yè)務(wù)系統(tǒng)安全事件信息的收集、分析判斷和持續(xù)監(jiān)測(cè)。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí)，按規(guī)定及時(shí)向應(yīng)急小組報(bào)告，初次報(bào)告事件最遲不得超過1小時(shí)，重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)公共事件實(shí)行態(tài)勢(shì)進(jìn)程報(bào)告。

報(bào)告內(nèi)容主要包括信息來源、事件動(dòng)機(jī)、影響范圍、事件性質(zhì)、事件發(fā)展趨勢(shì)和采取的措施等。

對(duì)于兩個(gè)小時(shí)內(nèi)無法解決的信息安全突發(fā)事件，應(yīng)迅速召開信息安全應(yīng)急響應(yīng)會(huì)議，研究確定安全突發(fā)事件的危害等級(jí)，根據(jù)具體情況來啟動(dòng)相應(yīng)的應(yīng)急預(yù)案，并向相關(guān)部門進(jìn)行匯報(bào)。如果問題較為嚴(yán)重，本單位無法有效解決時(shí)，在經(jīng)過公司管理層同意的情況下，邀請(qǐng)專業(yè)信息安全廠家協(xié)同進(jìn)行問題處置。

（4）實(shí)際應(yīng)急預(yù)案舉例

企業(yè)網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論時(shí)的應(yīng)急預(yù)案：

a)突發(fā)事件應(yīng)急預(yù)案

網(wǎng)站、網(wǎng)頁由負(fù)責(zé)網(wǎng)站維護(hù)的管理員隨時(shí)監(jiān)控信息內(nèi)容。

發(fā)現(xiàn)在公司網(wǎng)站出現(xiàn)非法信息時(shí)：

圖3 應(yīng)急預(yù)案負(fù)責(zé)人樣表

網(wǎng)站管理員應(yīng)立即向部門主任及公司總工程師通報(bào)情況；

必須作好記錄，包括被篡改頁面、惡意登錄信息等，之后清理非法信息，采取必要的安全防范措施，將網(wǎng)站、網(wǎng)頁重新投入使用；

如果事態(tài)嚴(yán)重導(dǎo)致無法清理非法信息，或者重要網(wǎng)站服務(wù)器密碼被更改無法登錄，應(yīng)直接采用斷網(wǎng)措施，再按程序報(bào)告。

網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲?jì)記錄，將有關(guān)情況向部門主任及公司總工程師匯報(bào)，并及時(shí)追查非法信息來源。

b）應(yīng)急預(yù)案負(fù)責(zé)人

登記樣表可參考如圖3所示樣例。

c）企業(yè)網(wǎng)站突發(fā)事件應(yīng)急中斷處置

如果公司網(wǎng)站出現(xiàn)服務(wù)器被惡意鎖死而無法登錄，同時(shí)公司網(wǎng)站頁面也被篡改，則只需要將下面任一條綠線拔出，以中斷公司網(wǎng)站連接。

具體位置在數(shù)據(jù)機(jī)房A7設(shè)備柜(需要拍攝具體圖片，標(biāo)注需要中斷線路)。

7.備份與恢復(fù)管理

針對(duì)不同業(yè)務(wù)系統(tǒng)所包含的防火墻、交換機(jī)、安全設(shè)備的配置信息進(jìn)行定期記錄和分揀。

對(duì)于備份而言，可以存在自動(dòng)備份系統(tǒng)跟手動(dòng)備份。一般企業(yè)為了方便起見，均采用自動(dòng)備份，但是本文中所要求的備份均為手動(dòng)備份。

8.日常報(bào)表管理

針對(duì)不同業(yè)務(wù)系統(tǒng)定期出具信息安全相關(guān)日志歸結(jié)報(bào)表。由于日常報(bào)表主要工作是用于工作匯報(bào)，因此可以與公司安全域劃分為基礎(chǔ)進(jìn)行分域情況匯報(bào)，也有利于安全問題的總結(jié)。

第二部分控制點(diǎn)分項(xiàng)

1.安全設(shè)備應(yīng)用管理

主要針對(duì)不同業(yè)務(wù)系統(tǒng)使用相應(yīng)信息安全設(shè)備時(shí)，不同的應(yīng)用配置管理。

2.網(wǎng)絡(luò)安全管理

主要針對(duì)不同業(yè)務(wù)系統(tǒng)內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，信息安全設(shè)備部署位置，包括防入侵，網(wǎng)頁防護(hù)、邊界防護(hù)、抗DDoS等。

3.主機(jī)系統(tǒng)安全管理

按照統(tǒng)一的信息安全基線管理，主要針對(duì)不同業(yè)務(wù)系統(tǒng)內(nèi)部主機(jī)的操作系統(tǒng)的配置核查及漏洞掃描，并進(jìn)行相應(yīng)的漏洞修補(bǔ)信息記錄。

企業(yè)信息安全管理平臺(tái)日常運(yùn)維工作控制表

為了保證日常信息安全運(yùn)維工作，可以做量化指標(biāo)并有利于日常工作的分發(fā)，同時(shí)可以實(shí)現(xiàn)對(duì)日常安全運(yùn)維工作的監(jiān)督和控制。對(duì)日常運(yùn)維表單中各分項(xiàng)目更新日期可以做如下規(guī)定，以備查詢控制，具體樣表如圖4所示。

1.信息安全月或季報(bào)

更新頻率：每月或每個(gè)季度一次。

更新日期：次月或次季度第一天，如有延遲需要在次月或次季度第一個(gè)星期內(nèi)完成。

圖4 日常運(yùn)維工作控制表樣表

更新內(nèi)容：包括所有納入信息安全管理平臺(tái)的業(yè)務(wù)系統(tǒng)。

2.平臺(tái)賬號(hào)權(quán)限管理

更新頻率：每個(gè)月一次。

更新日期：每個(gè)月第三個(gè)星期第一天完成，如果有延遲，則需要在本星期之內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺(tái)業(yè)務(wù)探針。

3.安全運(yùn)維資產(chǎn)自查

更新頻率：每兩個(gè)月一次。

更新日期：每雙數(shù)月的最后一天完成，如果延遲，則需要在次月的第一個(gè)星期內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺(tái)業(yè)務(wù)探針。

4.配置備份

更新頻率：每兩個(gè)月一次。

更新日期：雙數(shù)月最后一天，如有延遲需要在次月第一個(gè)星期內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺(tái)業(yè)務(wù)探針。

5.業(yè)務(wù)探針密碼更替

更新頻率：每六個(gè)月一次。

更新日期：每一、七月第二星期完成，如有延遲需要在第二個(gè)星期內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺(tái)業(yè)務(wù)探針。

6.應(yīng)急預(yù)案復(fù)查

更新頻率：每六個(gè)月一次。

更新日期：逢重要節(jié)日、會(huì)議前兩個(gè)星期開始復(fù)查（必須完成）。

更新內(nèi)容：包括所有信息安全管理平臺(tái)涉及的業(yè)務(wù)系統(tǒng)。