【51CTO.com原创稿件】话说AC初创公司凭借各种“风口”机会越做越大、越做越强。如今,老板已将市场拓展到了海外,即将成为一家美国公司的“御用”合作商。可是就在与该老牌美帝企业签署合作备忘录的前夕,AC公司就收到了对方IT部门发过来的一份合作企业信息管控需求问卷,其问题主要涉及的是企业运营与可能合作时的各种信息安全管控问题。
面对这份“金光闪闪”的全英文Excel表格,AC公司大胆接招,为这张国际通用的入场券专门成立了以信息安全经理挂帅的项目组。大家先后开展了访用户、钻机房、登设备、查线路、测数据等活动,经历了半个月的“摸爬滚打”和彻底梳理后,终于拿出了一份针对信息安全管控实务的“点对点”应答。下面就让我们一起来观瞻一下吧。
HARDWARE
Computer Room or Data Center
Question:
◆Is access to facilities where data is stored, or processed restricted to authorized personnel only?
◆Are visitors required to sign-in when they enter facilities?
◆Does video surveillance of computer room and perimeter entrances exist?
◆If a data center is used, does it meet any telecommunication standards?
Answer:
◆服务器或数据中心机房安装了机械或电子锁,并保持常锁状态。开锁的权限仅掌握在有限数量的人员手中。
◆进出机房都有纸质的或电子的记录。
◆机房应配备有架空防静电地板、7×24小时空调、UPS、安全摄像头、以及智能配线架等。
◆对于托管的数据中心,则具备有基于ITIL的服务管理,包括7×24小时监控、双路供电和双路上网线路接入,以及适当的发电设备。这些都参照了ISO27011:2008等机房相关的标准。
User Computer
Question:
◆Are unified OS images and software (including anti-virus) installed on user computers?
◆Can users modify the security characteristics of the platform, operating system, and security products?
◆Can virus or malicious software easily compromise user computers?
◆Are user computers vulnerable with group unified settings or have unsecure and open configurations?
Answer:
◆统一将具有服务支持(如MS)的企业定制的操作系统镜像安装到了用户电脑上。
◆通过组策略( Group Policy)禁止用户擅自修改系统设置、禁止用户擅自安装软件,并且启用规定时间无使用的自动锁屏。
◆浏览器里的代理设置可以被用户临时修改,但会在下一次登录时自动恢复。不过,用户无法修改浏览器的安全和隐私设置。
◆预安装防病毒软件且锁定,以使用户无法禁用或终止其守护进程。
◆用户不可以本地管理员身份登录电脑,无写入或修改系统注册表的权限,也无法将电脑退出企业的域或修改加入到其他域。
◆通过信息资产配置管理工具(如SCCM)对企业内用户电脑进行统一的注册、更新、修改和信息收集等管理。
◆用户端硬盘启用加密,以保证如笔记本电脑之类的设备丢失时硬盘上的文件机密性。
Server
Question:
◆Are unified OS images and software (including anti-virus) installed on servers?
◆Are default system accounts (e.g., guest, administrator) disabled or renamed upon initial system build?
◆Are new systems and devices (e.g., systems, networks, applications, databases, etc.) configured with current security updates/patches and hardened before being put into production?
◆Is there an inventory of hardware assets with all assets tracked by a unique identifier such as an asset control tag or serial number?
Answer:
◆统一将具有服务支持(如MS等)的操作系统镜像安装到服务器上。
◆预安装企业版的防病毒软件并实现集中管理和更新。
◆根据标准化服务器的安装检查表来进行操作并逐步核对。
◆及时测试、审核并给相关服务器打上补丁。审查更新系统的报告,以确认完成。
◆服务器在初始安装的时候予以安全加固;对于处于非军事区(DMZ)的外部服务器则有更多的加固设置,包括删除和重命名默认管理员帐号等。
◆企业里所有服务器都登记到了一个全量的列表中,此表根据服务器的硬件类型、服务功能和使用范围进行分类。
AC公司增加项:移动设备
◆任何移动设备连接到企业邮箱时必须通过认证。
◆在设备丢失时,IT服务台通过MDM系统可远程锁定或擦除设备上的数据。
◆启用了设备自动锁屏等安全策略。
Software:
Application
Question:
◆Is there an inventory of application and software assets with all assets tracked by a unique identifier such as a serial number?
◆Is there any documented policies that prohibit the installation of unauthorized hardware or software?
◆Is there a unified password management or Single Sign On for applications?
Answer:
◆针对不同的应用程序,设置不同的用户组。
◆将各种应用程序的登录方式统一为单点登录(SSO),以实现用户账号权限的自动匹配。
◆对于企业里所用到的所有应用程序应该有一个全量的列表,此表应根据程序功能和使用范围进行分类。
◆每一种应用应该在表中具有版本号、许可证、交付方式、类别、基本描述、以及是否外网可用等特征项。
◆能够提供出数据是如何在本企业的各个应用及系统之间进行流转的图表(如下图所示),方便了IT部门或helpdesk(服务台)对各个应用的协同工作状态和数据的走向有个宏观的认识,以及在出现系统或服务故障时,能够清晰的识别并标注出问题的环节。
AC公司增加项:文档及其管理平台
◆各类工作文档被存放在指定的共享目录下、网络盘里、以及导入到专门的文档管理与协作平台,而非电脑的本地磁盘上。
◆用户存储文档时,默认情况下为公开属性(public),如有需要可以添加相关安全设置,包括:私有(private)属性、可以访问的用户与组、以及读/写/改/删等权限。
◆管理平台持续记录用户对文档的任何访问操作,此类记录日志不可被删除。
◆管理平台能够对批量删除/转发/导出等不合规的操作行为予以报警。
Email Management
Question:
◆From a data loss prevention (DLP) perspective, does the scanning of outbound email include blocking or scanning of email content and attachments, including encrypted attachments?
◆Are email servers required to have active anti-virus / anti-malware software installed that includes scanning email attachment for malware (e.g., trojans, spearfishing)?
Answer:
◆具有规范的邮件系统网络架构,能够厘清邮件出入本系统的逻辑路径。
◆对出入本系统的邮件配置有相应的防病毒、防恶意软件、反垃圾邮件、邮件黑(白)名单、邮件加密等服务。
◆定期对邮件系统进行风险评估,比如用到了MS ExRAP。
◆除了普通邮件客户端,本企业还提供Web版的外网邮件访问方式,也有相关的安全设置,比如用到了MS ISA。
◆禁止用户手动批量转发或将企业邮箱里的邮件通过规则来实现自动转发。
◆运用反垃圾邮件系统通过扫描各种入站邮件,来防止钓鱼和保障内网安全。
◆为保证邮件系统的持续可用性,采用了SaaS服务来保证企业内邮件服务中断时,用户仍可用公网途径收发邮件。
Network:
Internet Access and Connection
Question:
◆Are the DNS services setup with ability to failover to a backup DNS server?
◆Do network intruder detection systems (NIDS) or network intruder prevention systems (NIPS) monitor all external and internal network connections?
◆Are the controls in place to against Denial of Service (DoS) or Distributed Denial of Service (DDoS) attacks?
Answer:
◆企业的上网线路采用双线制(主从DNS服务),从而实现了不同应用业务从各自的线路与外部连接,并实现互相备份。
◆运用工具来发现并绘制详细的网络连接拓扑结构图。
◆现有各种网络连接设备(如:防火墙、IDS/IPS、路由器、交换机等)都遵循统一的配置模板,各个设备的配置都有集中的备份与归档。
◆有针对DoS和DDoS攻击的防范控制,详尽的网络设备恢复方案与操作步骤的参考文档。
DMZ
Question:
◆Do all external network connections [such as B2B connections, web services or communication protocols (e.g., HTTP, HTTPS, SFTP, FTP, Telnet)] terminate within a DMZ architecture?
◆Is inbound network traffic for services that host non-public information and are Internet accessible, authenticated and terminated within a DMZ?
Answer:
◆在活动目录里划分了单独的域给DMZ。
◆仅为外部用户提供安全套接层(SSL)的方式来访问DMZ里的web资源。
◆已将Outlook Web Access/ActiveSync/Citrix/Office Communications Server/VPN Gateway/SharePoint Extranet等服务放置在DMZ里。
Internet Activity
Question:
◆Are all outbound Internet activities logged or monitored?
◆Are all outbound connections (e.g., HTTP, HTTPS, SFTP, media streaming) authenticated by a proxy device?
Answer:
◆所有用户须持有有效的域账号,并通过代理服务器来访问互联网。
◆代理服务器对出入数据包执行病毒扫描、请求特征分析、策略判断、跟踪与记录等操作。
Wireless Connection
Question:
◆If wireless technologies are used, are strong industry standard encryption controls in place?
◆Are employees and guest wireless network users required to acknowledge acceptable use terms before connecting?
Answer:
◆本企业提供统一的无线网络ID和WPA2企业版加密控制,并实现了区域全覆盖。
◆通过配置实现无线网络与局域网的互通,域账号能在无线网络中访问所有企业资源;非域账号登录到无线网络时,登录页面有相关的警告和规范使用的信息,而且其仅能向外访问到互联网。
System:
Backup
Question:
◆Is backup data stored at a secure offsite location or alternate data center to ensure Service Level Agreements (SLAs) can be met?
Answer:
◆本企业通过SLA定义了所使用到的备份技术、硬件设备、软件特征、数据源及路径、备份策略、恢复数据点和恢复时间等。
◆制定了将备份好的介质离线投递到其他安全位置的相关策略,并严格执行。
Telephone and Voicemail
Question:
◆If Voice over Internet Protocol (VoIP) technology has been implemented, are the VoIP network segments logically segregated?
◆Is traffic sent over public IP networks encrypted with a strong industry standard algorithm?
◆If a voicemail service has been implemented, any control to it?
Answer:
◆使用单独网段的VoIP通话技术,且实现网络传输中的数据包加密。
◆追踪打出的电话,以识别打往未授权国家与号码的国际长途。
◆要求用户输入规定的前缀代码,以实现长途电话的计费。
◆系统在次月产生上个月每一门电话的通话清单与费用列表。
◆用户离职后,系统直接呼叫转移其号码到继任者,并导出其语音信箱后立即从系统中删除。
Remote Access
Question:
◆If a remote access service is available, what secure control has been implemented?
◆Is two-factor authentication implemented for remote network access?
Answer:
◆为实现员工在办公区以外能够对企业内部资源的访问,既允许在任何电脑上基于网页的远程桌面与应用(如Citrix),也支持具有企业统一系统镜像的笔记本上的VPN连接。
◆认证方式上采用灵活的支持多种通信方式的双因素认证模式。
◆为合作伙伴提供非本域的账号和受限的VPN远程连接方式。
MANAGEMENT:
Account, group and password Control
Question:
◆For all IT systems including but not limited to servers, routers, switches, firewalls, databases, and external social spaces, are there any security policies and processes for those creation and management of all types of user and privileged accounts?
◆Are all user accounts assigned to an individual employee and not shared?
◆Are all password strong and complex?
Answer:
◆所有人都使用活动目录(Active Directory)的域账号来登录企业的服务器和用户端电脑。
◆所有账号,在原则上具有相同的访问级别,而无任何特殊的访问权限。
◆通过基于角色的访问控制(RBAC)来实现基本用户账号最小特权(LUA)的管理。
◆用到MS ADRAP对活动目录进行定期风险评估。
◆仅授权单一部门(比如Helpdesk)对域账号进行统一的集中化管理。
◆只有IT部门员工才有、且能使用第二个账号来进行管理类事务操作。所有这些账号都以ADM_开头以便于跟踪和记录。
◆按照职权分离和须知(Need to know)的原则设定不同的活动目录用户组,以方便跟踪、记录和管控。
◆普通账号遵循通用的密码策略;而对于ADM账号,则采用更严格的密码策略。
Collaboration and SharePoint
Question:
◆Is there a formal event management / change control process that requires documentation and management approval of all changes to applications, systems, databases, and networks?
◆Is there a platform for information publishing and tracing, when problems occur or projects implement.
◆Untracked emergency changes may introduce misconfigurations. Requiring subsequent management review and approval helps trace accountability.
Answer:
◆为了保持安全团队内部的及时协作、以及与外部的高效沟通,本公司设置有一个统一的内网管理平台入口(SharePoint站点),实现了集中化管理。
◆平台内容包括:安全信息的发布、事件情况的查询、项目进度的更新、参考文件的存储、负责人的公示等。
◆平台能够实现远程的登录与运维,以提高整体水平与效率。
◆使用统一的平台解决方案实现对所有的事件、事故、问题、请求以及变更的管理。Helpdesk和所有IT部门员工都有权限使用此平台并能获取平台推送的消息。
◆使用统一的平台解决方案实现对所有项目的进度、工时和时间的跟踪与管理。所有的项目经理、职能经理和高级工程师都有权限使用此平台并能获取平台推送的消息。一般IT人员仅能对该平台只读。
Network and Device Monitoring
Question:
◆Are there any processes that monitor network and device resources to ensure system and security controls are functioning properly?
Answer:
◆使用安全事件管理相关产品进行日志的集中管理与联动。
◆监控各种网络设备和服务器硬盘使用率与在线状态等。
◆监控LAN、WAN、WIFI和上网线路状态。
◆对于企业网络中所用到的IDS/IPS以及DLP产品提供监控与响应。
Incident Response and Audit
Question:
◆Are incident response procedures for information security incidents defined and documented (e.g., network outages, abuse of access privileges)?
◆Are penetration tests of critical applications or networks with Internet connectivity conducted at least every 12 months and after significant changes?
◆Are there any internal or external audits?
Answer:
◆具有既定的应急响应流程,并定期更新之,且周期性地进行演练。
◆定期进行服务器(Web)、网络、客户端、BYOD等类型的渗透测试。
◆定期(每年一次或两次)执行内部审计和外部审计。
◆接受上下游合作商以及客户所主导的各类安全评审。
Training and Manual
Question:
◆Do employees complete annual security awareness trainings?
◆Are there any information security risk related manuals available?
Answer:
◆IT部门定期以电子邮件、海报张贴的形式,或是组织员工面对面开展信息系统基本技能与安全意识的相关培训。
◆能制定并定期更新面对全员发放的风险意识管理和速查手册。
上述就是AC公司团队在“吹尽黄沙始成金”后所交出的“答卷”,大家是否已有了一种“大珠小珠落玉盘”的即视感呢?细心的您可能已经发现了,他们还根据自身系统的特点和实际情况提供了more than问卷问题的说明信息与图表,这充分体现了该公司对于信息管控的全局准备和对于此次合作的积极配合态度。
我常听到有人将企业安全比喻为长跑。的确,跑得快的人不一定跑得久。无论是各种威胁攻击还是系统服务、甚至企业的业务,无一不是在动态发展和变化之中的。有过跨国合作经验的小伙伴都知道,国外企业对于合作方的资质考察从来不是一锤子的买卖,各种审查会周期性的发生。因此我们永远不要把自己放置到“舒适区”,要根据实际情况及时做出各种管控实施的调整。不然指不定哪个环节就会成为“阿喀琉斯之踵”,而导致全盘game over了。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
