2020年12月05日
由于國(guó)家對(duì)網(wǎng)絡(luò)安全的重視,極大的促進(jìn)了網(wǎng)絡(luò)安全的發(fā)展,越來越多的企業(yè)都開始開展企業(yè)安全建設(shè)的工作。
但隨著安全建設(shè)的不斷深入和發(fā)展,各種規(guī)劃、制度、要求的增多,會(huì)逐漸進(jìn)入安全運(yùn)營(yíng)階段,必定存在有制度未落地,要求未執(zhí)行到位的情況出現(xiàn),這時(shí)安全審計(jì)與合規(guī)檢查就顯得尤為重要了,它能通過某些方法從安全的角度出發(fā),發(fā)現(xiàn)一些需要優(yōu)化及改正的地方,促進(jìn)整個(gè)安全體系的建設(shè)與運(yùn)營(yíng)。
通過合規(guī)檢查及審計(jì)的形式或者方式來推動(dòng)企業(yè)信息安全制度實(shí)現(xiàn),推動(dòng)整個(gè)安全體制的良性發(fā)展,打造全方位的運(yùn)營(yíng)體系。
檢查目標(biāo)
1.資產(chǎn)梳理
IP列表、業(yè)務(wù)分組(負(fù)責(zé)人、聯(lián)系方向)、業(yè)務(wù)屬性
業(yè)務(wù)端口
業(yè)務(wù)應(yīng)用架構(gòu)、技術(shù)堆棧
2.邊界安全,防火墻策略控制(需要梳理業(yè)務(wù)端口)
如果是硬件,使用防火墻統(tǒng)一控制
如果是操作系統(tǒng),Iptalbes+I(xiàn)PSEC
及時(shí)監(jiān)控業(yè)務(wù)端口的變化(外部nmap掃描搜集結(jié)果比對(duì),或者編寫腳步放到運(yùn)維平臺(tái)收集系統(tǒng)監(jiān)聽端口和防火墻策略)
跳板機(jī)安全控制
3.賬戶安全管理
弱密碼
root、sudoer權(quán)限
賬戶、授權(quán)、訪問、審計(jì)等等
4.服務(wù)器安全
安全基線檢測(cè)
操作審計(jì)
異常登錄審計(jì)(日志收集分析)
漏洞清點(diǎn)/掃描,補(bǔ)丁修復(fù)測(cè)試和推進(jìn)
5.WEB安全
應(yīng)用滲透測(cè)試
接口安全(加密、通信)
webshell實(shí)時(shí)監(jiān)測(cè)
Nginx日志分析/Nginx流量旁路分析
6.業(yè)務(wù)風(fēng)控安全
用戶安全機(jī)制(密碼、驗(yàn)證碼、登錄)
交易安全
7.安全培訓(xùn)
安全意識(shí)培訓(xùn)
運(yùn)維安全培訓(xùn)
WEB安全開發(fā)
8.安全規(guī)范和流程
人員入職賬戶開通
人員離職賬戶注銷
服務(wù)器上下架安全管理
安全應(yīng)急響應(yīng)機(jī)制
9.內(nèi)網(wǎng)安全
內(nèi)網(wǎng)服務(wù)器安全
賬戶統(tǒng)一驗(yàn)證和管理機(jī)制(域ldap協(xié)議統(tǒng)一驗(yàn)證OA、RTX、郵件、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng))
弱口令監(jiān)測(cè)(NTLM/LM)
賬戶異常登錄
網(wǎng)絡(luò)隔離(物理/虛擬化)
網(wǎng)絡(luò)準(zhǔn)入
PC安全(病毒統(tǒng)一管理、通知處理)
安全合規(guī)檢查
確定了檢測(cè)的目標(biāo)系統(tǒng)或應(yīng)用后,我們需要制定檢測(cè)的內(nèi)容,可能主要包括網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、訪問控制、主機(jī)安全、權(quán)限控制等幾方面考慮,也會(huì)考慮系統(tǒng)的特殊性及主要功能,確認(rèn)出重點(diǎn)檢查內(nèi)容,例如,存在較多敏感數(shù)據(jù)的系統(tǒng),我們會(huì)重點(diǎn)檢查數(shù)據(jù)安全、訪問控制、權(quán)限控制等幾方面的內(nèi)容;
當(dāng)所有的檢查內(nèi)容已確認(rèn)后,針對(duì)檢查項(xiàng)的內(nèi)容,進(jìn)行具體的分工,一般來說都會(huì)選擇各自擅長(zhǎng)的領(lǐng)域,保證檢測(cè)內(nèi)容具體一定的深度及專業(yè)性,檢查人員會(huì)根據(jù)公司的制度要求以及日常工作的經(jīng)驗(yàn)對(duì)內(nèi)容進(jìn)行檢查。
針對(duì)檢查的內(nèi)容,檢查組內(nèi)部會(huì)根據(jù)制度或經(jīng)驗(yàn),會(huì)要求被檢查方先提供部分資料,減少檢查時(shí)間,一般檢查組組長(zhǎng)會(huì)事先收集好檢查組內(nèi)部的資料調(diào)閱需求,然后統(tǒng)一發(fā)送給被檢查方接口人,要求在什么時(shí)候提供什么內(nèi)容的資料,檢查組內(nèi)部也會(huì)根據(jù)提供的材料,在現(xiàn)場(chǎng)或遠(yuǎn)程查看重點(diǎn)關(guān)注的內(nèi)容項(xiàng)。
隨著前面檢查準(zhǔn)備工作的完成,正式進(jìn)入安全檢查的環(huán)節(jié),這部分可能會(huì)有兩種方式進(jìn)行,遠(yuǎn)程檢查或現(xiàn)場(chǎng)檢查,遠(yuǎn)程檢測(cè)會(huì)通過視頻的形式要求展示檢測(cè)組提出的檢查點(diǎn),現(xiàn)場(chǎng)檢查的流程為召開啟動(dòng)會(huì)、確定訪談內(nèi)容及計(jì)劃、現(xiàn)場(chǎng)或遠(yuǎn)程核查內(nèi)容項(xiàng)、檢查進(jìn)度匯報(bào)、檢查問題收集等。
我們一般去現(xiàn)場(chǎng)檢查都會(huì)先召開啟動(dòng)會(huì),會(huì)將相關(guān)部門的領(lǐng)導(dǎo)、人員邀請(qǐng)參加會(huì)議,以便于后面工作的開展,在會(huì)上將會(huì)此次檢查的目的、流程安排、要求等告知被檢查方,針對(duì)檢查的內(nèi)容項(xiàng),會(huì)建議被檢查方的領(lǐng)導(dǎo)指定對(duì)應(yīng)的人員去負(fù)責(zé)配合工作等。
確定訪談內(nèi)容和計(jì)劃的制定
現(xiàn)場(chǎng)\遠(yuǎn)程核查內(nèi)容
到了這一步,前面肯定會(huì)收到調(diào)閱材料,此時(shí),應(yīng)該要求檢查組成員對(duì)提供的材料進(jìn)行核查,確認(rèn)哪些已經(jīng)滿足的,哪些還需要補(bǔ)充,哪些需要現(xiàn)場(chǎng)上機(jī)查看,哪些可以遠(yuǎn)程提供的,這都需要做個(gè)好的記錄與統(tǒng)計(jì)。
檢查進(jìn)度匯報(bào)
一般檢查的時(shí)間都不止一天,每天下班前檢查組的每個(gè)組員都需要對(duì)自己今天進(jìn)展進(jìn)行匯報(bào),表達(dá)檢查的方法及進(jìn)度,組長(zhǎng)此時(shí)應(yīng)根據(jù)組員的反饋情況,及時(shí)調(diào)整優(yōu)化,記錄,當(dāng)組員全部匯報(bào)完成后,需將今天檢查的進(jìn)度告知雙方領(lǐng)導(dǎo)及組員,以便雙方領(lǐng)導(dǎo)都明白檢查項(xiàng)目的進(jìn)展情況,我一般都采用郵件的方式,這樣顯得正式些。
注:對(duì)檢查過程中需要升級(jí)處理的問題,需盡早提出,尋求方法處理,說明困難的原因,請(qǐng)求以及時(shí)間,以便領(lǐng)導(dǎo)能協(xié)調(diào)資源幫助解決。
問題信息收集
最后,組長(zhǎng)需要對(duì)此次檢查發(fā)現(xiàn)的問題進(jìn)行統(tǒng)計(jì),確認(rèn),存在的問題都應(yīng)有截圖證明材料,以及公司的制度要求等,能證實(shí)問題確實(shí)存在,且告知與公司制度的哪一項(xiàng)要求不符合,怎么整改等。
檢查結(jié)束發(fā)現(xiàn)問題確認(rèn)
在與被檢查方確認(rèn)問題之前,檢查組內(nèi)部需進(jìn)行問題分析、確認(rèn),評(píng)估發(fā)現(xiàn)問題的風(fēng)險(xiǎn)及內(nèi)容,盡量描述的準(zhǔn)確,真實(shí),這樣被檢查方才會(huì)認(rèn)可發(fā)現(xiàn)的問題,能現(xiàn)場(chǎng)整改完成的,可以直接溝通現(xiàn)場(chǎng)整改完成,并保留證明材料;
與被檢查方確認(rèn)問題之時(shí),清晰明了的指出問題所在,違反的制度內(nèi)容以及整改方式。
最終確定的檢查清單,應(yīng)已郵件的形式發(fā)給雙方領(lǐng)導(dǎo)及參與人員。
難免會(huì)有爭(zhēng)辯的地方,切忌因情緒影響,根據(jù)發(fā)現(xiàn)風(fēng)險(xiǎn)、分析原因、整改措施這三個(gè)方面來溝通
編寫檢查報(bào)告
問題進(jìn)行確認(rèn)后,需要編寫一份檢查報(bào)告,對(duì)整個(gè)檢查項(xiàng)目進(jìn)行分析,包括檢查目標(biāo),檢查內(nèi)容,檢查人員,檢查計(jì)劃,發(fā)現(xiàn)的問題等方面,針對(duì)檢查內(nèi)容,應(yīng)盡量詳實(shí)的描述實(shí)際檢查的情況。
檢查總結(jié)
針對(duì)整個(gè)檢查項(xiàng)目完成后,應(yīng)該對(duì)此次檢查做個(gè)總結(jié),可以從如下幾個(gè)方面去總結(jié):
此次檢查的內(nèi)容覆蓋是否完全,查看是否達(dá)到預(yù)期的設(shè)想
針對(duì)發(fā)現(xiàn)的問題,是否需要改進(jìn),存在的漏洞或者問題
檢查過程中,如何提高效率
整個(gè)檢查流程是否需要更新或提高
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://www.jewellerybykaren.com/
免費(fèi)咨詢熱線:400-6776-989
