【51CTO.com原創(chuàng)稿件】話說AC初創(chuàng)公司憑借各種“風口”機會越做越大、越做越強。如今，老板已將市場拓展到了海外，即將成為一家美國公司的“御用”合作商?？墒蔷驮谂c該老牌美帝企業(yè)簽署合作備忘錄的前夕，AC公司就收到了對方IT部門發(fā)過來的一份合作企業(yè)信息管控需求問卷，其問題主要涉及的是企業(yè)運營與可能合作時的各種信息安全管控問題。

[[190120]]

面對這份“金光閃閃”的全英文Excel表格，AC公司大膽接招，為這張國際通用的入場券專門成立了以信息安全經(jīng)理掛帥的項目組。大家先后開展了訪用戶、鉆機房、登設(shè)備、查線路、測數(shù)據(jù)等活動，經(jīng)歷了半個月的“摸爬滾打”和徹底梳理后，終于拿出了一份針對信息安全管控實務(wù)的“點對點”應(yīng)答。下面就讓我們一起來觀瞻一下吧。

HARDWARE

Computer Room or Data Center

Question：

◆Is access to facilities where data is stored, or processed restricted to authorized personnel only?

◆Are visitors required to sign-in when they enter facilities?

◆Does video surveillance of computer room and perimeter entrances exist?

◆If a data center is used, does it meet any telecommunication standards?

Answer：

◆服務(wù)器或數(shù)據(jù)中心機房安裝了機械或電子鎖，并保持常鎖狀態(tài)。開鎖的權(quán)限僅掌握在有限數(shù)量的人員手中。

◆進出機房都有紙質(zhì)的或電子的記錄。

◆機房應(yīng)配備有架空防靜電地板、7×24小時空調(diào)、UPS、安全攝像頭、以及智能配線架等。

◆對于托管的數(shù)據(jù)中心，則具備有基于ITIL的服務(wù)管理，包括7×24小時監(jiān)控、雙路供電和雙路上網(wǎng)線路接入，以及適當?shù)陌l(fā)電設(shè)備。這些都參照了ISO27011:2008等機房相關(guān)的標準。

User Computer

Question：

◆Are unified OS images and software (including anti-virus) installed on user computers?

◆Can users modify the security characteristics of the platform, operating system, and security products?

◆Can virus or malicious software easily compromise user computers?

◆Are user computers vulnerable with group unified settings or have unsecure and open configurations?

Answer：

◆統(tǒng)一將具有服務(wù)支持(如MS)的企業(yè)定制的操作系統(tǒng)鏡像安裝到了用戶電腦上。

◆通過組策略( Group Policy)禁止用戶擅自修改系統(tǒng)設(shè)置、禁止用戶擅自安裝軟件，并且啟用規(guī)定時間無使用的自動鎖屏。

◆瀏覽器里的代理設(shè)置可以被用戶臨時修改，但會在下一次登錄時自動恢復(fù)。不過，用戶無法修改瀏覽器的安全和隱私設(shè)置。

◆預(yù)安裝防病毒軟件且鎖定，以使用戶無法禁用或終止其守護進程。

◆用戶不可以本地管理員身份登錄電腦，無寫入或修改系統(tǒng)注冊表的權(quán)限，也無法將電腦退出企業(yè)的域或修改加入到其他域。

◆通過信息資產(chǎn)配置管理工具(如SCCM)對企業(yè)內(nèi)用戶電腦進行統(tǒng)一的注冊、更新、修改和信息收集等管理。

◆用戶端硬盤啟用加密，以保證如筆記本電腦之類的設(shè)備丟失時硬盤上的文件機密性。

Server

Question：

◆Are unified OS images and software (including anti-virus) installed on servers?

◆Are default system accounts (e.g., guest, administrator) disabled or renamed upon initial system build?

◆Are new systems and devices (e.g., systems, networks, applications, databases, etc.) configured with current security updates/patches and hardened before being put into production?

◆Is there an inventory of hardware assets with all assets tracked by a unique identifier such as an asset control tag or serial number?

Answer：

◆統(tǒng)一將具有服務(wù)支持(如MS等)的操作系統(tǒng)鏡像安裝到服務(wù)器上。

◆預(yù)安裝企業(yè)版的防病毒軟件并實現(xiàn)集中管理和更新。

◆根據(jù)標準化服務(wù)器的安裝檢查表來進行操作并逐步核對。

◆及時測試、審核并給相關(guān)服務(wù)器打上補丁。審查更新系統(tǒng)的報告，以確認完成。

◆服務(wù)器在初始安裝的時候予以安全加固;對于處于非軍事區(qū)(DMZ)的外部服務(wù)器則有更多的加固設(shè)置，包括刪除和重命名默認管理員帳號等。

◆企業(yè)里所有服務(wù)器都登記到了一個全量的列表中，此表根據(jù)服務(wù)器的硬件類型、服務(wù)功能和使用范圍進行分類。

AC公司增加項：移動設(shè)備

◆任何移動設(shè)備連接到企業(yè)郵箱時必須通過認證。

◆在設(shè)備丟失時，IT服務(wù)臺通過MDM系統(tǒng)可遠程鎖定或擦除設(shè)備上的數(shù)據(jù)。

◆啟用了設(shè)備自動鎖屏等安全策略。

Software：

Application

Question：

◆Is there an inventory of application and software assets with all assets tracked by a unique identifier such as a serial number?

◆Is there any documented policies that prohibit the installation of unauthorized hardware or software?

◆Is there a unified password management or Single Sign On for applications?

Answer：

◆針對不同的應(yīng)用程序，設(shè)置不同的用戶組。

◆將各種應(yīng)用程序的登錄方式統(tǒng)一為單點登錄(SSO)，以實現(xiàn)用戶賬號權(quán)限的自動匹配。

◆對于企業(yè)里所用到的所有應(yīng)用程序應(yīng)該有一個全量的列表，此表應(yīng)根據(jù)程序功能和使用范圍進行分類。

◆每一種應(yīng)用應(yīng)該在表中具有版本號、許可證、交付方式、類別、基本描述、以及是否外網(wǎng)可用等特征項。

◆能夠提供出數(shù)據(jù)是如何在本企業(yè)的各個應(yīng)用及系統(tǒng)之間進行流轉(zhuǎn)的圖表(如下圖所示)，方便了IT部門或helpdesk(服務(wù)臺)對各個應(yīng)用的協(xié)同工作狀態(tài)和數(shù)據(jù)的走向有個宏觀的認識，以及在出現(xiàn)系統(tǒng)或服務(wù)故障時，能夠清晰的識別并標注出問題的環(huán)節(jié)。

AC公司增加項：文檔及其管理平臺

◆各類工作文檔被存放在指定的共享目錄下、網(wǎng)絡(luò)盤里、以及導入到專門的文檔管理與協(xié)作平臺，而非電腦的本地磁盤上。

◆用戶存儲文檔時，默認情況下為公開屬性(public)，如有需要可以添加相關(guān)安全設(shè)置，包括：私有(private)屬性、可以訪問的用戶與組、以及讀/寫/改/刪等權(quán)限。

◆管理平臺持續(xù)記錄用戶對文檔的任何訪問操作，此類記錄日志不可被刪除。

◆管理平臺能夠?qū)ε縿h除/轉(zhuǎn)發(fā)/導出等不合規(guī)的操作行為予以報警。

Email Management

Question：

◆From a data loss prevention (DLP) perspective, does the scanning of outbound email include blocking or scanning of email content and attachments, including encrypted attachments?

◆Are email servers required to have active anti-virus / anti-malware software installed that includes scanning email attachment for malware (e.g., trojans, spearfishing)?

Answer：

◆具有規(guī)范的郵件系統(tǒng)網(wǎng)絡(luò)架構(gòu)，能夠厘清郵件出入本系統(tǒng)的邏輯路徑。

◆對出入本系統(tǒng)的郵件配置有相應(yīng)的防病毒、防惡意軟件、反垃圾郵件、郵件黑(白)名單、郵件加密等服務(wù)。

◆定期對郵件系統(tǒng)進行風險評估，比如用到了MS ExRAP。

◆除了普通郵件客戶端，本企業(yè)還提供Web版的外網(wǎng)郵件訪問方式，也有相關(guān)的安全設(shè)置，比如用到了MS ISA。

◆禁止用戶手動批量轉(zhuǎn)發(fā)或?qū)⑵髽I(yè)郵箱里的郵件通過規(guī)則來實現(xiàn)自動轉(zhuǎn)發(fā)。

◆運用反垃圾郵件系統(tǒng)通過掃描各種入站郵件，來防止釣魚和保障內(nèi)網(wǎng)安全。

◆為保證郵件系統(tǒng)的持續(xù)可用性，采用了SaaS服務(wù)來保證企業(yè)內(nèi)郵件服務(wù)中斷時，用戶仍可用公網(wǎng)途徑收發(fā)郵件。

Network：

Internet Access and Connection

Question：

◆Are the DNS services setup with ability to failover to a backup DNS server?

◆Do network intruder detection systems (NIDS) or network intruder prevention systems (NIPS) monitor all external and internal network connections?

◆Are the controls in place to against Denial of Service (DoS) or Distributed Denial of Service (DDoS) attacks?

Answer：

◆企業(yè)的上網(wǎng)線路采用雙線制(主從DNS服務(wù))，從而實現(xiàn)了不同應(yīng)用業(yè)務(wù)從各自的線路與外部連接，并實現(xiàn)互相備份。

◆運用工具來發(fā)現(xiàn)并繪制詳細的網(wǎng)絡(luò)連接拓撲結(jié)構(gòu)圖。

◆現(xiàn)有各種網(wǎng)絡(luò)連接設(shè)備(如：防火墻、IDS/IPS、路由器、交換機等)都遵循統(tǒng)一的配置模板，各個設(shè)備的配置都有集中的備份與歸檔。

◆有針對DoS和DDoS攻擊的防范控制，詳盡的網(wǎng)絡(luò)設(shè)備恢復(fù)方案與操作步驟的參考文檔。

DMZ

Question：

◆Do all external network connections [such as B2B connections, web services or communication protocols (e.g., HTTP, HTTPS, SFTP, FTP, Telnet)] terminate within a DMZ architecture?

◆Is inbound network traffic for services that host non-public information and are Internet accessible, authenticated and terminated within a DMZ?

Answer：

◆在活動目錄里劃分了單獨的域給DMZ。

◆僅為外部用戶提供安全套接層(SSL)的方式來訪問DMZ里的web資源。

◆已將Outlook Web Access/ActiveSync/Citrix/Office Communications Server/VPN Gateway/SharePoint Extranet等服務(wù)放置在DMZ里。

Internet Activity

Question：

◆Are all outbound Internet activities logged or monitored?

◆Are all outbound connections (e.g., HTTP, HTTPS, SFTP, media streaming) authenticated by a proxy device?

Answer：

◆所有用戶須持有有效的域賬號，并通過代理服務(wù)器來訪問互聯(lián)網(wǎng)。

◆代理服務(wù)器對出入數(shù)據(jù)包執(zhí)行病毒掃描、請求特征分析、策略判斷、跟蹤與記錄等操作。

Wireless Connection

Question：

◆If wireless technologies are used, are strong industry standard encryption controls in place?

◆Are employees and guest wireless network users required to acknowledge acceptable use terms before connecting?

Answer：

◆本企業(yè)提供統(tǒng)一的無線網(wǎng)絡(luò)ID和WPA2企業(yè)版加密控制，并實現(xiàn)了區(qū)域全覆蓋。

◆通過配置實現(xiàn)無線網(wǎng)絡(luò)與局域網(wǎng)的互通，域賬號能在無線網(wǎng)絡(luò)中訪問所有企業(yè)資源;非域賬號登錄到無線網(wǎng)絡(luò)時，登錄頁面有相關(guān)的警告和規(guī)范使用的信息，而且其僅能向外訪問到互聯(lián)網(wǎng)。

System：

Backup

Question：

◆Is backup data stored at a secure offsite location or alternate data center to ensure Service Level Agreements (SLAs) can be met?

Answer：

◆本企業(yè)通過SLA定義了所使用到的備份技術(shù)、硬件設(shè)備、軟件特征、數(shù)據(jù)源及路徑、備份策略、恢復(fù)數(shù)據(jù)點和恢復(fù)時間等。

◆制定了將備份好的介質(zhì)離線投遞到其他安全位置的相關(guān)策略，并嚴格執(zhí)行。

Telephone and Voicemail

Question：

◆If Voice over Internet Protocol (VoIP) technology has been implemented, are the VoIP network segments logically segregated?

◆Is traffic sent over public IP networks encrypted with a strong industry standard algorithm?

◆If a voicemail service has been implemented, any control to it?

Answer：

◆使用單獨網(wǎng)段的VoIP通話技術(shù)，且實現(xiàn)網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包加密。

◆追蹤打出的電話，以識別打往未授權(quán)國家與號碼的國際長途。

◆要求用戶輸入規(guī)定的前綴代碼，以實現(xiàn)長途電話的計費。

◆系統(tǒng)在次月產(chǎn)生上個月每一門電話的通話清單與費用列表。

◆用戶離職后，系統(tǒng)直接呼叫轉(zhuǎn)移其號碼到繼任者，并導出其語音信箱后立即從系統(tǒng)中刪除。

Remote Access

Question：

◆If a remote access service is available, what secure control has been implemented?

◆Is two-factor authentication implemented for remote network access?

Answer：

◆為實現(xiàn)員工在辦公區(qū)以外能夠?qū)ζ髽I(yè)內(nèi)部資源的訪問，既允許在任何電腦上基于網(wǎng)頁的遠程桌面與應(yīng)用(如Citrix)，也支持具有企業(yè)統(tǒng)一系統(tǒng)鏡像的筆記本上的VPN連接。

◆認證方式上采用靈活的支持多種通信方式的雙因素認證模式。

◆為合作伙伴提供非本域的賬號和受限的VPN遠程連接方式。

MANAGEMENT：

Account, group and password Control

Question：

◆For all IT systems including but not limited to servers, routers, switches, firewalls, databases, and external social spaces, are there any security policies and processes for those creation and management of all types of user and privileged accounts?

◆Are all user accounts assigned to an individual employee and not shared?

◆Are all password strong and complex?

Answer：

◆所有人都使用活動目錄(Active Directory)的域賬號來登錄企業(yè)的服務(wù)器和用戶端電腦。

◆所有賬號，在原則上具有相同的訪問級別，而無任何特殊的訪問權(quán)限。

◆通過基于角色的訪問控制(RBAC)來實現(xiàn)基本用戶賬號最小特權(quán)(LUA)的管理。

◆用到MS ADRAP對活動目錄進行定期風險評估。

◆僅授權(quán)單一部門(比如Helpdesk)對域賬號進行統(tǒng)一的集中化管理。

◆只有IT部門員工才有、且能使用第二個賬號來進行管理類事務(wù)操作。所有這些賬號都以ADM_開頭以便于跟蹤和記錄。

◆按照職權(quán)分離和須知(Need to know)的原則設(shè)定不同的活動目錄用戶組，以方便跟蹤、記錄和管控。

◆普通賬號遵循通用的密碼策略;而對于ADM賬號，則采用更嚴格的密碼策略。

Collaboration and SharePoint

Question：

◆Is there a formal event management / change control process that requires documentation and management approval of all changes to applications, systems, databases, and networks?

◆Is there a platform for information publishing and tracing, when problems occur or projects implement.

◆Untracked emergency changes may introduce misconfigurations. Requiring subsequent management review and approval helps trace accountability.

Answer：

◆為了保持安全團隊內(nèi)部的及時協(xié)作、以及與外部的高效溝通，本公司設(shè)置有一個統(tǒng)一的內(nèi)網(wǎng)管理平臺入口(SharePoint站點)，實現(xiàn)了集中化管理。

◆平臺內(nèi)容包括：安全信息的發(fā)布、事件情況的查詢、項目進度的更新、參考文件的存儲、負責人的公示等。

◆平臺能夠?qū)崿F(xiàn)遠程的登錄與運維，以提高整體水平與效率。

◆使用統(tǒng)一的平臺解決方案實現(xiàn)對所有的事件、事故、問題、請求以及變更的管理。Helpdesk和所有IT部門員工都有權(quán)限使用此平臺并能獲取平臺推送的消息。

◆使用統(tǒng)一的平臺解決方案實現(xiàn)對所有項目的進度、工時和時間的跟蹤與管理。所有的項目經(jīng)理、職能經(jīng)理和高級工程師都有權(quán)限使用此平臺并能獲取平臺推送的消息。一般IT人員僅能對該平臺只讀。

Network and Device Monitoring

Question：

◆Are there any processes that monitor network and device resources to ensure system and security controls are functioning properly?

Answer：

◆使用安全事件管理相關(guān)產(chǎn)品進行日志的集中管理與聯(lián)動。

◆監(jiān)控各種網(wǎng)絡(luò)設(shè)備和服務(wù)器硬盤使用率與在線狀態(tài)等。

◆監(jiān)控LAN、WAN、WIFI和上網(wǎng)線路狀態(tài)。

◆對于企業(yè)網(wǎng)絡(luò)中所用到的IDS/IPS以及DLP產(chǎn)品提供監(jiān)控與響應(yīng)。

Incident Response and Audit

Question：

◆Are incident response procedures for information security incidents defined and documented (e.g., network outages, abuse of access privileges)?

◆Are penetration tests of critical applications or networks with Internet connectivity conducted at least every 12 months and after significant changes?

◆Are there any internal or external audits?

Answer：

◆具有既定的應(yīng)急響應(yīng)流程，并定期更新之，且周期性地進行演練。

◆定期進行服務(wù)器(Web)、網(wǎng)絡(luò)、客戶端、BYOD等類型的滲透測試。

◆定期(每年一次或兩次)執(zhí)行內(nèi)部審計和外部審計。

◆接受上下游合作商以及客戶所主導的各類安全評審。

Training and Manual

Question：

◆Do employees complete annual security awareness trainings?

◆Are there any information security risk related manuals available?

Answer：

◆IT部門定期以電子郵件、海報張貼的形式，或是組織員工面對面開展信息系統(tǒng)基本技能與安全意識的相關(guān)培訓。

◆能制定并定期更新面對全員發(fā)放的風險意識管理和速查手冊。

上述就是AC公司團隊在“吹盡黃沙始成金”后所交出的“答卷”，大家是否已有了一種“大珠小珠落玉盤”的即視感呢?細心的您可能已經(jīng)發(fā)現(xiàn)了，他們還根據(jù)自身系統(tǒng)的特點和實際情況提供了more than問卷問題的說明信息與圖表，這充分體現(xiàn)了該公司對于信息管控的全局準備和對于此次合作的積極配合態(tài)度。

我常聽到有人將企業(yè)安全比喻為長跑。的確，跑得快的人不一定跑得久。無論是各種威脅攻擊還是系統(tǒng)服務(wù)、甚至企業(yè)的業(yè)務(wù)，無一不是在動態(tài)發(fā)展和變化之中的。有過跨國合作經(jīng)驗的小伙伴都知道，國外企業(yè)對于合作方的資質(zhì)考察從來不是一錘子的買賣，各種審查會周期性的發(fā)生。因此我們永遠不要把自己放置到“舒適區(qū)”，要根據(jù)實際情況及時做出各種管控實施的調(diào)整。不然指不定哪個環(huán)節(jié)就會成為“阿喀琉斯之踵”，而導致全盤game over了。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】