freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

企业安全建设之安全合规检查
jary 2020-07-19 16:32:36 552075

背景

随着国家对网络安全的重视,极大的促进了网络安全的发展,越来越多的企业都开始开展企业安全建设的工作,但随着安全建设的不断深入,各种规划、制度、要求的增多,会逐渐进入安全运营阶段,这时肯定会存在有制度未落地,要求未执行到位的情况出现,这时安全审计与合规检查就显得尤为重要了,它能通过某些方法从安全的角度出发,发现一些需要优化及改正的地方,促进整个安全体系的建设与运营。

一、目的

1、减少风险

2、审计制度执行情况

3、优化内部流程

二、前期准备

安全合规检查有两种类型,一是专项检查,二是日常检查,专项检查一般会是针对某个具体方面,覆盖整个企业的检查工作,涉及的范围很广,但内容具有针对性,例如终端安全检查,那需要对企业所有终端进行检查,日常检查是日常操作进行或领导临时安排的检查工作,这是针对某个系统或应用开展的,涉及的内容会比较广,但范围不大,相当于风险评估一样,会根据企业内部的制度、流程,方法作为依据。此次主要针对日常检查的流程及方法来分享。

2.1 确定检查目标

开始安全检查之前,我们都会确认此次检查的主要目标,可能是某个比较新的系统或应用,也许是比较老的系统,但都有一个共同点--重要业务系统。

2.2 检查内容确认

确定了检测的目标系统或应用后,我们需要制定检测的内容,可能主要包括网络安全、应用安全、数据安全、访问控制、主机安全、权限控制等几方面考虑,也会考虑系统的特殊性及主要功能,确认出重点检查内容,例如,存在较多敏感数据的系统,我们会重点检查数据安全、访问控制、权限控制等几方面的内容,如下图:

详细的检查内容及控制要点及操作,如下表所示(仅供参考):

检查项检查要点具体检查内容
安全基线检查服务器主机、数据库、中间件等基线符合情况按照公司的安全基线标准,对服务器主机、数据库、中间件等基线符合情况
网络安全网络隔离服务器是否部署在专用网络区域,与其他数据库服务器、应用服务器等实现了有效隔离
防火墙策略1、是否存在any端口的防火墙策略,不符合“最小授权原则”
2、是否存在源地址、目的地址开放过大的策略,不符合“最小授权原则”
3、是否存在开启3389,22,21等高危端口策略
应用安全渗透测试、安全检测情况1、互联网应用是否制定渗透测试计划,定期进行渗透测试,并在修复周期内完成修复
主机安全补丁安装情况,主机扫描情况1、是否已安装最新的系统补丁
2、是否定期开展服务器主机扫描,并在修复周期内完成修复
日志管理检视日志存储、提取、审计情况1、建立有效的日志管理机制和完整的系统日志记录
2、系统中必须开启日志功能,定期监督或检查日志,是否发现未经授权或不当的系统操作,未经许可,严禁任何人停止或中断日志记录
3、日志必须按照法律与监管要求,如无特别声明,存储时间至少6个月以上
4、禁止非授权用户访问日志设备和日志信息,应记录日志文件的操作(如读、写、删除)
5、必须定期对日志进行备份,并按公司规定进行保存
6、存储日志的介质必须建立机制监测容量变化,及时告警处置
数据安全敏感数据管理1、敏感信息访问权限应经过授权且满足需要,包括信息读取、使用
可试读前40%内容
¥ 4.9 全文查看
9.9元开通FVIP会员
畅读付费文章
最低0.3元/天
# 企业安全建设 # 合规
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 jary 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
安全经验分享群
企业安全建设之路
攻防渗透宝典
甲方安全探索
数据安全
安全文档收藏
企业数据安全治理
展开更多
jary LV.4
这家伙太懒了,还未填写个人描述!
  • 13 文章数
  • 129 关注者
企业安全建设之HIDS管理与运营
2021-11-28
平安银行总行安全团队诚聘安全攻防人才
2021-05-13
平安银行总行信息安全团队诚聘安全人才
2021-04-05
文章目录