《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等法律法规的相继出台,为企业压实了网络安全主体责任,均要求企业应当至少一年做一次风险评估,当前大多数企业都是将风险评估以项目外包的方式给第三方网络安全服务机构来做的,这不仅耗时长,而且对企业来说,还存在一个隐形风险 —— 参与风险评估的第三方将会在项目过程中获取或了解到企业很多关键业务流程、特殊账号、安全管理习惯、重要人员关系等重要信息,如果人员管控出现漏洞,将带来很严重的安全风险。并且,常态化的事情总是外包成本也比较高,因此,建议有能力的企业可考虑建立常态化的自我安全检查机制,在内部组建安全检查小组,负责本单位的安全检查工作。
本篇文章以“5个W,1个H”的方式将企业安全检查的必要性和具体做法进行总结,以指导企业安全保障建设,适用于企业安全自查。
一、为何要做安全检查(why)
安全检查是安全性评估的一种方式,其优点是耗时短、快速发现企业存在的薄弱点,相对于风险评估项目来说,安全检查的优势是能够花最少的时间,把脉企业自身安全,了解现阶段的网络安全现状,找出短板,以便从顶层设计出发,总体布局、统筹协调、整体推进、构建企业整体网络安全保障体系,稳步推进信息化建设工作,更好地为业务赋能,增强网络安全防御能力。
二、安全检查内容是什么(what)
安全检查的主要内容包括对企业的安全合规情况、安全保障情况(技术和管理)进行检查。比如:通过对企业自有资产梳理、技术调研以及管理调研等过程,了解企业在网络安全工作责任、网络安全管理工作、网络安全事件应急处置管理、信息技术产品应用等方面的落实情况;根据网络拓扑结构和主要网络设备、安全设备配置对现有网络结构进行安全分析;使用第三方安全评估工具对评估范围内目标进行安全扫描及测试,对目标设备的漏洞、用户名与口令、安全策略等方面进行检测,并选取服务器、网络设备、安全设备进行安全抽样检查等。
三、谁来做安全检查(who)
企业需要组建一支安全检查小组,该小组成员包括:安全部门的员工(熟悉安全专业知识)、业务部门的员工(熟悉业务流程)、审计部门的员工(监督整个安全检查项目,避免引出额外的安全风险)以及一个业务协调人员(协调业务资源)。安全检查小组的组长最好由企业的网络安全责任人担任,负责统筹协调项目资源,给与领导力支持;安全检查小组的执行组长则建议由企业安全部门的负责人担任,主抓安全检查工作的执行和落实。
四、安全检查周期(when)
建立常态化安全检查机制。安全检查小组一旦成立,可在企业组织架构内长期存在,建议一年两次安全自查,并且当企业的信息化架构发生重大变更时,也建议及时做安全检查,避免引入其他安全风险。
五、在哪里做安全检查(where)
企业内部,安全检查小组在访谈相关人员时建议单独在会议室或办公室进行,避免多人并行访谈,氛围轻松的办公环境更利于沟通。
六、如何做安全检查(how)
(一)安全检查的工作流程
安全检查的工作流程及各阶段任务活动如下图:
(二)安全检查的工作方式
安全检查小组在现场实施安全检查工作时一般包括安全访谈、安全核查和技术测试三种主要的方式。
1.安全访谈
安全检查小组的成员与负责企业信息系统开发、维护,以及网络维护等安全相关人员进行交流、讨论,了解需要安全检查的信息系统的最近情况,获取相关证据、信息。在访谈范围上,应覆盖所有的安全相关人员类型,在数量上可抽样。
2.安全核查
安全核查主要包括文档审查、实地察看和配置核查等工作,安全检查小组执行组长和业务协调人员应为安全检查小组的其他成员提供相关资源支持以及部门间的沟通协调。
(1)文档审查
安全检查小组应对与信息系统相关的文档资料进行核查,包括安全策略、安全方针文件、安全管理制度、安全管理的执行过程文档、设计方案、网络设备的技术资料、运行记录文档、机房建设相关资料、机房出入记录等过程记录文档等。
(2)实地察看
安全检查小组应到信息系统的运行现场通过实地的观察相关人员的行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。
(3)配置核查
安全检查小组应利用上机验证的方式核查信息系统的应用系统、主机系统、数据库系统以及各设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。
3. 技术测试
安全检查小组应根据企业安全检查实施方案,利用有关技术工具对信息系统进行安全测试,如基于网络探测和基于主机审计的漏洞扫描、渗透性测试、功能测试、性能测试、入侵检测和协议分析等。
(三)安全检查的主要活动
安全检查的主要活动包括合规检查、技术检查、数据分析以及结果输出四个部分。
1、合规检查
安全检查小组通过资料核实、人员访谈和技术验证等手段,检查本企业是否遵从法律、法规和政策标准的相关要求。
(1)合规检查要求
安全检查小组应依据国家、行业以及本单位的安全方针及要求,以及法律、法规、政策文件、标准和规范等,坚持客观、公正的原则,采用科学的检查方法,规范流程,控制风险,如实反映检查结果。
(2)合规检查内容
1)信息系统认定情况
安全检查小组应了解本企业的所有关键业务,查看信息系统相关材料,梳理是否已将支撑关键业务的网络和信息系统均纳入了认定范围,对下列情况进行认定:
是否是否存在漏报、误报、瞒报的情况;
信息系统的新建、废弃等流程是否合规。
2)法律法规、政策文件和标准规范梳理情况
安全检查小组应了解本企业的相关安全岗位人员是否系统完整地掌握自己应该符合的合规要求,检查内容包括查看其提供的法律法规、政策文件和标准规范清单,并核验清单是否完整,是否存在重大遗漏。
3)网络安全等级保护落实情况
安全检查小组应检查本企业是否落实了《网络安全法》第二十一条的各项要求。
4)个人信息和重要数据保护情况
安全检查小组应了解本企业搜集个人信息和重要数据(如有相关业务)的目的和范围,并对下列情况进行认定:
是否建立个人信息和重要数据保护制度;
是否存在超出用户授权范围或违反相关要求收集、存储、使用数据的情况;
如因业务需要,向境外提供了个人信息和重要数据,是否按要求进行了安全评估。
5)安全管理机构设置和人员安全管理情况
安全检查小组应客观分析本企业的安全管理机构设置和人员安全管理情况的证明材料,并对下列情况进行安全检查:
是否按照网络安全责任制明确了安全管理负责人和安全管理机构;
安全管理负责人和关键岗位人员是否具备相关资质;
是否对安全管理负责人和关键岗位的人员进行了安全背景审查;
是否按照要求开展了安全教育、技术培训和考核。
6)安全管理保障体系落实情况
安全检查小组应检查本企业的安全管理保障体系落实情况,主要包括安全管理制度体系、安全建设的执行情况、运维管理资料、日常监测情况、容灾备份情况以及应急准备和处置情况,安全检查的详细内容如下表:
表1: 安全管理保障体系落实情况详细内容
类别 | 详细内容 |
安全管理制度 | (a) 网络安全责任制实施细则; (b) 日常工作规范; (c) 安全配置标准; (d) 业务连续性保证要求; (e) 应急预案; (f) 介质管理规定; (g) 设备管理规定。 |
安全建设 | (a) 是否对安全技术措施同步规划、同步建设和同步使用; (b) 查看产品或服务上线记录情况,上线前或发生变更前是否通过安全检测并记录; |
安全运维 | (a) 系统资产清单; (b) 机房出入记录; (c) 定期安全运维(包括但不限于补丁升级、漏洞扫描、防护策略调整、远程运维审批和日志审计)记录,以及重大事件、重大威胁(漏洞、攻击)出现时的运维记录或报告; |
日常监测 | (a) 是否实时对设施运行状态进行监测,能否第一时间发现系统中断、性能下降或其他运行异常情况; (b) 是否留存不少于六个月的的网络日志,并安排专人定期对日志进行审计; (c) 是否对攻击和威胁进行监测,开展网络安全态势分析; (d) 是否有固定、周期性的网络安全威胁情报来源; (e) 是否能够对新出现的威胁在知悉后迅速部署监测策略; (f) 安全事件通报制度,核查历史安全事件通报记录。 |
备份与恢复 | (a) 是否根据信息系统关键属性要求,采取了必要的备份和恢复措施; (b) 是否在近一年进行了灾备恢复演练,并做记录; (c) 近一年内发生的网络安全事件,是否启用了备份与恢复手段保障业务正常运行。 |
应急响应与处置 | (a) 是否制定了应急预案并在过去一年中至少开展一次实战演练; (b) 是否对安全事件按照威胁程度进行了分级分类处置; (c) 是否对被通报预警的网络安全事件风险及时处置并反馈; (d) 是否有安全事件上报机制,并对历史安全事件上报情况进行了记录。 |
2、技术检查
技术检查可分为安全检测和安全监测两部分。
(1)安全检测
安全检查小组在合适的检测接入点,通过漏洞扫描、渗透测试等安全测试方法,验证信息系统的某种特定性能指标。
1)检测要求
a) 工具要求
安全检查小组应提供技术检测中可能用到的工具清单,并满足下列条件:
工具本身不得存在恶意程序、漏洞及其他安全缺陷;
对于检测工具可能产生的风险要在检测方案中明确指出,并给出风险规避和应急处置措施。
b) 检测过程要求
执行小组组长以及业务协调人员应协调以下事项:
协调满足检测工作要求的接入点和接入环境;
协调完成检测工作需要的必要信息;
安全检查小组应确保:
对检查过程中可能造成的风险,给出风险规避和应急处置措施,尽可能避免因技术检测对业务系统运行造成不良影响;
在实施技术检测的过程中,应及时删除检测痕迹,若存在无法删除的痕迹,应在报告中明确指出。
2)检测内容
安全检测的详细内容见下表:
表2: 安全检测详细内容
类型 | 详细内容 |
信息收集 | (a) IT资产清单(网络拓扑图、子网划分情况、 IP 地址清单、相关域名、子域名、设备清单、业务应用系统清单和数据流图等); (b) 安全防护情况(网络安全产品部署情况、安全策略配置情况和安全检测评估报告等); (c) 产品和服务供应商(软硬件提供商、运维服务提供商、安全服务提供商、网络接入服务商、IDC提供商、DNS服务商和域名注册信息等); (d) 企业的组织架构、岗位设置、人员姓名和联系方式等。 |
漏洞扫描 | (a) 端口服务扫描; (b) 主机漏洞扫描; (c) 应用漏洞扫描; (d) 安全配置核查。 |
漏洞验证 | (a) 注入漏洞; (b) XSS漏洞; (c) CSRF; (d) 口令漏洞; (e) 文件上传漏洞; (f) 近期重大高危漏洞。 |
业务安全测试 | (a) 越权缺陷; (b) 验证缺陷; (c) 接口调用缺陷; (d) 数据一致性缺陷; (e) 任意跳转缺陷。 |
无线安全测试 | (a) 钓鱼热点检测; (b) 私搭乱建检测; (c) 弱口令检测; (d) 弱加密方式检测。 |
内网安全测试 | 利用漏洞控制某台内网服务器后,以该服务器为跳板控制更多内网服务器、获取更大服务器权限和更多数据库访问权限,深度测试企业的内网防护情况。 |
安全域测试 | (a) 安全域隔离策略是否存在缺陷; (b) 安全域隔离策略是否存在特殊通道; (c) 隔离设备自身是否存在漏洞。 |
入侵痕迹检测 | (a) 木马; (b) 后门; (c) 入侵日志; (d) 数据库入侵记录。 |
安全意识测试 | (a) 向企业人员发放安全意识调查问卷,测试其安全常识掌握情况; (b) 向企业人员发送无害的钓鱼邮件、钓鱼短信等方式检测相关人员的安全意识。 |
安全整改情况验证 | (a) 安全事件处置报告; (b) 主管部门的检查结果; (c) 主管部门或安全机构通报的安全整改报告。 |
(2)安全监测
安全检查小组在合适的监测接入点部署监测工具,长时间获取网络实时流量,发现信息系统的安全漏洞和安全隐患。
1)监测要求
a)监测设备安全要求
安全检查小组所使用的监测设备本身不得存在恶意程序、漏洞及其他安全缺陷。
b)监测数据安全要求
安全检查小组应保证监测期间监测数据在采集、传输、存储、分析、销毁等全生命周期的数据安全,避免发生数据泄露的风险。
c)监测能力要求
安全检查小组应建立监测事件和风险识别程序,分析手段应能满足:特征检测、行为检测、内容检测、基线检测、宏观流量统计、微观流量统计、特定流量统计等。
d)监测工作要求
安全检查小组应根据监测部署方案,明确监测的时间、内容和范围。监测时间不超过检查时间。
2)监测内容
安全监测的详细内容见下表:
表3: 安全监测详细内容
类型 | 详细内容 |
漏洞利用攻击监测 | 监测是否存在已经成功或者尝试利用系统漏洞攻击的行为,通过识别数据报文中已知漏洞的攻击数据特征,可对漏洞利用攻击进行识别。 |
病毒蠕虫攻击监测 | 监测是否存在病毒蠕虫攻击行为,利用实时更新的病毒库、蠕虫库等信息识别恶意代码,发现各类病毒、蠕虫及其变种。 |
木马后门攻击监测 | 监测是否已经被植入木马后门,是否存在木马后门攻击行为,包括HTTP、DNS等常用协议建立的可疑隐蔽后门通信通道,通过隐蔽通道向外发送敏感信息等各种攻击行为。 |
恶意邮件攻击 | 通过对互联网出入口流量持续监测,针对邮件中传输的文件信息进行分析,监测发现邮件附件中的恶意代码,并确定恶意代码类型及攻击意图,重点发现高级的钓鱼邮件攻击。 |
应用攻击和漏洞监测 | (a) SQL注入; (b) 跨站脚本攻击; (c) 目录遍历等攻击。 |
恶意域名监测 | 监测发现病毒木马通过域名解析上线或传播的行为。对恶意域名、恶意IP地址进行实时检测,记录并展示恶意域名、恶意主机信息(源IP,源端口,目的IP,目的端口和国家等),便于跟踪取证。 |
异常流量监测 | 实时采集分析网络流量,对异常流量进行跟踪、记录和分析,及时发现针对网络的DDoS攻击等异常流量。 |
敏感信息泄露监测 | 实时采集网络流量,分析是否存在敏感文件传输的行为。对存在问题的终端进行恶意程序采集、分析,评估敏感信息泄露的后果影响,并对接收端进行跟踪取证。 |
3、数据分析
(1)关键属性分析
安全检查小组分析本企业的业务特点,给出信息系统在业务连续性、系统完整性和数据机密性等方面的等级(高、中、低)和具体描述,并把等级为高的信息系统业务特性定义为关键属性。
(2)脆弱性分析
安全检查小组根据合规检查与技术检查的结果,对信息系统的脆弱性等级进行分析(高、中、低)并给出具体描述。最终由安全检查小组执行组长确定等级。
(3)威胁分析
安全检查小组根据检查、检测和监测结果,结合安全威胁和风险预估清单,根据分析企业的业务特点,按照威胁的来源(内部和外部)与威胁发生的可能性,对信息系统进行威胁分析并给出具体描述。
(4)风险分析
安全检查小组根据上述关键属性分析、脆弱性分析和威胁分析的结果,对信息系统每个关键属性逐一进行分析,并给出分析结果和描述,最后根据风险分析的结果确定信息系统整体安全状况。
在上述分析评估的基础上,若存在以下情况之一的,应认定该信息系统的网络安全风险为高:
信息系统范围内的服务器(含其上运行的操作系统、数据库、中间件和后台管理软件)、运维管理终端(含其上运行的操作系统、远程运维管理软件)存在已公开的高危漏洞,或自查发现后未采取修补措施或制定修补计划的;
信息系统范围内存在被植入超过1个月的后门、木马,或重要管理账号密码被窃取1个月以上,导致信息系统范围内的服务器、运维管理终端、重要应用可被控,或个人信息和重要数据可被任意读取的;
出现2起或以上未对发现或通报预警的网络安全高危漏洞、风险、威胁和事件等及时进行应对或处置,或未按要求反馈情况的;
出现2起或以上瞒报、漏洞、谎报网络安全事件的。
4、检查结果输出
安全检查小组根据合规检查、技术检查和分析评估得到的结果,输出正式的安全检查报告。
安全检查报告包括以下内容:
(1)对本企业的情况描述,包括:
企业基本情况;
网络拓扑情况;
核心资产情况;
承载业务情况;
安全防护现状。
(2)合规检查结果说明
合规检查项;
检查结果及其详细描述。
(3)技术检查结果说明
技术检查结果说明
技术检查内容;
发现的主要问题(如高风险安全漏洞和隐患、入侵情况等)及其详细描述。
(4)安全风险分析
安全检查小组通过对合规检查、技术检查中发现的安全问题及风险,汇总分析存在的安全隐患及造成的影响。
(5)安全状况评价
安全检查小组根据企业所承载业务重要性和威胁,综合评价信息系统的总体安全状况。
(6)安全建设建议
安全检查小组针对检查中发现的安全问题和风险,提出企业安全建设建议。
七、注意事项
安全检查小组在检查过程中要避免引入额外风险,可参考采取的措施有:
1、参与检查项目的成员均签署项目保密协议,要求各成员在安全检查过程中获取的相关系统数据信息进行保密,包括但不限于关键业务流程、安全缺陷、业务数据等;
2、在安全检查活动实施之前,安全检查小组应彻底清理安全检查工具(包括移动存储介质、电脑等)中的风险隐患(如恶意程序、漏洞等),确保安全检查工作所用到的工具绝对安全;
3、注意安全检查过程中风险的规避,安全检查小组在实际业务环境中进行验证测试时要避开业务高峰期,最好在信息系统处于相对空闲状态时进行,并且测试时要严格遵循安全检查实施方案;
4、整个安全检查工作过程确保审计人员进行全程监督。