还记得在这里写的第一篇文章《小师妹聊安全标准》,记得当时对自己立的Flag是要定时定期写一篇关于标准的文章,但是现在回首,早就被啪啪打脸。但所幸的是,在这两年间,从头到尾的参与跟进过两项国家标准的编制(目前一项到了报批稿阶段,另一项还在征求意见稿阶段),对于我来说,是挺有收获的,至少熟悉了标准每个阶段的流程,并且学到了严谨的做事态度,辩证的学习思维。
今天的这篇文章其实主要是想回顾一下我从业以来全程参与过的两个实施项目的一些感受,做一个小总结。(小备注:请不要嘲笑我两年只做过两个实施类项目,有的是安全规划、课题什么的不算)。
第一个做的项目是“信息安全检查项目”
如果以标准的分类来看这个项目,其实并不属于实施类,而是归类于测试评估类,哈哈,反正到了项目现场,我就把它叫实施项目了。
先简单说一下背景:检查对象是某集团型企业的十余家下属单位,单位性质有的是传统制造厂、有的是开发公司、有的是互联网公司。
这类项目主要是以发现网络安全问题为目的,按照检查准备、检查实施、检查结果分析、检查报告编制、检查结果反馈等工作流程规范开展检查工作,检查的方法是通过调研访谈、问卷调查、文件调阅、技术检测等多种形式,从管理上、技术上、人员安全上开展综合的网络安全检查。
在做这项检查工作的时候,我们是分为了三个阶段:
-
启动准备阶段
-
核心内容:
(1)沟通检查需求;
(2)成立项目组;
(3)制定检查方案。
-
检查实施阶段
-
核心内容:
(1)开展各单位现场检查,包括业务、信息系统调研、网络架构分析、主机扫描、安全配置检查;
(2)开展Web渗透测试工作。
-
总结汇报阶段
-
核心内容:
(1)分析检查结果,总结问题并给出处置建议,编制各单位检查报告和总体报告。
在这个项目中,我是从安全访谈和文件调阅的角度出发,主要关心的是所检查单位的网络安全工作责任落实情况、网络安全管理工作落实情况、网络安全事件应急处置管理情况、信息技术产品应用情况、周期性技术检测及网络安全事件情况。我印象最深刻的是去制造业厂检查的时候,这个项目有四家单位都是十足的传统制造业,他们的网络拓扑结构都比较简单,生产网络与办公网络之间一般通过防火墙进行隔离,运维是通过VPN远程接入进行生产系统的运维管理操作。我之所以说对制造业厂检查印象深刻,是因为每次现场工作完成后,都会带我们参观一下他们的生产线(这个是我感兴趣的)、头牌产品、还有带我们吃丰盛厂餐(哈哈),另外,通过这次项目,不仅让我接触到了不同的业务类型,丰富了我的认知,更真实的了解到部分行业的网络安全现状,下面我总结几个存在最多的问题:
1、网络安全管理问题。
(1)文件化的管理制度存在不齐全、不规范的情况,有的制度像“大杂烩”,落实的最好的制度可能是《机房管理规定》;
(2)一人分饰多角,导致没有三权分立的说法,有时可能这一人并不是网络安全专业人员;
(3)未定期更新资产台账;
(4)企业网络安全预算有限,或者没有将网络安全预算纳入企业年度预算中;
(5)网络安全意识培训少,员工缺乏安全入网意识;
(6)缺少网络安全应急预案。
2、网络架构问题。
(1)部分节点未冗余,存在单点故障。
3、账号权限问题。
(1)某些普通账号权限过大;
(2)特权账号共享。
4、系统安全问题。
(1)存在已知漏洞,没有及时更新系统补丁;
(2)未进行端口控制,某些非必要的端口未关闭。
5、安全基线问题。
(1)Administrator帐户名称未更名或禁用;
(2)密码策略、账户锁定策略未配置;
(3)审核策略未配置;
(4)屏幕保护程序及锁定未配置;
(5)未定时更新补丁;
(6)网络设备日志本地存储。
我甚至觉得除了我参与安全检查的这些企业,以上问题可能是大多数企业都存在的问题,(站在对方的角度也可以理解,因为网络安全是需要投入的,企业要生存,重心肯定放在业务上,业务做大了,自然考虑的就多了,所以才会有很多大企业做风险管理,网络安全风险管理也属于企业风险管理考虑的一部分。)
最后提一下做好安全有六个因素很重要,分别是战略、资金、技术、组织、人员、过程。对于网络安全预算不充分的企业,我的建议是做好网络安全架构,至少具备被动防御的能力。然后重点加强网络安全管理,提高员工的安全防范意识,重视流程规范,要求员工养成文件化留档的习惯。
第二个做的项目是“数据安全风险评估项目”
这个项目的对象更加具体,是某个信息系统,目的是评估该系统的数据安全风险,与传统的信息系统风险评估最大的区别是,在该项目中,我们主要的关注点放在了“数据”上,围绕数据从采集到销毁的整个生命周期,并且结合“数据”的生存环境(物理环境、网络、主机、应用、数据库)来识别关键资产、威胁以及脆弱性,在风险的计算公式上,用的是风险值=R(A,T,V)=R(L(T,V),F(IA,VA))。
然后,提几个数据安全方面存在最多的问题:
(1)账户安全策略不完善。主要是权限问题,还有账号清理方面,存在僵尸账号和无法定位到人的账号问题;
(2)日志审计能力不足;
(3)缺乏数据安全管理机制;
(4)数据安全资产管理不清晰,没有数据资产清单;
(4)系统漏洞问题,未及时修复已知漏洞;
(5)数据备份与恢复问题;
(6)安全设备的配置不当问题。
另外,分享几个信息。
一、我国目前涉及数据安全的法律法规有:
1、《中华人民共和国网络安全法》
2、《中华人民共和国数据安全法(征求意见稿)》
3、《个人信息保护法》
4、《网络安全审查办法》
5、《数据安全管理办法(征求意见稿)》
6、《网络安全等级保护条例(征求意见稿)》
二、目前围绕数据安全和个人信息保护两个方向已发布6项国家标准,在研标准10项,研究项目18项。其中已发布的标准如下:
序号 |
标准号 |
标准名称 |
1 |
GB/T 35273-2020 |
《信息安全技术 个人信息安全规范》 |
2 |
GB/T 35274-2017 |
《信息安全技术 大数据服务安全能力要求》 |
3 |
GB/T 37973-2019 |
《信息安全技术 大数据安全管理指南》 |
4 |
GB/T 37988-2019 |
《信息安全技术 数据安全能力成熟度模型》 |
5 |
GB/T 37932-2019 |
《信息安全技术 数据交易服务安全要求》 |
6 |
GB/T 37964-2019 |
《信息安全技术 个人信息去标识化指南》 |
三、2020上半年我国的网络安全相关法律法规及政策
最后,我抛出一个自己画的数据安全框架图,希望“在看的大家”可以帮忙指点、讨论。
(其实还有很多感受没有总结到,先说这么多吧)。