安全建设

信息安全规划文档的编写 (转发)

× 文章目录
  1. 1. 0x00 安全规划的目的
  2. 2. 0x01 安全规划应该包含的内容
  3. 3. 0x02 如何做好安全规划
    1. 3.1. 管理和技术上的要求
      1. 3.1.1. 技术要求示例
      2. 3.1.2. 管理文档列表(示例)
    2. 3.2. 安全运行
  4. 4. 0x03 安全规划的执行
    1. 4.1. 人员培训
    2. 4.2. 工作任务分解
  5. 5. 0x04 安全规划示例(目录)

转自 :https://xz.aliyun.com/t/2424

0x00 安全规划的目的

组织安全部门建立到运行一段的时间,工作阶段从救火到标准化的过程就需要考虑编制和实施适合自己组织的安全规划了。

编写安全规划主要为以后的工作进行合理的估计和安排,从结构上提升组织的安全水平,大概是从杂牌军到正规军的转变,也有可能现有的方法满足不了实际业务的需求,需要重新规划、设计。

1

0x01 安全规划应该包含的内容

安全现状从国际、国内、行业和本组织的安全情况,引出安全需求;需求上分析合规性要求和业务要求,引出安全的整体策略和目标。

用一个房子图描述安全整体规划和保障体系,后面整体描述用什么方法和计划完成这个规划。

安全规划通常包含技术方案和管理方案,要保证方案能够落地再加上安全运行/运营,从传统安全来说,物理安全、网络安全、主机安全、应用安全、数据安全各种技术和管理的措施要到位。

办公网安全和生产网安全区别很大,可以考虑单独分析。

安全规划要提供可供执行、能够落地的工作计划,安全规划通常3年一个周期,缘起计划可以简略,但是需要列出本年度的详细工作计划。

最后是信息安全工作的执行考核和改进。

0x02 如何做好安全规划

关键的几点:

  1. 组织内的安全部门有明确的职责和权利,安全部门的活动有组织高层的行动支持;
  2. 目标合理,可执行性高;
  3. 根据组织安全的实际情况编写,前期做好风险评估、威胁建模、攻击面分析,防护方案以满足实际需要为主,控制好成本支出
  4. 管理和技术的安全措施参考 ISO 27001 和等级保护,重点偏安全运行;
  5. 一定要有人员的培训和考核,将纸面上的规划落实成实际的效果。

管理和技术上的要求

管理方面参考 ISO 27001 的要求、等级保护的要求行业监管的要求,对策略、规程、标准、流程和记录,选择适用自己组织的管理要求。

技术要求示例

应用安全

  • 概述:采用安全技术确保应用系统本身的防护,以及对于应用间数据接口、远程终端的数据访问的安全防护。

  • 范围:

    • Web 容器、中间件、Web 服务器
    • Web 应用

  • 防护目标:

    • 通过采取身份认证、访问控制等安全措施,保证系统自身的安全性以及与其他系统数据进行数据交换时所传输数据的安全性。
    • 建立软件安全的输入控制,确保输入数据符合系统设定要求,提供软件自动保护功能,当故障发生时保护自动保护当前所有状态
    • 采取审计措施实施在安全事件发生前发现入侵意图、在安全事件发生时进行告警提示和在安全事件发生后能进行审计追踪。

  • 防护要点:

    • 身份鉴别:应提供专用的登录控制模块对登录用户进行身份标识和鉴别;应对同一用户采用2种以上的组合鉴别技术实现用户身份鉴别;提供用户身份标识的唯一性和鉴别信息复杂度检查功能;提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等机制;启用软件中的安全功能,并根据安全策略配相关参数。
    • 访问控制:应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;应授予不同账户为完成各自承担任务所需的最小权限,并在他们之间形成相互制约的关系;应对有重要信息资源设置敏感标签的功能。应依据安全策略严格控制用户对敏感标记重要信息资源的操作。
    • 安全审计:应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;应确保无法单独终端审计进程,无法删除、修改、覆盖审计记录;应对审计的数据进行统计、查询、分析以及生成审计报表的功能。
    • 剩余信息保护:保证用户鉴别信息所在的存储空间在被释放或重新分配给其他用户之前完全清除,无论在硬盘还是内存中;应保证系统内的文件、目录和数据库记录等资源空间被释放或重新分配给其他用户前得到完全清除。
    • 通信完整性:采用密码技术保证通信过程中数据的完整性。
    • 通信保密性:在通信双方建立连接之前,应用系统利用密码技术进行初始化会话验证;应对通信过程的报文或会话信息过程进行加密。
    • 抗抵赖:应具有在请求的情况下为数据原发者或接收者提供数据原发证据和数据接收证据的功能。
    • 软件容错:应提供数据有效性检验功能,通过人机接口输入或通过通信接口输入的数据格式和长度符合系统的设定要求;应提供自我保护功能,当故障发生时自动保护当前的所有状态,保证系统能够恢复。
    • 资源控制:当应用系统的通信耍弄福冈中等乙方在一段时间内未作任何响应,另一方应能够自动结束会话;应能对系统的最大并发会话连接数和单个账户的多重并发会话进行限制;应能对一个时间段可能的并发会话连接数进行限制;应能对一个访问账户或一个请求进程所申请的资源数进行控制;应能够检测SLA水平,到达预设值时进行告警。

  • 防护设备:

    • 4A:提供身份识别、认证、访问控制和审核功能。
    • Web 应用防火墙:提供数据输入验证和审核功能。
    • 网页防篡改
    • 抗 DDoS 设备
    • Web 漏洞扫描

  • 防护技术:

    • 4A
    • 代码审计
    • 基线检查和加固
    • 渗透测试

管理文档列表(示例)

等保的文档体系或 ISO 27001 的文档体系,自己找找吧。

安全运行

购买了安全产品,编写了相关的管理文档,制定了各种工作流程,后面主要的工作就是安全运行/运营,实际上就是用好已有的安全控制措施。

简单以资产管理为例:

  • 概述:通过资产管理,确定当前的资产状态,可以快速确认攻击面和某个软件版本缺陷的影响范围。
  • 范围:组织所有 IT 设备,内外网 IP、端口
  • 防护目标:及时发现新启用的 IP 和端口,业务系统所依赖重要的软件和版本的变更。
  • 防护要点:
    • 结合网络拓扑,对组织内的物理设备和系统进行清查;
    • 梳理组织使用的软件和版本信息,需要确切了解用于支持业务系统的各种软件名称和详细版本;
    • 映射组织的(业务)通信和数据流,确定哪些业务会涉及使用到哪些设备;
    • 资源(例如,硬件,设备,数据和软件)的分类,重要性和商业价值
    • 资产负责人信息、外部供应商信息、外包运维信息。
  • 管理制度和流程
    • 资产管理制度
    • 业务上线/下线流程
    • 网络端口开放或变更流程
  • 设备或系统支持:
    • 资产管理系统
    • IP 端口扫描工具
  • 工作输出:
    • 当前资产表
    • IP、端口监控告警历史

0x03 安全规划的执行

人员培训

整块信息安全工作并不是安全部门自己的事情,需要其他部门的配合,并且增加了其他部门的实际工作量。这就需要以合适的方式让安全部门外的成员理解信息安全工作,获取工作所需要的安全技能,通常是通过培训和考核进行。

这块很重要,通过培训和交流让其他成员支持信息安全工作。

工作任务分解

根据安全评估了解目前最缺乏的安全措施,那就是最优先需要解决的工作,所以最开始还是梳理资产,评估威胁、漏洞、风险,确认目前急需提升的安全防护措施。

根据现有安全部门组织结构安排工作,涉及部门和人员最少,最有效果的安全措施优先安排,需要其他部门配合的安全措施要与关联部门和人员讨论后进行安排。

0x04 安全规划示例(目录)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
目录
信息安全规划  1
1   概述  1
1.1 整体安全形势分析    1
1.2 行业安全形势分析    1
1.3 内部信息安全概况    1
2   信息安全需求分析    2
2.1 合规性要求   2
2.2 集团要求    2
2.3 业务需求    2
3   信息安全策略和目标   3
3.1 信息安全策略  4
3.2 信息安全目标  4
4   信息安全保障体系    4
4.1 设计原则    4
4.2 安全建设的层次 3
4.3 安全保障体系  5
5   信息安全组织和职能   6
5.1 安全组织设置  6
5.1.1   安全协调组织  6
5.1.2   安全响应中心  6
5.1.3   各分支机构安全组织   7
5.2 安全组织职责  7
5.2.1   安全协调组织职责    7
5.2.2   安全响应中心职责    8
5.2.3   各分支机构安全组织职责 8
5.3 安全人员管理  9
6   安全防护重点风险分析  10
7   信息安全保障体系建设  10
7.1 信息安全管理体系建设  10
7.1.1   组织结构    10
7.1.2   安全培训    10
7.1.3   标准、制度和流程    24
7.1.4   外部联系工作  24
7.2 信息安全技术体系建设  24
7.2.1   物理安全    24
7.2.2   网络安全    25
7.2.3   主机安全    25
7.2.4   云安全 25
7.2.5   应用安全    26
7.2.6   数据安全    26
7.2.7   业务安全    26
7.2.8   隐私保护    26
7.3 信息安全运行体系建设  27
7.3.1   资产和漏洞生命周期管理 27
7.3.2   发布和变更管理 28
7.3.3   信息安全事件管理和应急演练   28
7.3.4   重要时期信息安全保障  31
7.3.5   日常工作和迎检工作   31
7.3.6   软件安全开发生命周期  31
8   办公网安全   32
8.1 网络安全    32
8.1.1   边界控制    32
8.1.2   安全域划分   32
8.1.3   入侵检测    33
8.1.4   上网行为管理  33
8.1.5   远程访问    33
8.2 终端安全    33
8.2.1   杀毒软件管理  33
8.2.2   补丁管理    33
8.2.3   主机加固    33
8.3 无线和手机设备安全   34
8.3.1   无线安全    34
8.3.2   移动设备管理  34
8.4 数据防泄密   34
8.5 内部系统安全  34
9   重点信息安全风险与保障体系对应关系   34
9.1 风险与保障体系对应关系 34
9.2 保障体系与合规性对应关系    35
10  工作规划和计划 35
10.1    工作分解思路  35
10.2    重点系统开发计划    36
10.3    长期工作规划  36
10.4    本年度工作计划 36
11  信息安全工作度量    36
11.1    评价体系和原则 37
11.1.1  评价体系    37
11.1.2  选拔机制    37
11.1.3  管理者的权利和义务   37
11.2    考核对象和考核方法   38
11.2.1  团队考核    38
11.2.2  个人考核    38
11.2.3  安全设备、系统效果评估 39
11.2.4  安全策略、安全程序效果评估   40
11.3    考核时间    40
11.4    奖励和问责   40
12  持续改进    40
13  附录  41