企业安全检查指南

2021-09-16 11:51:55 浏览数 (1)

《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等法律法规的相继出台,为企业压实了网络安全主体责任,均要求企业应当至少一年做一次风险评估.

当前大多数企业都是将风险评估以项目外包的方式给第三方网络安全服务机构来做的,这不仅耗时长,而且对企业来说,还存在一个隐形风险 —— 参与风险评估的第三方将会在项目过程中获取或了解到企业很多关键业务流程、特殊账号、安全管理习惯、重要人员关系等重要信息,如果人员管控出现漏洞,将带来很严重的安全风险。并且,常态化的事情总是外包成本也比较高,因此,建议有能力的企业可考虑建立常态化的自我安全检查机制,在内部组建安全检查小组,负责本单位的安全检查工作。

本篇文章以“5个W,1个H”的方式将企业安全检查的必要性和具体做法进行总结,以指导企业安全保障建设,适用于企业安全自查。

一、为何要做安全检查(why)

安全检查是安全性评估的一种方式,其优点是耗时短、快速发现企业存在的薄弱点,相对于风险评估项目来说,安全检查的优势是能够花最少的时间,把脉企业自身安全,了解现阶段的网络安全现状,找出短板,以便从顶层设计出发,总体布局、统筹协调、整体推进、构建企业整体网络安全保障体系,稳步推进信息化建设工作,更好地为业务赋能,增强网络安全防御能力。

二、安全检查内容是什么(what)

安全检查的主要内容包括对企业的安全合规情况、安全保障情况(技术和管理)进行检查。比如:通过对企业自有资产梳理、技术调研以及管理调研等过程,了解企业在网络安全工作责任、网络安全管理工作、网络安全事件应急处置管理、信息技术产品应用等方面的落实情况;根据网络拓扑结构和主要网络设备、安全设备配置对现有网络结构进行安全分析;使用第三方安全评估工具对评估范围内目标进行安全扫描及测试,对目标设备的漏洞、用户名与口令、安全策略等方面进行检测,并选取服务器、网络设备、安全设备进行安全抽样检查等。

三、谁来做安全检查(who)

企业需要组建一支安全检查小组,该小组成员包括:安全部门的员工(熟悉安全专业知识)、业务部门的员工(熟悉业务流程)、审计部门的员工(监督整个安全检查项目,避免引出额外的安全风险)以及一个业务协调人员(协调业务资源)。安全检查小组的组长最好由企业的网络安全责任人担任,负责统筹协调项目资源,给与领导力支持;安全检查小组的执行组长则建议由企业安全部门的负责人担任,主抓安全检查工作的执行和落实。

四、安全检查周期(when)

建立常态化安全检查机制。安全检查小组一旦成立,可在企业组织架构内长期存在,建议一年两次安全自查,并且当企业的信息化架构发生重大变更时,也建议及时做安全检查,避免引入其他安全风险。

五、在哪里做安全检查(where)

企业内部,安全检查小组在访谈相关人员时建议单独在会议室或办公室进行,避免多人并行访谈,氛围轻松的办公环境更利于沟通。

六、如何做安全检查(how)

(一)安全检查的工作流程

安全检查的工作流程及各阶段任务活动如下图:

(二)安全检查的工作方式

安全检查小组在现场实施安全检查工作时一般包括安全访谈、安全核查和技术测试三种主要的方式。

1.安全访谈

安全检查小组的成员与负责企业信息系统开发、维护,以及网络维护等安全相关人员进行交流、讨论,了解需要安全检查的信息系统的最近情况,获取相关证据、信息。在访谈范围上,应覆盖所有的安全相关人员类型,在数量上可抽样。

2.安全核查

安全核查主要包括文档审查、实地察看和配置核查等工作,安全检查小组执行组长和业务协调人员应为安全检查小组的其他成员提供相关资源支持以及部门间的沟通协调。

(1)文档审查

安全检查小组应对与信息系统相关的文档资料进行核查,包括安全策略、安全方针文件、安全管理制度、安全管理的执行过程文档、设计方案、网络设备的技术资料、运行记录文档、机房建设相关资料、机房出入记录等过程记录文档等。

(2)实地察看

安全检查小组应到信息系统的运行现场通过实地的观察相关人员的行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。

(3)配置核查

安全检查小组应利用上机验证的方式核查信息系统的应用系统、主机系统、数据库系统以及各设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。

3. 技术测试

安全检查小组应根据企业安全检查实施方案,利用有关技术工具对信息系统进行安全测试,如基于网络探测和基于主机审计的漏洞扫描、渗透性测试、功能测试、性能测试、入侵检测和协议分析等。

(三)安全检查的主要活动

安全检查的主要活动包括合规检查、技术检查、数据分析以及结果输出四个部分。

1、合规检查

安全检查小组通过资料核实、人员访谈和技术验证等手段,检查本企业是否遵从法律、法规和政策标准的相关要求。

(1)合规检查要求

安全检查小组应依据国家、行业以及本单位的安全方针及要求,以及法律、法规、政策文件、标准和规范等,坚持客观、公正的原则,采用科学的检查方法,规范流程,控制风险,如实反映检查结果。

(2)合规检查内容

1)信息系统认定情况

安全检查小组应了解本企业的所有关键业务,查看信息系统相关材料,梳理是否已将支撑关键业务的网络和信息系统均纳入了认定范围,对下列情况进行认定:

是否是否存在漏报、误报、瞒报的情况; 信息系统的新建、废弃等流程是否合规。

2)法律法规、政策文件和标准规范梳理情况

安全检查小组应了解本企业的相关安全岗位人员是否系统完整地掌握自己应该符合的合规要求,检查内容包括查看其提供的法律法规、政策文件和标准规范清单,并核验清单是否完整,是否存在重大遗漏。

3)网络安全等级保护落实情况

安全检查小组应检查本企业是否落实了《网络安全法》第二十一条的各项要求。

4)个人信息和重要数据保护情况

安全检查小组应了解本企业搜集个人信息和重要数据(如有相关业务)的目的和范围,并对下列情况进行认定:

是否建立个人信息和重要数据保护制度; 是否存在超出用户授权范围或违反相关要求收集、存储、使用数据的情况; 如因业务需要,向境外提供了个人信息和重要数据,是否按要求进行了安全评估。

5)安全管理机构设置和人员安全管理情况

安全检查小组应客观分析本企业的安全管理机构设置和人员安全管理情况的证明材料,并对下列情况进行安全检查:

是否按照网络安全责任制明确了安全管理负责人和安全管理机构; 安全管理负责人和关键岗位人员是否具备相关资质; 是否对安全管理负责人和关键岗位的人员进行了安全背景审查; 是否按照要求开展了安全教育、技术培训和考核。

6)安全管理保障体系落实情况

安全检查小组应检查本企业的安全管理保障体系落实情况,主要包括安全管理制度体系、安全建设的执行情况、运维管理资料、日常监测情况、容灾备份情况以及应急准备和处置情况,安全检查的详细内容如下表:

表1: 安全管理保障体系落实情况详细内容

2、技术检查

技术检查可分为安全检测和安全监测两部分。

(1)安全检测

安全检查小组在合适的检测接入点,通过漏洞扫描、渗透测试等安全测试方法,验证信息系统的某种特定性能指标。

1)检测要求

a) 工具要求

安全检查小组应提供技术检测中可能用到的工具清单,并满足下列条件:

工具本身不得存在恶意程序、漏洞及其他安全缺陷; 对于检测工具可能产生的风险要在检测方案中明确指出,并给出风险规避和应急处置措施。

b) 检测过程要求

执行小组组长以及业务协调人员应协调以下事项:

协调满足检测工作要求的接入点和接入环境; 协调完成检测工作需要的必要信息;

安全检查小组应确保:

对检查过程中可能造成的风险,给出风险规避和应急处置措施,尽可能避免因技术检测对业务系统运行造成不良影响; 在实施技术检测的过程中,应及时删除检测痕迹,若存在无法删除的痕迹,应在报告中明确指出。

2)检测内容

安全检测的详细内容见下表:

表2:安全检测详细内容

(2)安全监测

安全检查小组在合适的监测接入点部署监测工具,长时间获取网络实时流量,发现信息系统的安全漏洞和安全隐患。

1)监测要求

a)监测设备安全要求

安全检查小组所使用的监测设备本身不得存在恶意程序、漏洞及其他安全缺陷。

b)监测数据安全要求

安全检查小组应保证监测期间监测数据在采集、传输、存储、分析、销毁等全生命周期的数据安全,避免发生数据泄露的风险。

c)监测能力要求

安全检查小组应建立监测事件和风险识别程序,分析手段应能满足:特征检测、行为检测、内容检测、基线检测、宏观流量统计、微观流量统计、特定流量统计等。

d)监测工作要求

安全检查小组应根据监测部署方案,明确监测的时间、内容和范围。监测时间不超过检查时间。

2)监测内容

安全监测的详细内容见下表:

表3:安全监测详细内容

3、数据分析

(1)关键属性分析

安全检查小组分析本企业的业务特点,给出信息系统在业务连续性、系统完整性和数据机密性等方面的等级(高、中、低)和具体描述,并把等级为高的信息系统业务特性定义为关键属性。

(2)脆弱性分析

安全检查小组根据合规检查与技术检查的结果,对信息系统的脆弱性等级进行分析(高、中、低)并给出具体描述。最终由安全检查小组执行组长确定等级。

(3)威胁分析

安全检查小组根据检查、检测和监测结果,结合安全威胁和风险预估清单,根据分析企业的业务特点,按照威胁的来源(内部和外部)与威胁发生的可能性,对信息系统进行威胁分析并给出具体描述。

(4)风险分析

安全检查小组根据上述关键属性分析、脆弱性分析和威胁分析的结果,对信息系统每个关键属性逐一进行分析,并给出分析结果和描述,最后根据风险分析的结果确定信息系统整体安全状况。

在上述分析评估的基础上,若存在以下情况之一的,应认定该信息系统的网络安全风险为高:

信息系统范围内的服务器(含其上运行的操作系统、数据库、中间件和后台管理软件)、运维管理终端(含其上运行的操作系统、远程运维管理软件)存在已公开的高危漏洞,或自查发现后未采取修补措施或制定修补计划的; 信息系统范围内存在被植入超过1个月的后门、木马,或重要管理账号密码被窃取1个月以上,导致信息系统范围内的服务器、运维管理终端、重要应用可被控,或个人信息和重要数据可被任意读取的; 出现2起或以上未对发现或通报预警的网络安全高危漏洞、风险、威胁和事件等及时进行应对或处置,或未按要求反馈情况的; 出现2起或以上瞒报、漏洞、谎报网络安全事件的。

4、检查结果输出

安全检查小组根据合规检查、技术检查和分析评估得到的结果,输出正式的安全检查报告。

安全检查报告包括以下内容:

(1)对本企业的情况描述,包括:

企业基本情况; 网络拓扑情况; 核心资产情况; 承载业务情况; 安全防护现状。

(2)合规检查结果说明

合规检查项; 检查结果及其详细描述。

(3)技术检查结果说明

技术检查结果说明 技术检查内容; 发现的主要问题(如高风险安全漏洞和隐患、入侵情况等)及其详细描述。

(4)安全风险分析

安全检查小组通过对合规检查、技术检查中发现的安全问题及风险,汇总分析存在的安全隐患及造成的影响。

(5)安全状况评价

安全检查小组根据企业所承载业务重要性和威胁,综合评价信息系统的总体安全状况。

(6)安全建设建议

安全检查小组针对检查中发现的安全问题和风险,提出企业安全建设建议。

七、注意事项

安全检查小组在检查过程中要避免引入额外风险,可参考采取的措施有:

1、参与检查项目的成员均签署项目保密协议,要求各成员在安全检查过程中获取的相关系统数据信息进行保密,包括但不限于关键业务流程、安全缺陷、业务数据等;

2、在安全检查活动实施之前,安全检查小组应彻底清理安全检查工具(包括移动存储介质、电脑等)中的风险隐患(如恶意程序、漏洞等),确保安全检查工作所用到的工具绝对安全;

3、注意安全检查过程中风险的规避,安全检查小组在实际业务环境中进行验证测试时要避开业务高峰期,最好在信息系统处于相对空闲状态时进行,并且测试时要严格遵循安全检查实施方案;

4、整个安全检查工作过程确保审计人员进行全程监督。

0 人点赞