前言:
相信在甲方公司(大中型)的信息安全从业人员都会有同样的困境-公司的信息系统资产(已知资产/未知资产)不可管理,信息系统资产漏洞百出,安全设备告警无暇研判。要突破这种困境就需要在信息系统上线之前以自查的形式来形成一种上线流程规范,以规范化的流程促进安全管理。
以检查促规范
以检查促规范顾名思义就是在信息系统上线之前规定好信息系统需要符合的安全要求和规定需要做哪些安全工作,将安全要求和工作形成一种规范化流程;务必在信息系统上线之前都需要经过规定好的流程。
信息系统一般上线流程是项目立项-需求分析-环境部署(系统开发(模块功能测试))-系统开发完成-功能测试-系统上线试运行-项目验收;特别说明的一点是系统开发和系统环境部署是可以同时进行的;系统模块开发完之后模块的功能测试也可以同步进行。
在信息系统上线流程中安全团队在项目立项和需求分析阶段可以在OA平台上提供相应的上线流程申请单。例如:信息系统部署申请表,外协单位接入申请表。信息系统上线需求部门都通过OA系统走信息系统上线流程申请,运维团队提供运行环境资源和网络资源。特别说明的一点是信息系统资产能否可管控取决于信息系统上线申请流程,能否将流程推广取决于上线流程培训效果。
在信息系统上线流程中安全团队可以在系统开发之前把内部制定的信息系统安全要求表在信息系统部署申请流程中以附件的形式提供给研发团队,让安全属性成为信息系统的必要的属性;安全要求可以笼统但是必须要提出对信息系统安全影响很大的安全要求。如:身份鉴别安全要求,访问控制安全要求,常规的高危漏洞安全要求。特别说明的一点是研发团队可能对其中的安全要求了解甚微,安全团队可以有计划对研发团队组织安全研发培训。
在信息系统部署申请到运维团队部署服务器环境的流程时,安全团队可以协助运维团队对服务器做二级等保和漏洞扫描,提供一个规范的二级等保服务器环境;并根据信息系统部署申请表中的信息系统的详细内容,如:内网IP地址,公网域名,操作系统类型及版本,数据库类型及版本,中间件类型及版本,端口及对应的服务,主程序目录,备份目录,重要程度和用途登记在信息系统资产管理系统中维护,方便后续的漏洞扫描,渗透测试,数据恢复演练工作和安全态势监控。特别说明的一点是安全团队协助运维团队做的二级等保服务器是在虚拟服务器中创建的话,可以将此二级等保服务器作为镜像模板,就会省去了之后大量的重复性工作;对漏洞扫描结果中无法修复的安全漏洞可以使用虚拟补丁的方式进行规避,并测试虚拟补丁的可用性。
在信息系统开发完成之后,研发团队可以协助功能测试团队进行功能测试和协助安全团队进行安全渗透测试。特别说明一点是在需求分析完成后必须协商预留至少一周的时间给功能测试团队和安全团队对系统进行功能测试和安全渗透测试,确保系统的机密性,完整性和可用性。
在系统上线试运行之前,安全团队协助运维团队将信息系统接入安全态势感知中,并根据信息系统资产管理登记表重要程度在安全态势感知上打上标签进行分类监测,并进行安全设备能力测试。
信息系统安全上线流程如下:
以规范促安全
信息系统安全上线流程中以检查的方式规范信息系统部署流程(OA流程);信息系统部署方法(以二级等保要求);研发要求(内部安全要求);信息系统资产管理维护。在日常安全工作中,安全团队只需要对信息系统资产管理系统中的资产进行渗透测试并形成漏洞跟进表进行闭环,数据恢复演练形成数据恢复演练记录表;在态势感知上监控重点标记的服务器和狩猎APT攻击。
总结:安全规范涉及很多场景和流程,本文根据自身的工作经验只阐述了信息系统上线流程中安全团队应该做的哪些工作和规范。如有不正确的地方,请及时提出并纠正。