▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 224 期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
本期话题抢先看
1. 站在安全部门角度(非合规),在参与公司个人信息合规管理体系建设中理想的角色是怎么样的?
2. 大家能说说应用安全和数据安全的区别有哪些,这两者有具体的工作边界吗?
3. 作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作?
话题一
站在安全部门角度(非合规),在参与公司个人信息合规管理体系建设中理想的角色是怎么样的?
A1:
决策者或者第三方视角(旁观者)。
A2:
只提要求,别让落实。
A3:
差不多是这个意思,因为安全几乎全是“约束”性质的,只要落地必然有反抗,所以要么一锤干到底,要么一锤被干到底,要么把锤子交给决策者。概率性事件么,还是看决策意图。
A4:
我们当前因为没有强监管,我们以服务者角色开展工作,揭示风险,建议改善措施,用户不动不强求。
A5:
个人信息保护政策的解读能力 协调沟通 推动落地 对接监管。
A6:
个人信息属于数据资产,结合数据安全提出管理策略。
A7:
是否具备个信数据相适应的安全保护能力,是需要第二道防线的安全人员做专业性支持的确认。
A8:
至少要跟合规部门平级,不然会沦落到背锅的角色。
A9:
我们合规法务都说,我不懂技术,这个事情你们自己定。
A10:
看安全技术是什么角色了,如果合规那边是需求,技术是响应的,那就配合出技术方案和落地就行。如果技术跟合规平级,那就互相一起筹划,安全技术出技术要求。这里关键是责任的事情。
A11:
这个主要看公司的目标,公司想把个人信息保护做成什么样,60分及格那安全就做桥梁的角色,帮忙把合规要求转化成业务能懂的可以实现的方案,如果要做80分以上那就还要承担督导的角色。
A12:
类似监管角色,定期做个人信息风险评估,建立风险隐患清单,持续跟进整改,这个特别需要领导的重视和支持。
A13:
我们公司是安全跟合规配合工作来去推动以满足行业监管需求,合规更多是站在业务角度去思考问题。
Q:大家能说说应用安全和数据安全的区别有哪些,这两者有具体的工作边界吗?
A14:
应用安全更关注应用本身,数据安全关注的是数据的全周期保护。
A15:
应用安全其实更关注来自外部的问题,数据安全更偏重于对内部的数据安全防护。
A16:
应用安全事件更多是可用性方面的,数据安全更多是保密、完整相关的,职责部门可能不一样,应用安全主要是开发,数据安全更多是业务部门(数据采集使用方)。
A17:
应用安全理论上应该大于和数据安全大部分是集合的,我理解的数据安全相关工作,大部分是基于应用产生的数据进行安全合规。
话题二
作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作?
A1:
这只能人盯人,高危命令禁止,敏感操作授权。
A2:
公司规模小,可以人盯人,规模大的,自建网关中间件做授权。
A3:
网关中间件能做啥,流量监控跟命令阻断么?
A4:
操作全部由中间件替换掉,比如你要操作数据库,那就要我的数据库管理组件。
A5:
这方式堡垒机就能搞了吧。
A6:
你可以理解为堡垒机的一种,只是更个性化了。
A7:
堡垒机好像控制不了Windows这块,可以通过Windows账号管理。
A8:
这个网关感觉就是做收口,所有的信息都到口里去,东西在你手上 ,自然不能乱搞。
A9:
你无法直连任何设备,只有通过中间组件来做管理,屏蔽掉那些危险操作,不然各搞各的,乱七八糟,哪里有了个新的数据库你都不知道。
A10:
我们首先是堡垒机/4A,并且阻断掉其他操作路径,再一个是签好协议。毕竟有了堡垒机/4A,也不可能人一直盯着,我们这边有个友商,对驻场提的要求,连搞脏了工位都罚款,而且是进场交押金。
A11:
我们之前就是乙方用的终端是公司的,开堡垒机,分配权限,定期审计包括终端和堡垒机操作。
A12:
整审计就行,看审计的细粒度能不能覆盖,能覆盖的话没啥问题。
本期观点总结
本期讨论中,大家对参与公司个人信息合规管理体系建设中理想的角色认定持有一些不同看法,但总体而言需要扮演桥梁和推动者的角色,确保合规要求转化为可实现的方案,并与业务部门合作共同推动落地。
在关于甲方实现对乙方运维团队授权的高级权限管控措施讨论中,大家认为使用堡垒机或类似的中间件来代替直接连接设备,禁止高危命令和敏感操作以及授权特定组件来执行操作,同样,这也需要签订协议并划定必要的约束措施。
近期群内答疑解惑
Q:有个问题想请教一下,等保三级系统和二级系统能直接进行网络对接吗?
A1: 系统是三级还是二级?代表承载系统的基础环境是安全的,肯定能对接啊,按照最小权限访问控制做对接就好了。 A2: 我也是没有看到过有针对这些的说法,但是有的人说三级和二级不能直接对接。这个基础环境是指物理环境?还是包括安全通信、区域边界?安全计算环境这里,二级系统比三级是要差的,这样不会有什么问题? A3: 没有问题。
Q:私有部署的数据库审计是不是等保三必须呢?哪家比较靠谱呀?
A1: 等保没有必须的设备,都是基于风险来的,如果你的数据很特殊没有审计就是高风险才是必须上数据审计。 A2: 那数据不是很特殊是不是就可以不用上数据审计系统,可以这么理解吧?这个数据特殊是按分级来还是按照数据量来呀? A3: 你应用级日志全,或者MySQL插件本身日志比较全而且有备份就可以不用,不过如果规模大了,建议用个网络层的数据库审计,最大的优点是不占主机性能;应用日志和MySQL插件都占性能,业务大的时候主机和开发可能会找你背锅,所以搞个网络层的数据库审计最省事,也省钱。具体看你们行业要求。
Q:企业服务总线ESB算是信息系统吗,是否需要等保备案呢?很多业务系统的API接口通过ESB发布出去。
A1: 算,但是理论上应该不用。 A2: 我们的ESB算独立的信息系统。等保是否备案,我觉得主要就是看这系统被入侵后的影响范围,是否为公众或者群体提供服务,要不然GAJ也不知道你有没有ESB。 A3: 类似这种中间调用的服务系统,还有流程引擎、GIS地图之类的。 A4: 这样评估来看你们功能还是蛮多的,虽然是服务总线,但是还是可以做个二级,有备无患,反正也不贵。