小型企業(yè)信息安全日常運維

■ 安徽 于晗

編者按：面對信息安全威脅，大型企業(yè)有著足夠的人力和財力來應對危機，而小型企業(yè)則不盡然，需要以有限的資源應對無窮的威脅。因此，高效的安全策略和管理方式就變得極為重要，本文特別針對小型企業(yè)來進行探討。

伴隨著物聯(lián)網(wǎng)及云計算技術的不斷發(fā)展，企業(yè)信息化程度不斷提高，為了保證企業(yè)的信息安全建設，很多企業(yè)選擇購買大量的安全防護設備，以為在網(wǎng)絡邊界加裝一些防護設備就可以保證企業(yè)的正常運營。實際上這些行為大部分只是給企業(yè)提供了心理上的安慰。

另外,小型企業(yè)的人員與成本均有限，不能像大型企業(yè)那樣設置專門的信息安全崗位來進行安全管理。更有一些企業(yè)為了應付檢查將安全管理工作隨意派遣給內(nèi)部技術管理部門，造成一人多崗、信息交叉、自做自查等問題。

本文將根據(jù)實際工作中的經(jīng)驗，綜合國家標準 《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》中三級等級保護要求，總結(jié)出一套相對簡單的日常運維管理方法，希望給大家提供參考。

圖1 運維管理控制點劃分

企業(yè)信息安全管理平臺運維管理控制點說明

為了方便企業(yè)的信息安全管理平臺的運維管理，運維管理控制點將分為兩個部分：

第一個部分為針對所有信息安全設備資產(chǎn)、信息安全及監(jiān)控中心、安全事件及應急預案的管理，只在控制點的屬性上進行區(qū)分，不在做針對單個業(yè)務子系統(tǒng)的細化處理；

第二部分則與第一部分相反，所有控制點都針對單個業(yè)務子系統(tǒng)，所有系統(tǒng)均保證包含第二部分中的控制點分項。如圖1所示。

第一部分控制點分項

1.運維資產(chǎn)管理

主要包括企業(yè)所有信息安全設備序列號、維保年限、用途、特征庫更新時間、大版本升級時間。

具體樣表格式如圖2所示。

2.密碼管理

主要包括企業(yè)所有的信息安全設備的密碼控制及管理，包括有入侵防御系統(tǒng)、網(wǎng)頁防護、堡壘機、內(nèi)容審計、二代防火墻以及抗DDoS設備等。

這里需要著重注意的是密碼管理員必須與運維管理員分離。因為密碼是企業(yè)安全運維的重中之重，也可以說是企業(yè)安全運維的最后一道防線。

3.監(jiān)控及安全管理中心管理

主要包括針對企業(yè)所有信息安全設備進行日志收集及分析的安全管理中心，日志收集及分析系統(tǒng)的運維管理。

這一方面管理的日常工作也是最頻繁的，因為對于安全來說是“七分管理，三分技術”。

4.安全及運維事件管理

安全事件主要針對突發(fā)安全事件的記錄，包括信息來源、事件動機、影響范圍、事件性質(zhì)、事件發(fā)展趨勢以及采取的措施等。

運維事件主要包括信息安全項目執(zhí)行情況、廠家服務情況、信息安全年度技術執(zhí)行進展、信息安全文件管理等。

5.賬號權限管理

主要針對企業(yè)信息安全設備對外分發(fā)登錄賬號的權限控制，包括設備使用賬號、VPN賬號和堡壘機使用賬號等。

這部分賬號處理工作一定要做好賬號變更管理，需要明確賬號在過去、現(xiàn)在、未來的使用情況，以便于出現(xiàn)問題時進行回溯。

圖2 運維資產(chǎn)管理表格樣式

6.應急預案管理

主要針對“兩會”、春節(jié)、“十一”等重大公共事件期間的信息安全保障應急需求制定并進行管理。

具體要求如下：

（1）基本原則

分級負責：

按照“誰主管誰負責，誰運營誰負責”的原則，針對不同公司業(yè)務子系統(tǒng)，強調(diào)部門安全責任制，各部門應當積極支持和協(xié)助相應的應急處置工作。

果斷處置：

一旦發(fā)生網(wǎng)絡與信息安全事故，應迅速做出反應，及時啟動應急處置預案。各業(yè)務部門應盡力配合減少損失，以恢復網(wǎng)絡與系統(tǒng)運行為目標。

適用范圍：

本預案適用于企業(yè)各業(yè)務部門。

（2）組織體系

應急人員組成：

對于小型企業(yè)而言無法另外在各個部門之間抽調(diào)人員，因此建議采用固定應急處置人員，可以臨時增加問題系統(tǒng)的負責人。

主要職責：

負責應對企業(yè)網(wǎng)絡與信息安全突發(fā)事件，指導督促重要業(yè)務系統(tǒng)信息安全突發(fā)事件應急預案的修訂和完善，參與執(zhí)行并檢查落實預案執(zhí)行情況。

（3）預防預警

按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對企業(yè)各業(yè)務系統(tǒng)安全事件信息的收集、分析判斷和持續(xù)監(jiān)測。當發(fā)生網(wǎng)絡與信息安全突發(fā)事件時，按規(guī)定及時向應急小組報告，初次報告事件最遲不得超過1小時，重大和特別重大的網(wǎng)絡與信息安全突發(fā)公共事件實行態(tài)勢進程報告。

報告內(nèi)容主要包括信息來源、事件動機、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。

對于兩個小時內(nèi)無法解決的信息安全突發(fā)事件，應迅速召開信息安全應急響應會議，研究確定安全突發(fā)事件的危害等級，根據(jù)具體情況來啟動相應的應急預案，并向相關部門進行匯報。如果問題較為嚴重，本單位無法有效解決時，在經(jīng)過公司管理層同意的情況下，邀請專業(yè)信息安全廠家協(xié)同進行問題處置。

（4）實際應急預案舉例

企業(yè)網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論時的應急預案：

a)突發(fā)事件應急預案

網(wǎng)站、網(wǎng)頁由負責網(wǎng)站維護的管理員隨時監(jiān)控信息內(nèi)容。

發(fā)現(xiàn)在公司網(wǎng)站出現(xiàn)非法信息時：

圖3 應急預案負責人樣表

網(wǎng)站管理員應立即向部門主任及公司總工程師通報情況；

必須作好記錄，包括被篡改頁面、惡意登錄信息等，之后清理非法信息，采取必要的安全防范措施，將網(wǎng)站、網(wǎng)頁重新投入使用；

如果事態(tài)嚴重導致無法清理非法信息，或者重要網(wǎng)站服務器密碼被更改無法登錄，應直接采用斷網(wǎng)措施，再按程序報告。

網(wǎng)站管理員應妥善保存有關記錄、日志或?qū)徲嬘涗洠瑢⒂嘘P情況向部門主任及公司總工程師匯報，并及時追查非法信息來源。

b）應急預案負責人

登記樣表可參考如圖3所示樣例。

c）企業(yè)網(wǎng)站突發(fā)事件應急中斷處置

如果公司網(wǎng)站出現(xiàn)服務器被惡意鎖死而無法登錄，同時公司網(wǎng)站頁面也被篡改，則只需要將下面任一條綠線拔出，以中斷公司網(wǎng)站連接。

具體位置在數(shù)據(jù)機房A7設備柜(需要拍攝具體圖片，標注需要中斷線路)。

7.備份與恢復管理

針對不同業(yè)務系統(tǒng)所包含的防火墻、交換機、安全設備的配置信息進行定期記錄和分揀。

對于備份而言，可以存在自動備份系統(tǒng)跟手動備份。一般企業(yè)為了方便起見，均采用自動備份，但是本文中所要求的備份均為手動備份。

8.日常報表管理

針對不同業(yè)務系統(tǒng)定期出具信息安全相關日志歸結(jié)報表。由于日常報表主要工作是用于工作匯報，因此可以與公司安全域劃分為基礎進行分域情況匯報，也有利于安全問題的總結(jié)。

第二部分控制點分項

1.安全設備應用管理

主要針對不同業(yè)務系統(tǒng)使用相應信息安全設備時，不同的應用配置管理。

2.網(wǎng)絡安全管理

主要針對不同業(yè)務系統(tǒng)內(nèi)部網(wǎng)絡拓撲結(jié)構，信息安全設備部署位置，包括防入侵，網(wǎng)頁防護、邊界防護、抗DDoS等。

3.主機系統(tǒng)安全管理

按照統(tǒng)一的信息安全基線管理，主要針對不同業(yè)務系統(tǒng)內(nèi)部主機的操作系統(tǒng)的配置核查及漏洞掃描，并進行相應的漏洞修補信息記錄。

企業(yè)信息安全管理平臺日常運維工作控制表

為了保證日常信息安全運維工作，可以做量化指標并有利于日常工作的分發(fā)，同時可以實現(xiàn)對日常安全運維工作的監(jiān)督和控制。對日常運維表單中各分項目更新日期可以做如下規(guī)定，以備查詢控制，具體樣表如圖4所示。

1.信息安全月或季報

更新頻率：每月或每個季度一次。

更新日期：次月或次季度第一天，如有延遲需要在次月或次季度第一個星期內(nèi)完成。

圖4 日常運維工作控制表樣表

更新內(nèi)容：包括所有納入信息安全管理平臺的業(yè)務系統(tǒng)。

2.平臺賬號權限管理

更新頻率：每個月一次。

更新日期：每個月第三個星期第一天完成，如果有延遲，則需要在本星期之內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺業(yè)務探針。

3.安全運維資產(chǎn)自查

更新頻率：每兩個月一次。

更新日期：每雙數(shù)月的最后一天完成，如果延遲，則需要在次月的第一個星期內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺業(yè)務探針。

4.配置備份

更新頻率：每兩個月一次。

更新日期：雙數(shù)月最后一天，如有延遲需要在次月第一個星期內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺業(yè)務探針。

5.業(yè)務探針密碼更替

更新頻率：每六個月一次。

更新日期：每一、七月第二星期完成，如有延遲需要在第二個星期內(nèi)完成。

更新內(nèi)容：包括所有的信息安全管理平臺業(yè)務探針。

6.應急預案復查

更新頻率：每六個月一次。

更新日期：逢重要節(jié)日、會議前兩個星期開始復查（必須完成）。

更新內(nèi)容：包括所有信息安全管理平臺涉及的業(yè)務系統(tǒng)。