本帖最后由 julianchen 于 2017-9-28 17:27 编辑 亲爱的朋友们,你们能分得清哪个图是朝阳,哪个图是夕阳吗?Anyway,希望您已经为即将到来的8天长假做好了出行“被虐”准备。我等你们的摄影大赛的“投稿”哦。以下是节前的最后一篇,但是这个系列的第一篇哦。
话说AC初创公司凭借各种“风口”机会越做越大、越做越强。如今,老板已将市场拓展到了海外,即将成为一家美国公司的“御用”合作商。可是就在与该老牌美帝企业签署合作备忘录的前夕,AC公司就收到了对方IT部门发过来的一份合作企业信息管控需求问卷,其问题主要涉及的是企业运营与可能合作时的各种信息安全管控问题。
面对这份“金光闪闪”的全英文Excel表格,AC公司大胆接招,为这张国际通用的入场券专门成立了以信息安全经理挂帅的项目组。大家先后开展了访用户、钻机房、登设备、查线路、测数据等活动,经历了半个月的“摸爬滚打”和彻底梳理后,终于拿出了一份针对信息安全管控实务的“点对点”应答。下面就让我们一起来观瞻一下吧。
HARDWARE
Computer Room or DataCenter
Question:
- Is access to facilities where data is stored, or processed restricted to authorized personnel only?
- Are visitors required to sign-in when they enter facilities?
- Does video surveillance of computer room and perimeter entrances exist?
- If a data center is used, does it meet any telecommunication standards?
Answer:
- 服务器或数据中心机房安装了机械或电子锁,并保持常锁状态。开锁的权限仅掌握在有限数量的人员手中。
- 进出机房都有纸质的或电子的记录。
- 机房应配备有架空防静电地板、7×24小时空调、UPS、安全摄像头、以及智能配线架等。
- 对于托管的数据中心,则具备有基于ITIL的服务管理,包括7×24小时监控、双路供电和双路上网线路接入,以及适当的发电设备。这些都参照了ISO27011:2008等机房相关的标准。
User Computer
Question:
- Are unified OS images and software (including anti-virus) installed on user computers?
- Can users modify the security characteristics of the platform, operating system, and security products?
- Can virus or malicious software easily compromise user computers?
- Are user computers vulnerable with group unified settings or have unsecure and open configurations?
Answer:
- 统一将具有服务支持(如MS)的企业定制的操作系统镜像安装到了用户电脑上。
- 通过组策略( Group Policy)禁止用户擅自修改系统设置、禁止用户擅自安装软件,并且启用规定时间无使用的自动锁屏。
- 浏览器里的代理设置可以被用户临时修改,但会在下一次登录时自动恢复。不过,用户无法修改浏览器的安全和隐私设置。
- 预安装防病毒软件且锁定,以使用户无法禁用或终止其守护进程。
- 用户不可以本地管理员身份登录电脑,无写入或修改系统注册表的权限,也无法将电脑退出企业的域或修改加入到其他域。
- 通过信息资产配置管理工具(如SCCM)对企业内用户电脑进行统一的注册、更新、修改和信息收集等管理。
- 用户端硬盘启用加密,以保证如笔记本电脑之类的设备丢失时硬盘上的文件机密性。
Server
Question:
- Are unified OS images and software (including anti-virus) installed on servers?
- Are default system accounts (e.g., guest, administrator) disabled or renamed upon initial system build?
- Are new systems and devices (e.g., systems, networks, applications, databases, etc.) configured with current security updates/patches and hardened before being put into production?
- Is there an inventory of hardware assets with all assets tracked by a unique identifier such as an asset control tag or serial number?
Answer:
- 统一将具有服务支持(如MS等)的操作系统镜像安装到服务器上。
- 预安装企业版的防病毒软件并实现集中管理和更新。
- 根据标准化服务器的安装检查表来进行操作并逐步核对。
- 及时测试、审核并给相关服务器打上补丁。审查更新系统的报告,以确认完成。
- 服务器在初始安装的时候予以安全加固;对于处于非军事区(DMZ)的外部服务器则有更多的加固设置,包括删除和重命名默认管理员帐号等。
- 企业里所有服务器都登记到了一个全量的列表中,此表根据服务器的硬件类型、服务功能和使用范围进行分类。
AC公司增加项:移动设备
- 任何移动设备连接到企业邮箱时必须通过认证。
- 在设备丢失时,IT服务台通过MDM系统可远程锁定或擦除设备上的数据。
- 启用了设备自动锁屏等安全策略。
Software:
Application
Question:
- Is there an inventory of application and software assets with all assets tracked by a unique identifier such as a serial number?
- Is there any documented policies that prohibit the installation of unauthorized hardware or software?
- Is there a unified password management or Single Sign On for applications?
Answer:
- 针对不同的应用程序,设置不同的用户组。
- 将各种应用程序的登录方式统一为单点登录(SSO),以实现用户账号权限的自动匹配。
- 对于企业里所用到的所有应用程序应该有一个全量的列表,此表应根据程序功能和使用范围进行分类。
- 每一种应用应该在表中具有版本号、许可证、交付方式、类别、基本描述、以及是否外网可用等特征项。
- 能够提供出数据是如何在本企业的各个应用及系统之间进行流转的图表(如下图所示),方便了IT部门或helpdesk(服务台)对各个应用的协同工作状态和数据的走向有个宏观的认识,以及在出现系统或服务故障时,能够清晰的识别并标注出问题的环节。
AC公司增加项:文档及其管理平台
- 各类工作文档被存放在指定的共享目录下、网络盘里、以及导入到专门的文档管理与协作平台,而非电脑的本地磁盘上。
- 用户存储文档时,默认情况下为公开属性(public),如有需要可以添加相关安全设置,包括:私有(private)属性、可以访问的用户与组、以及读/写/改/删等权限。
- 管理平台持续记录用户对文档的任何访问操作,此类记录日志不可被删除。
- 管理平台能够对批量删除/转发/导出等不合规的操作行为予以报警。