企业在安全方面最关注的其实是业务安全、数据安全与安全检查,这篇文章来讲解一下我对于等保过检的经验与建设。
不同于其他建设文章,本文会给出很多落实方面的建议与方法,希望企业可以通过这篇文章,顺利通过过检任务,并保证安全的投入成本与收益的比率。
一、管理
一个企业的安全性最终体现在管理与运营,随着安全越发受重视,企业在安全管理方面也要与时俱进。
1拓扑图
很多人把拓扑图分类到技术中,但我更愿意把拓扑图分类到管理中,因为可以通过拓扑图一目了然的知道企业中每个设备的使用,每个区域的划分都很明确,过检中过检人员第一个核对的也是拓扑图,那么拓扑图方面有什么需要注意的地方呢?
1) 标名设备品牌与型号
标名设备品牌与型号的目的是更加直观明确的看出整个体系的硬件安全情况,也方便管理,当出现厂商漏洞时可以快速进行批量补救工作,避免遗漏。还有目前个人企业没有要求国产化率,国企与事业单位已经做了相关要求,个人企业在敏感行业也要去国产化改造,比如支付过检。国产化是大趋势,这里建议后期企业建设时优先考虑国产设备,已经使用国际品牌设备的企业,建议尽早进行国产化设备改造任务与国密改
2) 标名使用区域
这里的使用区域是指物理区域,比如办公区域、业务1云区域、业务2云区域、业务3机房区域。
3) 标名业务
需要标名过检的核心业务所在位置,访问核心业务的线路,核心业务基本信息(包括服务器信息、网络信息、业务信息等)。
4) 标名隔离情况
标名业务之间的隔离情况,有些业务与业务之间是存在关联性的,这样的情况使得业务之间无法隔离,那么就需要相应的安全手段,比如访问控制等。一般是需要隔离的,在等保中虽然没有明确要求,但在支付过检中是有明确要求,支付业务必须是独立于所有业务的。
2组织结构
组织结构由二部分组成:人员结构、管理结构。
1)人员结构
这部分主要涉及到的是《信息安全组织建设管理制度》,这个文档主要记录了安全小组组成人员及任务,还有各小组之间的协同关系,最重要的是当发生情况的时候能有人通过这个制度知道该联系谁。同样各小组负责人需要制定相关的制度文档,放在管理结构中叙述。
2)管理结构
这里要讲述的管理文档就有很多了,大到《信息安全管理办法》,小到《信息安全考核办法》,无论是什么管理文档,在撰写定制时都要考虑的核心是:
(1)适用人群和岗位
(2)是否可以实现
(3)由谁监督
(4)触犯后的措施与流程
整个文档的管理在等保中分为4个类,这里后期会为大家详细讲解每一个文档,这里只做概述,下文会放出文档详单。
二、技术
在规范了管理后还要有相应的技术作为支撑,这里的技术包括设备和渗透测试,本次主要想与大家聊的其实就是这部分。
1设备
等保中会看的安全设备包括很多,比如WAF、抗DDoS、堡垒机、综合日志审计、数据库审计、IPS/IDS、杀软、漏扫等等。我们一一叙述。
1)WAF