黑客业务

【51CTO.com我不知道你是否注意到这样的现象：虽然我们近年来越来越重视和投资信息安全，但安全攻击和破坏事件并不少见。更不用说攻击者了“不讲武德”，我们是否通过核心技术过度堆积，盲目为数据和信息安全建设铜墙铁墙，而忽视了企业有针对性的数据安全系统的建设和实施，从而将其放入未知“盲盒”中。

以特别注重数据安全的咨询行业为例“人、货、场”有针对性针对性地与您讨论，如何调动不同人员的功能，在具体的使用场景中，逐步建立和实施安全系统架构，促进企业数据的良性内部循环“保值”。

为方便大家理解和掌握，我为系统架构制定了以下24字公式：“找对人 - 认清物 - 细分类 - 赋权值 - 分等级 - 辨风险 - 定规则 - 审管理”。让我们逐一讨论和研究。

找对人

我们可以根据企业目前的组织结构，以数据为中心，定位各职能部门和角色，并根据需要明确其职责。

               
• 决策人员

               

对整个组织负责制定符合法律、法规和行业规范的数据安全管理战略、目标和总体要求。

               

指派、授权和指导合适的管理人员，开展日常数据管理，批准管理人员制定的数据安全策略。

               

追究和监督审计人员反馈的问题。

               
• 管理人员

               

根据企业具体业务的发展或当前项目的特点，制定数据处理的具体实施步骤。

               

定期向决策者报告数据控制情况。

               

检查和指导执行人员的日常实际工作。

               

配合审计人员顺利开展审查工作。

               
• 执行人员

               

数据安全日常工作的具体实施和实施。

               

定期向管理人员报告安全情况和各种事件。

               

接受并配合审计人员的监督和审查。

               
• 外包人员

               

按照既定合同提供约定的产品或服务。

               

定期向管理人员报告执行结果，并及时沟通任何事故。

               
• 最终用户

               

使用软、硬件和数据按照既定的处理策略。

               

及时报告所面临的数据问题。

               

接受并配合审计人员的审查。

               
• 审计人员

               

监督和审查管理人员、执行人员和最终用户的日常工作。

               

将检查结果反馈给决策者。

               

跟踪审查问题的解决方案等。

下图显示了六个人员角色之间的关系：

当然，上述人员角色是典型的组织结构。您还可以根据新的业务需求，临时规划和设计具体意图的特殊团队，及时协调、构建、改进和确保特定业务服务的数据安全水平。

认清物

如果我们找到了合适的人，我们可以通过与不同人员的沟通了解他们每天接触到的各种软硬件介质。我们通常认识到存储静态数据的有形硬件设备，处理实时数据的软件应用程序，携带动态数据的网络，包括结构化数据的数据库，存储非结构化数据的云平台，用于连续读写数据的文件系统服务器，以及用户的各种终端。

同时，为了全面、完整、直观地梳理不同数据资产的相互关系，充分利用和探索数据的价值，有利于决策，我们需要逻辑关系IT资产所属部门、项目组等主要元信息(Metadata)，以节点、属性、流向为网结状结构的关系图表进行发现和完善。

另外，在实际梳理过程中，我们可以使用射频识别(RFID)、以及二维码(QR code)等技术，应用“自动化工具发现 手动输入 二次审查”现有的循环过程IT资产进行持续标记与采集。

细分类

在识别了各种有形的硬件设备和无形的软件系统后，我们需要通过手动或自动理工具的形式对它们进行分类。在这里，我们可以参考ISO27001以下安全分类方法：

当然，在实际操作过程中，我们也可以根据项目类型、客户类型、利益冲突甚至领域互斥的维度，从业务的角度进行分析和划分。我的经验是，细分的深度不应超过三层，类别不应超过20层。

赋权值

资产梳理分类完成后，可以从信息安全的经典理论出发，充分考虑资产的机密性(C)、完整性(I)和可用性(A)缺失可能会对企业产生影响，对每一项都有影响IT资产的C、I、A三个维度赋予相应的值。在此基础上，我们根据以下公式计算资产的权重值(V)：

分等级

由于数据分配了价值，我们可以进一步控制哪些数据需要加密和存储，哪些数据需要在使用后立即清除，哪些数据只能在内部有限地使用，哪些数据可以直接向公众开放。为了达到这种效果，我们需要进一步分类数据及其相应的介质。

在具体实践中，我们可以根据企业的习惯和偏好设置不同的权重范围。在此基础上，我可以简单地划分：“高、中、低”可采用三个安全级别：“绝密、机密、隐私、敏感、开放”等待复杂的分级标准。最后，我们还需要以物理或逻辑标签的形式识别对象的准确密度。

值得一提的是，在一些保密要求非常严格的情况下，我们甚至需要在非结构化数据域中使用一些结构化数据表中的字段和键/值(K/V)，以及介质对应属性标签中的元信息，区分不同的安全级别。

辨风险

对于资产的分类和分类，我们主要梳理对象本身的安全性。由于这些对象不断被使用或提供服务，我们需要识别其企业经营环境中的各种外部威胁和内部弱点。通常，我们需要通过以下四个步骤来区分风险：

               
• 收集和识别：根据过去的记录和行业经验，召集上述不同角色的人员，使用头脑风暴、互动访谈、矩阵和图表分解来识别目标资产在现有环境中的风险特征。

               

技术层面- 软硬件介质的故障和损坏，应用系统的缺陷，恶意软件的死锁，以及网络上各种拒绝服务的攻击。

               

在支撑系统层面- 机房停电、办公区漏水、运营商网络中断等。

               

在人为层面– 访问挂马网站，各种操作错误，文件数据被误变或篡改。

               

管理层面– 缺乏人员意识，处理方法错误，规章制度不完善。

               
• 分析与评估：利用定性/定量等不同方法，从程度、范围和可能性三个维度对发现的风险进行评估和排序，然后得到风险等级矩阵。实际上，我们可以参考以下定义标准来量化风险：

               

损害的程度 – 轻微、一般、大、严重、特大等。

               

影响范围 - 整个企业、所有外部客户、多个分站点、部门、部分系统、单一服务等。

               

发生的可能性 – 可考虑物理和逻辑区域、自身容错能力、等级保护和合规标准。

               
• 应对和处置：如前所述，我们需要根据企业的风险偏好（即风险接受能力）选择和处理一般的风险减少、转移、规避和接受方法。其中，我们需要注意以下两个方面：

               

根据桶的原理，要注意处置措施的一致性，避免局部出现“短板”。

               

在区分风险所有者和控制实施者的基础上，考虑时间、预算等成本，灵活增减各种控制策略。

               
• 监控改进:我们可以使用持续监控和跟踪事件“增量”以现有的方式识别新的风险；“存量”了解管理效果和残余风险情况，然后提出纠正或改进计划。

总之，我们可以从“知己”从业务影响分析的角度出发(BIA)，同时从“知彼”借用各种风险评估(RA)确保风险管理的实施，为必要时的全面复盘做好基本准备。

定规则

当然，以往的风险识别和控制主要由决策者和管理者共同完成。对于执行人员和外包人员，我们需要通过一套完整的规章制度来指导他们的日常工作，并规范他们的数据处理行为。也就是说，企业作为安全系统的重要组成部分，需要制定全面、适当、明确的安全执行计划和标准，妥善控制企业内部信息和流出的各种重要数据。同时，我们还应确保整个操作过程能够继续遵守该地区的法律法规。

为了让您有一个直观的概念，我将列出企业遵守的典型数据系统管理和实施细则：

硬件

               
• 用户电脑

               

仅使用安装企业统一定制操作系统镜像，访问和处理工作中的相关数据。li>

通过组策略(Group Policy)禁止用户擅自修改系统环境和安全设置，并使用自动锁屏等功能。

               

禁止用户修改浏览器代理、隐私等安全设置。

               

恶意软件防护工具的预安装，使用户无法禁止其防护过程。

               

普通用户登录账户不应具备本地管理员的权限，既不能写入或修改系统注册表，也不能退出或修改企业的域控。

               

统一更新、修改和收集用户一更新、修改和收集信息。

               

通过启用硬盘加密功能，来保证设备在丢失或被盗时，文件的机密性得以保障。

               
• 服务器

               

满足安全基线的操作系统镜像统一安装。

               

企业级恶意软件防护工具预安装，集中管理更新。

               

通过删除和重命名默认管理员账号来加强服务器。

               

统一更新、修改和收集服务器通过管理工具。

               
• 移动设备

               

在连接到企业邮箱之前，任何移动设备都必须通过认证。

               

可通过移动设备进行管理(MDM)远程锁定或擦除丢失设备上的数据。

               

默认启用自动锁屏、强锁屏密码等安全策略。

               
• 机房

               

安装能保持常锁状态的门禁系统，开锁权限仅限于部分人员。

               

进出机房要有记录。

               

机房应配备架空防静电地板。7×24小时空调、不间断电源、安全摄像头等。

               

托管数据中心应参考ISO27011配备相关标准7×24小时监控、双路供电和主从DNS双线制等，ITIL管理服务类型。

软件

               
• 应用程序

               

为不同的应用程序设置不同的用户和组，以及不同的访问权限。

               

单点登录(SSO)统一各种应用，实现用户账户权限的自动匹配。

               

根据程序的功能和使用范围，制定所有应用程序的全列表，包括类别、基本描述、版本号、许可证、获取方式等信息。

               

在内部应用程序(或系统)之间流通某些数据的用例图(如下图所示)。

               
• 文件及其管理平台

               

建议将工作相关文件存储在指定的共享目录中，而不是用户计算机的本地磁盘；将客户或特定项目的相关文件引入特定的合作管理平台。

               

除了指定文档在存储过程中公开外，(Public)或私有(Private)除属性外，还应指定具体的用户和组别“读、写、改、删”等细粒度权限。

               

持续记录和保存用户的操作日志，并通过管理平台警告不合规行为。

               
• 邮件管理

               

配备防病毒、防恶意软件、反垃圾邮件、黑/白名单、加密归档等服务。

               

对邮件的PC基于网页的客户端、移动端和邮件访问方式启用安全设置。

               

禁止用户通过手动、或自定义设置规则进行批量转发。

               

通过SaaS在断网的情况下，保持邮件系统的可用性。

网络

               
• 连网方式

               

发现并绘制网络连接设备和端口状态的详细拓扑图。

               

对各种网络连接设备采用统一接设备，集中备份各种设备的配置。

               

划分仅供外部用户以安全套接层(SSL)方式访问的DMZ区域和资源。

               

在网络边缘和接入处，扫描进出数据包的执行内容、请求特征分析、战略合规判断和跟踪记录。

               
• 无线连接

               

提供全覆盖统一ID与企业版加密连接控制。

               

允许域账户通过无线网络访问企业资源；非域用户只能访问公共资源。

数据

               
• 逻辑隔离本地和云存储空间，确保数据的物理存储符合本地区域的法律规范。
               
• 对测试、共享和发布的数据进行脱敏(Data Desensitization)和加噪，并按照ISO/IEC 27018相关标准，保护数据隐私。
               
• 采用企业级加密标准(如:AES 256 bit和TLS v1.3)，并对归档数据实施适当的保留和销毁策略。

访问

               
• 访问账号

               

基于角色的访问控制(RBAC)，实现最小特权(LUA)管理。

               

执行人员只使用特殊账户进行操作、维护和管理操作，便于跟踪和审计。

               

按职权分离(SoD)和须知(Need to know)设置不同用户组的原则。

               

对所有账户采取强密码策略。

               
• 远程接入

               

采用多因素访问认证方法。

               

允许任何设备访问基于网页的远程桌面和应用程序；只允许企业移动设备连接虚拟专用网络。

               

为外包商提供特殊账户、有限的虚拟专用网络连接和必要的应用程序。

               
• 协作平台

               

通过集中管理的合作平台，实现内外人员的沟通、合作和文件交换。

               

采用统一的内部平台，管理所有事件、问题、请求和变更。

               

使用统一的资源平台，实现对各类客户，以及项目进度的跟踪与管理。

防御

               
• 协议服务级别(SLA)制定完整的备份和恢复策略，以及恢复点(RPO)恢复时间目标(RTO)，并将备份介质离站。
               
• 使用安全信息和事件管理(SIEM)系统集中分析日志。
               
• 监控各种网络设备和服务器硬盘的利用率，以及在线状态。
               
• 制定并定期更新应急响应流程，组织相关人员进行演练。
               
• 定期对软硬件进行渗透测试，对人员进行社会工程人员的安全意识。

可以看出，上述规则包括硬件、软件、网络、数据、访问和防御、六个企业中最常见的数据流通领域，以及各种人员可以经常接触的场景。

审管理

常言道：“三分技术，七分管理。”通过理论和技术的介绍，我们逐步展示了前四个角色的基本安全体系结构。对于最终用户和审计人员，我们需要培养他们的安全意识和基本响应能力，并指导日常工作。

               
• 通过海报、电子邮件、速查手册和面对面技能培训，定期参与并获得安全和风险意识。
               
• 禁止安装并使用那些非企业认可的社交账号、即时通讯软件、以及在线文件平台。对在各大平台上发布、转发、披露本企业数据和敏感信息的行为，进行规范、限制和监控。
               
• 定期执行和参与内外审计，重视审计中发现的问题，及时整改。
               
• 参照《通用数据保护条例》(GDPR)》或网络安全法等法律法规开展的各种安全评价活动。

结语

掌握着各类敏感数据的咨询业，比其他领域更需要重视数据安全。通过上述针对安全架构的逐层讨论，希望您已经对其中涉及到的人、货、场等方面有所了解。当然，理论概念是需要实践和落地的。如果我们只注重技术的堆砌，而与业务脱钩，那么将会沦为疲于捡漏、甚至消极应对。因此，让我们以上述要点为参考，制定出属于自己企业与行业特点的可实现安全体系，一边搭建一边改进，不断迭代。常言道：“与其临渊羡鱼，不如退而结网。”让我们卷起袖子，战斗结束。

【51CTO原稿，合作网站转载请注明原作者和来源51CTO.com】