字數 3685閱讀 1029評論 0贊 3
前言:
隨著信息化的高速發展,越來越多的政府,企業把更多的業務放在了互聯網上,同樣,也暴露出越來越多的安全問題。隨著信息安全等保制度2.0時代的到來,也預示著國家對信息安全越來越重視。
但是面對這信息等保的規范標準,作為系統運維人員,都要做那些呢。一直依賴我們都清楚如何做會安全,但又是什么原因使得我們都沒有這么做呢。究竟這樣的安全規范標準能不能幫我們打造出一個堅不可摧的信息化系統。
本次活動的主旨就是和大家共同討論信息系統中如何有效的構建安全防護體系,如何規范安全制度,如何讓制定的安全制度落地,形成有效的規范制度來保護系統安全。讓大家了解新的信息等保標準,如何修補系統中的安全漏洞,減少安全風險。本次活動主要包含:如何保證信息安全?如何建立適合自己的信息安全系統?怎樣亡羊補牢,補救出現問題的系統? 你在使用哪些安全產品?等幾方面
說一說你看到的安全隱患
前端時間了解了針對工業控制系統的勒索病毒,和廠家做了些技術交流,也想到了一些我身邊存在的隱患和大家分享一下。
在鋼鐵制造業中,有很多工業控制系統,它們的系統架構并不復雜,有的甚至就是一臺服務端。兩三臺工控機做客戶端,系統多種多樣。有LINUX,windows,有些windows還必須是英文版,受限與工業控制系統的廠家,很多時候我們對這些系統都沒有能力去整合,和規劃,它們存在的環境也都相對獨立,分散,很多都不接入互聯網,但就是這樣的環境,往往控制著幾千萬甚至上億的工業設備,一旦這些系統出現故障,那造成的損失將是非常巨大的。也就是在這樣的環境中。存在著以下嚴重的問題:
- 這些系統的使用者并非IT人員,而是生產控制人員,他們所了解的多半是關于這些系統里的工業控制參數,而這些系統也往往隨著一個大型制造設備的建立而上線,很多時候這些系統上線并不經過常規的信息化公司或者信息化部門去跟進。上線后也沒有人運維,其實這種情況同樣也存在與其他的事業單位,政府機關等等。這樣就造成了一個問題,運行一段時間后。系統沒有了維保。整套設備開始處于一個無人管理的狀態。沒有人維護,巡檢,更換硬件,等硬件老化到一定程度,整套系統可能沒有任何更新升級的余地了。
- 工業控制系統中的終端都是一些工控機,由于不聯網,很多都沒有殺毒等安全防護手段,有時候一些U盤的接入就讓這種孤立的系統被帶入病毒,而導致整個系統出現問題,而使用這些工控終端的使用者又有很多對計算機,信息安全缺少認知,很多系統沒有密碼或者是只有非常簡單的密碼,這也就讓這些工控終端成為了系統中薄弱的安全點。
- 工業控制系統多半只是控制一些工業閥門,電路,系統出現的一些問題,例如內存,cpu利用率增高,被植入木馬,病毒等情況并不能會像信息系統一樣被及時的發現。因而也為即使發現,處理病毒帶來了一定的困難。
系統安全
如果要上一套新系統有什么安全要求
如果公司要上一套業務系統,比如OA、SAP等,對于安全方面,有什么要求,安全部門需要什么?
答1:
- 一般來說我覺得安全應該從一個整體去考慮。而不是淡淡為某一套業務服務的,如果說要為一套獨立的業務系統進行安全考慮。我想我會從以下部分考慮。
- 應用代碼安全,數據庫加固調優,。系統加固,這些是最基本的,也是不需要投資的。只是需要工程師的經驗和技術。
- 系統層面的殺毒,安全防護,這部分投資也不高。整體系統的殺毒也算是基本的安全需求了。
- 針對業務層面的安全,web安全網關,反垃圾郵件,審計設備,這些需要一些投資。可以來彌補工程師技術上的不足。產品眾多。需要仔細甄別。最好做測試,對比,
- 備份系統,容災系統。用來保證系統一旦出現安全事故后還有應急的解決方案。
- 環境安全。針對一些特殊情況。比如機房電力。空調。消防,防水,地板加固等情況的考慮。防止機房環境發生安全事故。
答2:
1.我感覺取決與你們公司的業務,如果我推薦那就太多了,你們可能也用不了。
2.網絡方面要上防火墻,業務方面就加行為管理方面的設備就可以
以上是以一個日常使用就可以的,以下是從各方面考慮。
(1)合法用戶可以安全地使用該系統完成業務;
(2)靈活的用戶權限管理;
(3)防止來自于Internet上各種惡意攻擊;
(4)保護系統數據的安全,不會發生信息泄漏和數據損壞;
(5)業務系統涉及各種訂單和資金的管理,需要防止授權侵犯;
(6)業務系統直接面向最終用戶,需要在系統中保留用戶使用痕跡,以應對可能的商業訴訟等。
(7)數據的備份
如何做到以上呢?
- 在原有業務系統網段中安裝桌面安全管理系統和CA系統
- 在原有業務系統網段中設置代理服務器或使用IPSec VPN網絡設備通信
- 在原有業務系統與Internet互連的邊界上,增加隔離網閘和上網行為管理設備
- 在原有業務系統與Internet互連的邊界上,增加防火墻和入侵防護系統-
- 異地備份數據,定時備份系統
如何形成一種標準化漏洞管理體系
看了大家在論壇里的提問,大致是預防和處理安全漏洞等,安全漏洞讓所有人深惡痛絕。在遇到漏洞打補丁,升級版本的問題上,挑戰著攻城獅和維護人員的耐心,經常出現進退兩難、左右不是。想到這里,咱們論壇里的高人是否可以給出一個標準化流程,遇到這樣的問題,大家照著流程走,解放全世界。
的確。安全漏洞擺在那里。不處理不行,但是升級補丁有風險,升級程序可能有BUG,確實是進退兩難
結合我們自身的情況發表一點自己的看法吧。
其實安全規范并沒有錯。漏洞也確實應該去做。這本沒有什么好猶豫的。如今為什么運維人員都對這種本該做的事望而卻步。我想原因不外乎幾點。
- 行政,管理制度問題,沒有人去為可能出現的風險擔責。工程師往小了說維護的只是幾臺設備而已,但往大了說。維護的可能是整個企業的信息命脈。大家都清楚這上面的數據,業務一旦出現問題后果是怎樣的。這樣大的責任。不是,也不應該完全有運維工程師來承擔。
- 缺乏完善,堅固的系統架構,因為系統的容災,備份能力不足,在沒有安全保障的情況下。更新補丁。升級程序無外乎在沒有安全帶的情況下從高空繩索中走過。相比這種事情大家做過一次便再也不會去冒第二次險了。
- 權衡利弊,以目前的情況分析。維持現狀的安全性要高于修補漏洞的安全性。這也是讓很多工程師維持現狀的原因。
想要形成好的規范。定期修補漏洞,補丁,首先就要有完善的備份,容災手段,讓你的錯誤可以有其他彌補手段,其次要有高層領導的支持,不能出了問題就由干活的人背黑鍋。至于標準化。不僅僅是一套升級補丁的流程,還包括各個方面。申報的備件是否即使購買。申請修改的系統結構是否得到支持,是否有良好的后備技術支持,領導對于安全的重視程度。這些都會決定這安全流程的實施效果。
一般企業應急事件如何處理,應急預案是如何做的?
在企業內部,安全體系建設到一定程度,就需要出臺安全事件應急事件的處理和應急預案,一般這種應急預案如何設計和開展?
以我們現有的環境來說。所謂應急預案只是使用現有的條件下出現各種安全問題的臨時處置方案,大概包括:
- 網絡設備,由于部分網絡設備沒有替換硬件,比如上網行為管理,計費等設備,所以要整理出來這些設備出現故障,又沒有硬件更換時候怎樣去臨時恢復業務,
- 服務器,包括服務器的系統或硬件的損壞,怎樣將現有的業務在最短的時間內恢復回來。做了虛擬化以后這部分就簡單了一些。
- 大規模的安全事件,比如病毒爆發,根據以往的經驗制定的如果出現大規模的網絡問題,怎樣去應急處理,然后查找問題。
- 雖然暫時制定了遠程數據備份的方案,但條件不滿足。現在暫時也并沒有完全實施起來。
這其中還沒有陳列出機房環境問題的應急預案,比如機房電力,空調,還有受其他自然災害影響后的預案,因為如果出現這樣的問題。我們現有的資金和環境就真的無能為力了
。
不過一個正常的應急預案應該要做的更全面,更穩妥一些,根據你的業務重要性,數據重要性來有所側重,建立一個完善的應急預案,最終的目標就是你的任何一個網絡設備,服務器,應用系統,甚至是機房出現了意外,你都有相對的處置方案來盡可能少的減少帶來的損失。
安全等保和ISO27000認證的必要性和兩者的區別
做安全等保和ISO27000 安全認證的必要性是什么,是否和單位類型有關,比如政府、金融和上市企業,其它企業單位是否必須要做這塊,如果要做,是否只過其中一個就可以了?
1、等級保護和ISO27001的必要性:
等級保護目前是國家推薦的安全防護標準,他是針對單個應用系統的重要性,分級別進行保護,目前主要還是政府、國企類的在做。
ISO27001是國際信息安全標準,對信息安全的要求、范圍都比等級保護要來的高,標準的整體性更好(這一點上等級保護標準遠遠不如)。且ISO27001提到的風險評估在等級保護里不存在。
2、如果要做選哪一個:
看自身情況,如果只是為了滿足政府監管要求,那只要做等級保護。如果是為了提高自身的實際信息安全水平,肯定是參照ISO27001做更好。