@风铃
2年前 提问
1个回答

安全基础薄弱企业搭建安全基础框架会出现哪些问题

Andrew
2年前

安全基础薄弱企业搭建安全基础框架会出现以下问题:

  • 安全策略实施自下而上而非自上而下:信息安全管理策略一定要自上而下。管理层不重视,各个部门配合不积极,安全策略实施过程中会遇到巨大的困难。有些企业实施安全策略是为了“面子工程”,例如审查需要、资本要求等等。尽管这样的企业不肯承认,但实际上它们大多不愿在信息安全上花费金钱与精力,“只要过等级保护就行了”这样的想法让很多企业的信息安全形同虚设。我见过太多企业临近年度审计的时候在疯狂的作假日志记录,做假备份的。从投资效益上讲,即然已经花钱买了设备了,为什么不用起来呢?即然已经花钱做安全了,为什么不切实得到一些效果呢?而且信息安全管理会带来很多正向的影响。

  • 信息安全管理制度不清晰:导致安全部门缺乏统一的行动方向,达不到预期目标。

  • 信息安全管理制度过于严苛:过于严苛的管理制度在信息安全基础薄弱的企业会遭遇很强的抵触情绪,在安全基础建设的初期阶段,管理制度应当集中精力解决关键业务上的严重风险和容易解决的风险。用有限的资源尽量多办事。

  • 安全责任不明确:安全责任一定要明确,否则会出现互相扯皮的现象——安全人员指责业务不遵守制度;业务指责安全人员没有尽到监管义务。不可将安全责任全部放在一个部门或者某个人身上,应当分摊到安全部门和业务部门上。即出现安全问题,业务部门如果没有遵守安全规定,应当承担主要责任;业务部门如果遵守了安全规定,安全部门应当承担主要责任,业务部门应当适当承担次要责任,因为安全部门不可能完全了解业务部门的详细内容,如果业务中有安全隐患,安全部门由于人力和能力的限制而不能发现安全隐患,共担责任会迫使业务部门主动提出改进意见交由安全部门评估,避免“甩锅”的事情。

  • 账号管理混乱:特殊权限账号一定要进行严格控制,严禁非生产类账号(员工账号,管理员账号等)共享。对于管理中的例外情况,要定期审计,检查是否仍需要例外。对账号权限定期审计,检查账号权限是否遵循最小化原则。制定密码策略,严禁弱密码。

  • 缺乏控制访问或者访问策略混乱:对办公网络环境应当进行区域划分,避免病毒一次感染大量设备。建设访客网络,搭建认证机制。对办公网络做上网行为管理和访问权限的控制。机房进出要严格把控,机房内不得存放杂物。

  • 缺乏安全基线:安全基线可以由CIS等组织免费获取,对企业设备实施统一部署,集中管理,AD DC方式或者其他第三方管理工具。对企业设备配置安全基线,配置安全基线时要注意是否符合企业现状,以CIS上的安全基线为例,L1级是指大多数企业会启用的配置,L2是指会对用户有明显使用上的阻碍的配置。根据企业的资产分类,关键资产应当适当严格,而对于普通资产应当根据实际情况放宽。以我的经验,很多公司能把L1级的安全基线启用70%就很了不起了。

  • 员工不愿遵守安全管理制度:一般出现这种情况有两种原因,一是过于苛刻,影响了业务的发展;二是员工安全意识薄弱,觉得这些安全策略就是找茬。对于第一种情况,应当及时进行调研并进行改进,但要有底线,例如特权账号随意使用的情况或者弱密码的情况,这个是要绝对禁止的。对于第二种,要定期进行安全宣贯。

企业信息安全的管理方法有以下这些:

  • 信息安全可以建立、采取有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏,保障信息系统能够连续、正常运行。一个安全有效的计算机信息系统可以同时支持机密性、完整性、可控性、可用性这四个核心安全属性,除了有效的技术支持,企业对于信息安全的管理与防范方面也是尤为重要的,以下分别从四个核心的安全属性来详细说明。

  • 信息的机密性要求数据不被外泄或被他人利用其特性。原本系统本身很难保证数据在传输过程中不被非授权者访问,所以我们对于一些重要的文件需要进行加密处理。对于企业而言,外部人员要想访问内部系统时,一定需要领导授权,授权后的访问权限也要有所限制,即便被不怀好意的人用非法手段获取了一些文件数据,没有密钥也是无济于事的。其次对于内部员工也要有权限的限制,还要签订负法律责任的保密协议。

  • 完整性就需要保持数据原有的特性,存储器中的数据或经网络传输后的数据,必须与传输前的数据在内容与形式上保持一致,保证信息系统上的数据没有受损,使数据不会因为有意或者无意的事件被改变或者被破坏。负责企业信息安全的网络部门需要制定一些故障应急方案和预防性措施,服务器可结合金笛短信平台建立报警系统,如有异常可第一时间发现并及时处理。

  • 数据的可用性要求非授权访问者不能占用所有的资源而阻碍授权者的工作,需要时随时可以取得数据,访问资源,是网络设计和安全的基本目标。企业的员工拥有各自的账号与密码,在登陆系统时都需要自己的手机短信验证码,确保万一本人密码遗失,他人无短信验证码同样无法登陆,从而也确保了账号的安全性。

  • 数据的可控性是指可以控制授权范围内的信息流向以及行为方式。在企业内部,首先针对员工岗位的不同,设定不同的操作权限,访问不同的系统模块,这一点就是通过访问控制和授权来实现的。其次,每个员工都有固定的工号,在员工离职后就会立即收回此工号的所有权限,防止资料外泄。