安全漏洞頻出,信息系統(tǒng)中安全防護(hù)如何有效構(gòu)建?

字?jǐn)?shù) 3685閱讀 1029評(píng)論 0贊 3

前言:

隨著信息化的高速發(fā)展,越來(lái)越多的政府,企業(yè)把更多的業(yè)務(wù)放在了互聯(lián)網(wǎng)上,同樣,也暴露出越來(lái)越多的安全問(wèn)題。隨著信息安全等保制度2.0時(shí)代的到來(lái),也預(yù)示著國(guó)家對(duì)信息安全越來(lái)越重視。

但是面對(duì)這信息等保的規(guī)范標(biāo)準(zhǔn),作為系統(tǒng)運(yùn)維人員,都要做那些呢。一直依賴我們都清楚如何做會(huì)安全,但又是什么原因使得我們都沒(méi)有這么做呢。究竟這樣的安全規(guī)范標(biāo)準(zhǔn)能不能幫我們打造出一個(gè)堅(jiān)不可摧的信息化系統(tǒng)。

本次活動(dòng)的主旨就是和大家共同討論信息系統(tǒng)中如何有效的構(gòu)建安全防護(hù)體系,如何規(guī)范安全制度,如何讓制定的安全制度落地,形成有效的規(guī)范制度來(lái)保護(hù)系統(tǒng)安全。讓大家了解新的信息等保標(biāo)準(zhǔn),如何修補(bǔ)系統(tǒng)中的安全漏洞,減少安全風(fēng)險(xiǎn)。本次活動(dòng)主要包含:如何保證信息安全?如何建立適合自己的信息安全系統(tǒng)?怎樣亡羊補(bǔ)牢,補(bǔ)救出現(xiàn)問(wèn)題的系統(tǒng)? 你在使用哪些安全產(chǎn)品?等幾方面

說(shuō)一說(shuō)你看到的安全隱患

前端時(shí)間了解了針對(duì)工業(yè)控制系統(tǒng)的勒索病毒,和廠家做了些技術(shù)交流,也想到了一些我身邊存在的隱患和大家分享一下。

在鋼鐵制造業(yè)中,有很多工業(yè)控制系統(tǒng),它們的系統(tǒng)架構(gòu)并不復(fù)雜,有的甚至就是一臺(tái)服務(wù)端。兩三臺(tái)工控機(jī)做客戶端,系統(tǒng)多種多樣。有LINUX,windows,有些windows還必須是英文版,受限與工業(yè)控制系統(tǒng)的廠家,很多時(shí)候我們對(duì)這些系統(tǒng)都沒(méi)有能力去整合,和規(guī)劃,它們存在的環(huán)境也都相對(duì)獨(dú)立,分散,很多都不接入互聯(lián)網(wǎng),但就是這樣的環(huán)境,往往控制著幾千萬(wàn)甚至上億的工業(yè)設(shè)備,一旦這些系統(tǒng)出現(xiàn)故障,那造成的損失將是非常巨大的。也就是在這樣的環(huán)境中。存在著以下嚴(yán)重的問(wèn)題:

  1. 這些系統(tǒng)的使用者并非IT人員,而是生產(chǎn)控制人員,他們所了解的多半是關(guān)于這些系統(tǒng)里的工業(yè)控制參數(shù),而這些系統(tǒng)也往往隨著一個(gè)大型制造設(shè)備的建立而上線,很多時(shí)候這些系統(tǒng)上線并不經(jīng)過(guò)常規(guī)的信息化公司或者信息化部門去跟進(jìn)。上線后也沒(méi)有人運(yùn)維,其實(shí)這種情況同樣也存在與其他的事業(yè)單位,政府機(jī)關(guān)等等。這樣就造成了一個(gè)問(wèn)題,運(yùn)行一段時(shí)間后。系統(tǒng)沒(méi)有了維保。整套設(shè)備開(kāi)始處于一個(gè)無(wú)人管理的狀態(tài)。沒(méi)有人維護(hù),巡檢,更換硬件,等硬件老化到一定程度,整套系統(tǒng)可能沒(méi)有任何更新升級(jí)的余地了。
  2. 工業(yè)控制系統(tǒng)中的終端都是一些工控機(jī),由于不聯(lián)網(wǎng),很多都沒(méi)有殺毒等安全防護(hù)手段,有時(shí)候一些U盤的接入就讓這種孤立的系統(tǒng)被帶入病毒,而導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)問(wèn)題,而使用這些工控終端的使用者又有很多對(duì)計(jì)算機(jī),信息安全缺少認(rèn)知,很多系統(tǒng)沒(méi)有密碼或者是只有非常簡(jiǎn)單的密碼,這也就讓這些工控終端成為了系統(tǒng)中薄弱的安全點(diǎn)。
  3. 工業(yè)控制系統(tǒng)多半只是控制一些工業(yè)閥門,電路,系統(tǒng)出現(xiàn)的一些問(wèn)題,例如內(nèi)存,cpu利用率增高,被植入木馬,病毒等情況并不能會(huì)像信息系統(tǒng)一樣被及時(shí)的發(fā)現(xiàn)。因而也為即使發(fā)現(xiàn),處理病毒帶來(lái)了一定的困難。

系統(tǒng)安全

如果要上一套新系統(tǒng)有什么安全要求

如果公司要上一套業(yè)務(wù)系統(tǒng),比如OA、SAP等,對(duì)于安全方面,有什么要求,安全部門需要什么?

答1

  1. 一般來(lái)說(shuō)我覺(jué)得安全應(yīng)該從一個(gè)整體去考慮。而不是淡淡為某一套業(yè)務(wù)服務(wù)的,如果說(shuō)要為一套獨(dú)立的業(yè)務(wù)系統(tǒng)進(jìn)行安全考慮。我想我會(huì)從以下部分考慮。
  2. 應(yīng)用代碼安全,數(shù)據(jù)庫(kù)加固調(diào)優(yōu),。系統(tǒng)加固,這些是最基本的,也是不需要投資的。只是需要工程師的經(jīng)驗(yàn)和技術(shù)。
  3. 系統(tǒng)層面的殺毒,安全防護(hù),這部分投資也不高。整體系統(tǒng)的殺毒也算是基本的安全需求了。
  4. 針對(duì)業(yè)務(wù)層面的安全,web安全網(wǎng)關(guān),反垃圾郵件,審計(jì)設(shè)備,這些需要一些投資。可以來(lái)彌補(bǔ)工程師技術(shù)上的不足。產(chǎn)品眾多。需要仔細(xì)甄別。最好做測(cè)試,對(duì)比,
  5. 備份系統(tǒng),容災(zāi)系統(tǒng)。用來(lái)保證系統(tǒng)一旦出現(xiàn)安全事故后還有應(yīng)急的解決方案。
  6. 環(huán)境安全。針對(duì)一些特殊情況。比如機(jī)房電力??照{(diào)。消防,防水,地板加固等情況的考慮。防止機(jī)房環(huán)境發(fā)生安全事故。

答2

1.我感覺(jué)取決與你們公司的業(yè)務(wù),如果我推薦那就太多了,你們可能也用不了。

2.網(wǎng)絡(luò)方面要上防火墻,業(yè)務(wù)方面就加行為管理方面的設(shè)備就可以

以上是以一個(gè)日常使用就可以的,以下是從各方面考慮。

(1)合法用戶可以安全地使用該系統(tǒng)完成業(yè)務(wù);

(2)靈活的用戶權(quán)限管理;

(3)防止來(lái)自于Internet上各種惡意攻擊;

(4)保護(hù)系統(tǒng)數(shù)據(jù)的安全,不會(huì)發(fā)生信息泄漏和數(shù)據(jù)損壞;

(5)業(yè)務(wù)系統(tǒng)涉及各種訂單和資金的管理,需要防止授權(quán)侵犯;

(6)業(yè)務(wù)系統(tǒng)直接面向最終用戶,需要在系統(tǒng)中保留用戶使用痕跡,以應(yīng)對(duì)可能的商業(yè)訴訟等。

(7)數(shù)據(jù)的備份

如何做到以上呢?

  1. 在原有業(yè)務(wù)系統(tǒng)網(wǎng)段中安裝桌面安全管理系統(tǒng)和CA系統(tǒng)
  2. 在原有業(yè)務(wù)系統(tǒng)網(wǎng)段中設(shè)置代理服務(wù)器或使用IPSec VPN網(wǎng)絡(luò)設(shè)備通信
  3. 在原有業(yè)務(wù)系統(tǒng)與Internet互連的邊界上,增加隔離網(wǎng)閘和上網(wǎng)行為管理設(shè)備
  4. 在原有業(yè)務(wù)系統(tǒng)與Internet互連的邊界上,增加防火墻和入侵防護(hù)系統(tǒng)-
  5. 異地備份數(shù)據(jù),定時(shí)備份系統(tǒng)

如何形成一種標(biāo)準(zhǔn)化漏洞管理體系

看了大家在論壇里的提問(wèn),大致是預(yù)防和處理安全漏洞等,安全漏洞讓所有人深惡痛絕。在遇到漏洞打補(bǔ)丁,升級(jí)版本的問(wèn)題上,挑戰(zhàn)著攻城獅和維護(hù)人員的耐心,經(jīng)常出現(xiàn)進(jìn)退兩難、左右不是。想到這里,咱們論壇里的高人是否可以給出一個(gè)標(biāo)準(zhǔn)化流程,遇到這樣的問(wèn)題,大家照著流程走,解放全世界。

的確。安全漏洞擺在那里。不處理不行,但是升級(jí)補(bǔ)丁有風(fēng)險(xiǎn),升級(jí)程序可能有BUG,確實(shí)是進(jìn)退兩難

結(jié)合我們自身的情況發(fā)表一點(diǎn)自己的看法吧。

其實(shí)安全規(guī)范并沒(méi)有錯(cuò)。漏洞也確實(shí)應(yīng)該去做。這本沒(méi)有什么好猶豫的。如今為什么運(yùn)維人員都對(duì)這種本該做的事望而卻步。我想原因不外乎幾點(diǎn)。

  1. 行政,管理制度問(wèn)題,沒(méi)有人去為可能出現(xiàn)的風(fēng)險(xiǎn)擔(dān)責(zé)。工程師往小了說(shuō)維護(hù)的只是幾臺(tái)設(shè)備而已,但往大了說(shuō)。維護(hù)的可能是整個(gè)企業(yè)的信息命脈。大家都清楚這上面的數(shù)據(jù),業(yè)務(wù)一旦出現(xiàn)問(wèn)題后果是怎樣的。這樣大的責(zé)任。不是,也不應(yīng)該完全有運(yùn)維工程師來(lái)承擔(dān)。
  2. 缺乏完善,堅(jiān)固的系統(tǒng)架構(gòu),因?yàn)橄到y(tǒng)的容災(zāi),備份能力不足,在沒(méi)有安全保障的情況下。更新補(bǔ)丁。升級(jí)程序無(wú)外乎在沒(méi)有安全帶的情況下從高空繩索中走過(guò)。相比這種事情大家做過(guò)一次便再也不會(huì)去冒第二次險(xiǎn)了。
  3. 權(quán)衡利弊,以目前的情況分析。維持現(xiàn)狀的安全性要高于修補(bǔ)漏洞的安全性。這也是讓很多工程師維持現(xiàn)狀的原因。

想要形成好的規(guī)范。定期修補(bǔ)漏洞,補(bǔ)丁,首先就要有完善的備份,容災(zāi)手段,讓你的錯(cuò)誤可以有其他彌補(bǔ)手段,其次要有高層領(lǐng)導(dǎo)的支持,不能出了問(wèn)題就由干活的人背黑鍋。至于標(biāo)準(zhǔn)化。不僅僅是一套升級(jí)補(bǔ)丁的流程,還包括各個(gè)方面。申報(bào)的備件是否即使購(gòu)買。申請(qǐng)修改的系統(tǒng)結(jié)構(gòu)是否得到支持,是否有良好的后備技術(shù)支持,領(lǐng)導(dǎo)對(duì)于安全的重視程度。這些都會(huì)決定這安全流程的實(shí)施效果。

一般企業(yè)應(yīng)急事件如何處理,應(yīng)急預(yù)案是如何做的?

在企業(yè)內(nèi)部,安全體系建設(shè)到一定程度,就需要出臺(tái)安全事件應(yīng)急事件的處理和應(yīng)急預(yù)案,一般這種應(yīng)急預(yù)案如何設(shè)計(jì)和開(kāi)展?

以我們現(xiàn)有的環(huán)境來(lái)說(shuō)。所謂應(yīng)急預(yù)案只是使用現(xiàn)有的條件下出現(xiàn)各種安全問(wèn)題的臨時(shí)處置方案,大概包括:

  1. 網(wǎng)絡(luò)設(shè)備,由于部分網(wǎng)絡(luò)設(shè)備沒(méi)有替換硬件,比如上網(wǎng)行為管理,計(jì)費(fèi)等設(shè)備,所以要整理出來(lái)這些設(shè)備出現(xiàn)故障,又沒(méi)有硬件更換時(shí)候怎樣去臨時(shí)恢復(fù)業(yè)務(wù),
  2. 服務(wù)器,包括服務(wù)器的系統(tǒng)或硬件的損壞,怎樣將現(xiàn)有的業(yè)務(wù)在最短的時(shí)間內(nèi)恢復(fù)回來(lái)。做了虛擬化以后這部分就簡(jiǎn)單了一些。
  3. 大規(guī)模的安全事件,比如病毒爆發(fā),根據(jù)以往的經(jīng)驗(yàn)制定的如果出現(xiàn)大規(guī)模的網(wǎng)絡(luò)問(wèn)題,怎樣去應(yīng)急處理,然后查找問(wèn)題。
  4. 雖然暫時(shí)制定了遠(yuǎn)程數(shù)據(jù)備份的方案,但條件不滿足?,F(xiàn)在暫時(shí)也并沒(méi)有完全實(shí)施起來(lái)。

這其中還沒(méi)有陳列出機(jī)房環(huán)境問(wèn)題的應(yīng)急預(yù)案,比如機(jī)房電力,空調(diào),還有受其他自然災(zāi)害影響后的預(yù)案,因?yàn)槿绻霈F(xiàn)這樣的問(wèn)題。我們現(xiàn)有的資金和環(huán)境就真的無(wú)能為力了

。

不過(guò)一個(gè)正常的應(yīng)急預(yù)案應(yīng)該要做的更全面,更穩(wěn)妥一些,根據(jù)你的業(yè)務(wù)重要性,數(shù)據(jù)重要性來(lái)有所側(cè)重,建立一個(gè)完善的應(yīng)急預(yù)案,最終的目標(biāo)就是你的任何一個(gè)網(wǎng)絡(luò)設(shè)備,服務(wù)器,應(yīng)用系統(tǒng),甚至是機(jī)房出現(xiàn)了意外,你都有相對(duì)的處置方案來(lái)盡可能少的減少帶來(lái)的損失。

安全等保和ISO27000認(rèn)證的必要性和兩者的區(qū)別

做安全等保和ISO27000 安全認(rèn)證的必要性是什么,是否和單位類型有關(guān),比如政府、金融和上市企業(yè),其它企業(yè)單位是否必須要做這塊,如果要做,是否只過(guò)其中一個(gè)就可以了?

1、等級(jí)保護(hù)和ISO27001的必要性:

等級(jí)保護(hù)目前是國(guó)家推薦的安全防護(hù)標(biāo)準(zhǔn),他是針對(duì)單個(gè)應(yīng)用系統(tǒng)的重要性,分級(jí)別進(jìn)行保護(hù),目前主要還是政府、國(guó)企類的在做。

ISO27001是國(guó)際信息安全標(biāo)準(zhǔn),對(duì)信息安全的要求、范圍都比等級(jí)保護(hù)要來(lái)的高,標(biāo)準(zhǔn)的整體性更好(這一點(diǎn)上等級(jí)保護(hù)標(biāo)準(zhǔn)遠(yuǎn)遠(yuǎn)不如)。且ISO27001提到的風(fēng)險(xiǎn)評(píng)估在等級(jí)保護(hù)里不存在。

2、如果要做選哪一個(gè):

看自身情況,如果只是為了滿足政府監(jiān)管要求,那只要做等級(jí)保護(hù)。如果是為了提高自身的實(shí)際信息安全水平,肯定是參照ISO27001做更好。