企业安全建设从合规开始

2020年12月05日

由于国家对网络安全的重视，极大的促进了网络安全的发展，越来越多的企业都开始开展企业安全建设的工作。 

但随着安全建设的不断深入和发展，各种规划、制度、要求的增多，会逐渐进入安全运营阶段，必定存在有制度未落地，要求未执行到位的情况出现，这时安全审计与合规检查就显得尤为重要了，它能通过某些方法从安全的角度出发，发现一些需要优化及改正的地方，促进整个安全体系的建设与运营。

通过合规检查及审计的形式或者方式来推动企业信息安全制度实现，推动整个安全体制的良性发展，打造全方位的运营体系。

检查目标

1.资产梳理

• IP列表、业务分组(负责人、联系方向)、业务属性

• 业务端口

• 业务应用架构、技术堆栈

2.边界安全，防火墙策略控制（需要梳理业务端口）

• 如果是硬件，使用防火墙统一控制

• 如果是操作系统，Iptalbes＋IPSEC

• 及时监控业务端口的变化（外部nmap扫描搜集结果比对，或者编写脚步放到运维平台收集系统监听端口和防火墙策略)

• 跳板机安全控制

3.账户安全管理

• 弱密码

• root、sudoer权限

• 账户、授权、访问、审计等等

4.服务器安全

• 安全基线检测

• 操作审计

• 异常登录审计(日志收集分析)

• 漏洞清点/扫描，补丁修复测试和推进

5.WEB安全

• 应用渗透测试

• 接口安全(加密、通信)

• webshell实时监测

• Nginx日志分析/Nginx流量旁路分析

6.业务风控安全

• 用户安全机制（密码、验证码、登录）

• 交易安全

7.安全培训

• 安全意识培训

• 运维安全培训

• WEB安全开发

8.安全规范和流程

• 人员入职账户开通

• 人员离职账户注销

• 服务器上下架安全管理

• 安全应急响应机制

9.内网安全

• 内网服务器安全

• 账户统一验证和管理机制(域ldap协议统一验证OA、RTX、邮件、内网业务系统)

• 弱口令监测(NTLM/LM)

• 账户异常登录

• 网络隔离（物理／虚拟化）

• 网络准入

• PC安全（病毒统一管理、通知处理）

安全合规检查

确定了检测的目标系统或应用后，我们需要制定检测的内容，可能主要包括网络安全、应用安全、数据安全、访问控制、主机安全、权限控制等几方面考虑，也会考虑系统的特殊性及主要功能，确认出重点检查内容，例如，存在较多敏感数据的系统，我们会重点检查数据安全、访问控制、权限控制等几方面的内容；

当所有的检查内容已确认后，针对检查项的内容，进行具体的分工，一般来说都会选择各自擅长的领域，保证检测内容具体一定的深度及专业性，检查人员会根据公司的制度要求以及日常工作的经验对内容进行检查。

针对检查的内容，检查组内部会根据制度或经验，会要求被检查方先提供部分资料，减少检查时间，一般检查组组长会事先收集好检查组内部的资料调阅需求，然后统一发送给被检查方接口人，要求在什么时候提供什么内容的资料，检查组内部也会根据提供的材料，在现场或远程查看重点关注的内容项。

随着前面检查准备工作的完成，正式进入安全检查的环节，这部分可能会有两种方式进行，远程检查或现场检查，远程检测会通过视频的形式要求展示检测组提出的检查点，现场检查的流程为召开启动会、确定访谈内容及计划、现场或远程核查内容项、检查进度汇报、检查问题收集等。

我们一般去现场检查都会先召开启动会，会将相关部门的领导、人员邀请参加会议，以便于后面工作的开展，在会上将会此次检查的目的、流程安排、要求等告知被检查方，针对检查的内容项，会建议被检查方的领导指定对应的人员去负责配合工作等。

确定访谈内容和计划的制定

现场\远程核查内容

到了这一步，前面肯定会收到调阅材料，此时，应该要求检查组成员对提供的材料进行核查，确认哪些已经满足的，哪些还需要补充，哪些需要现场上机查看，哪些可以远程提供的，这都需要做个好的记录与统计。

检查进度汇报

一般检查的时间都不止一天，每天下班前检查组的每个组员都需要对自己今天进展进行汇报，表达检查的方法及进度，组长此时应根据组员的反馈情况，及时调整优化，记录，当组员全部汇报完成后，需将今天检查的进度告知双方领导及组员，以便双方领导都明白检查项目的进展情况，我一般都采用邮件的方式，这样显得正式些。

注：对检查过程中需要升级处理的问题，需尽早提出，寻求方法处理，说明困难的原因，请求以及时间，以便领导能协调资源帮助解决。

问题信息收集

最后，组长需要对此次检查发现的问题进行统计，确认，存在的问题都应有截图证明材料，以及公司的制度要求等，能证实问题确实存在，且告知与公司制度的哪一项要求不符合，怎么整改等。

检查结束发现问题确认

在与被检查方确认问题之前，检查组内部需进行问题分析、确认，评估发现问题的风险及内容，尽量描述的准确，真实，这样被检查方才会认可发现的问题，能现场整改完成的，可以直接沟通现场整改完成，并保留证明材料；

与被检查方确认问题之时，清晰明了的指出问题所在，违反的制度内容以及整改方式。

最终确定的检查清单，应已邮件的形式发给双方领导及参与人员。

难免会有争辩的地方，切忌因情绪影响，根据发现风险、分析原因、整改措施这三个方面来沟通

编写检查报告

问题进行确认后，需要编写一份检查报告，对整个检查项目进行分析，包括检查目标，检查内容，检查人员，检查计划，发现的问题等方面，针对检查内容，应尽量详实的描述实际检查的情况。

检查总结

• 针对整个检查项目完成后，应该对此次检查做个总结，可以从如下几个方面去总结：

• 此次检查的内容覆盖是否完全，查看是否达到预期的设想

• 针对发现的问题，是否需要改进，存在的漏洞或者问题

• 检查过程中，如何提高效率

• 整个检查流程是否需要更新或提高

江苏国骏-打造安全可信的网络世界

为IT提升价值

http://www.jsgjxx.com/

免费咨询热线：400-6776-989