《非银机构信息科技指导意见》解读(下)

之前我们对《指导意见》中的开发安全管控、安全意识教育两部分内容进行了解读,本期将继续对剩余的安全技术保障体系建设、网络区域划分和隔离、安全漏洞管理、上线安全检测、数据安全管控、应急预案和应急演练等部分内容进行解读。

《指导意见》第五章节中提出“……加强安全技术保障体系建设,采取有效的防病毒、防攻击、防篡改、防泄密、防抵赖等措施,提高系统抵御内外部攻击破坏的能力。……”

解读:微软的STRIDE模型将威胁分为了假冒(Spoofing),篡改(Tampering),抵赖(Repudiation),信息泄露(Information Disclosure),拒绝服务(Denial of Service)和权限提升(Elevation of Privilege)五类,基本涵盖了常见威胁,而这些威胁的应对机制包括身份验证、、完整性、抗抵赖、机密性、可用性、权限控制等保障措施,这些保障措施应用到物理、网络、主机、应用和数据层面,具体的技术手段和机制包括:

  1. 物理安全:主要是物理环境安全和设备、设施安全,涉及的保障措施包括不间断电源、防火、防盗、电磁屏蔽、身份鉴别和监控等。
  2. 网络安全:主要是网络区域隔离和边界防护,涉及的保障包括传输加密、区域隔离、访问控制以及防护设备等,通常通过防火墙、双因素认证、堡垒机、链路加密、以及IPS、ADS、APT检测、邮件DLP等技术和设备实现。
  3. 主机安全:主要是安全配置策略、漏洞扫描与加固,涉及的保障措施包括身份鉴别、访问控制、日志审计、防病毒、数据防泄漏、补丁管理等,通常通过漏洞扫描、安全基线、双因素认证、堡垒机、终端管理系统(包含准入、补丁管理)、桌面防病毒、桌面DLP等技术和设备实现。
  4. 应用安全:主要是web应用系统安全和业务逻辑及数据安全,涉及的保障措施包括身份鉴别、访问控制、web应用防护、web漏洞扫描与加固等,通常通过web漏洞扫描、双因素认证、Web应用防火墙、主机防篡改、SSL加密、云端监控等技术和设备实现。
  5. 数据安全:主要是数据自身安全防护,除了在物理层、网络层、主机层和应用层相应的防护手段和措施外,数据安全防护手段还包括了数据库加密、数据库审计、数字水印等。

《指导意见》第五章节中提出“……严格配置网络访问控制策略,实现开发、测试、生产、办公等不同网络安全域之间以及与出资人等外联单位、国际互联网之间的风险隔离。……”

解读:安全域划分方式之一是从业务系统出发,将具有相同或类似的业务承载、服务对象和安全需求的系统划分在一个区域,根据各区域访问控制需求、威胁情况设置防护策略和防护设备。常见的网络区域包括生产域、业务域、办公域、开发测试域、互联网域、第三方外联域等。通常开发测试域与其他区域严格隔离,第三方外联域和互联网域根据需要设置较强防护策略和安全等级,生产域与办公域严格隔离,其他区域间根据需求设置访问控制策略。通过最佳的安全防护机制和措施及其部署方式,可以有效地抵御威胁、减少漏洞和削减风险,同时,通过沿数据流划分不同的安全域可以构成对业务服务、数据的纵深防护体系,提高系统的预警、检测、防护和响应能力;通过安全域对不同的业务数据流、数据处理活动进行隔离,防止安全风险的扩散和传播。

《指导意见》第五章节中提出“……加强系统安全漏洞和补丁信息的监测、收集和评估,确保及时发现和处置重大安全隐患。……”

解读:漏洞管理工作应该是信息安全工作的重中之重,漏洞生命周期管理不仅仅涉及漏洞自身的发现、评估和修复,同时还牵涉漏洞情报信息的获取,组织漏洞管理基线的建立和应急处置工作。原有的漏洞预警、漏洞发现、漏洞修复、漏洞确认的闭环管理操作已难以实现组织对漏洞管理的要求。一个组织应积极、有效利用威胁情报信息,深度解读漏洞利用细节、利用热度、利用难度等技术细节,为安全运维人员提供详实的漏洞细节,便于他们结合企业实际情况分析漏洞影响,为漏洞修复提供决策依据,有利于真正实现漏洞管理的闭环操作。同时,改变传统的以IP信息为视角的资产管理方法,从安全的角度重新审视资产信息,从资产的业务功能、服务对象、版本信息、安全防范措施等方面建立安全资产信息,从安全的角度管理资产脆弱性。当出现安全漏洞时,不仅需要考虑漏洞的风险等级,还需要结合资产安全信息,不同资产相同漏洞区别对待,体现业务对漏洞的差异性,真正实现差异化漏洞管理策略,从而实现漏洞管理能力的提高。

《指导意见》第五章节中提出“……开展应用系统安全检测,对官方网站等通过互联网提供服务的系统,在上线及重大投产变更前进行渗透测试,杜绝系统“带病”上线。……”

解读:有些用户在自主开发应用系统或委托开发应用系统时,更多的关注业务功能实现和性能方面,缺乏相应的技术手段和能力对交付的应用系统的安全状况进行检验。如果应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击,会直接影响正常业务运行,甚至造成经济和名誉的损失,再加上有些漏洞涉及代码改写,考虑到业务连续性的要求,这些漏洞几乎无法得到修复。

因此,需要在系统上线前对系统安全状况进行检验,从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估,对发现的问题进行妥善处理,避免将影响系统安全的问题遗留到系统上线后,成为系统安全的隐患。

系统上线前检测通常包括针对集成环境的安全漏洞扫描、安全配置检查,针对应用系统的渗透测试、代码审计以及针对应用系统的安全功能审核等三方面五项技术措施。这些技术检测不仅能够保证集成环境的安全,避免操作系统和数据库缺失安全补丁,存在不当的安全策略以及开启不安全的服务;也能对应用系统的安全状况进行检查,而且从业务功能逻辑上,对应用系统的安全功能进行检查,避免应用系统在安全功能上的缺失。

《指导意见》第五章节中提出“……对敏感数据实施分类分级管理,强化数据生命周期各阶段安全管理要求,严格控制生产系统访问权限,禁止未经授权查看、下载生产数据;采取符合要求的加密、脱敏等技术,提高数据存储、传输、测试的安全性。落实终端、移动存储介质安全控制措施,加强对非法外联等各类违规行为的监控、阻断和审计。

解读:一般而言,数据的生命周期包括了生成、存储、传输、使用和销毁等阶段,在实际的应用中,对于数据的保护主要体现在存储、传输和使用三个方面,其中涉及权限控制、加密存储和传输、数据防泄漏技术、数字水印等多种手段,从管理角度看,防护思路包括1.识别开——对数据进行分类分级,2.管理全——不同数据采用不同防护措施,3.防护住——分层部署,多维度防护,,4.监测出——深度监测,发现异常阻断,5.追踪到——能够追查数据泄露源头;而从技术角度看,防护思路包括1.进不来——做好边界防护,2.找不到——做好访问控制,3.拿不走——移动存储、外联渠道阻断,4.解不开——数据加密,5.看不懂——数据模糊化处理,6.用不了——脱离原有环境无法使用。

《指导意见》第五章节中提出“……制定信息科技突发事件应急预案,对重要系统每年至少开展一次应急演练,加强业务与技术应急有效衔接,不断提高事件应急处置能力。

解读:应急预案是指在发生影响IT系统正常运行的紧急事件或者IT系统被破坏后,为更加快速、有效、合理地作出反应,最短时间恢复系统运行,最大程度减少突发事件造成的损失和影响而预先制订的紧急行动方案。

应急预案编写可参考GB/Z 20986—2007《信息安全技术 信息安全事件分类分级指南》和《中国人民银行IT系统应急预案指引》等相关标准。针对具体的安全事件,预案中应明确涉及的组织、人员、职责划分、处置流程和所需资源,还应明确该事件具体的判断指标、特征和处置方法,并结合分级标准明确事件级别判断指标和特征。

应急演练检验应急预案有效性的有效手段,通过应急演练,可以确定应急预案中存在的缺陷并加以解决,评估恢复人员的应急处置能力,应急演练应遍历应急预案的每个要素,以确认每个流程的精确度以及计划的总体有效性。通常演练可以桌面推演或模拟/实际演练的方式进行,演练完成后应对演练效果进行评价,对演练中出现的问题进行总结和改进,切实提高应急处置能力。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment