导图社区 信息安全架构建设能力集v1.0
- 67
- 0
- 0
- 举报
信息安全架构建设能力集v1.0
信息安全架构建设能力集v1.0,具体有: 1安全建设考量 2安全团队建设 3安全治理 4安全风险管理 5安全规划 6安全技术体系 7安全工作知识技能 8业务安全与风控 9安全合规 10安全审计 11安全应急 12安全组织评价 13安全运营
编辑于2023-08-16 14:26:58 江苏省- 信息安全
- 相似推荐
- 大纲
信息安全架构建设能力集v1.0
1安全建设考量
1.1高优业务场景应用
1.1.1项目交付生命周庆中的信息安全
业务、信息系统、基础架构或组织结构的变化,信息安全变化
人员入/离职、合同条款、保密协议
之前无问题、低风险的地方可能被业务流程场景挤压导致出现风险
以前有防护产品、安全技术部署的领域可能被新的业务与技术架构打通旁路通道,被绕过甚至失效
企业安全中安全能否融入业务与技术生命周期,SDL,尤其是业务
前置性分析、伴随性检测监督、查缺补漏性处置是安全的动态性最好体现
1.1.2法务、人力资源的信息安全
安全技术与管理要求在人员生命周期管理实现闭合,需要与法务、人力联动
通过安全的技术优势与全局性能力把人员的安全意识、管理诉求落地实现
1.1.3业务弹性与业务连续性要求
信息安全问题导致的业务中断、数据泄露等情况后果非常严重
险导向的安全管理工作,BCM与DRP纳入管控范围防范归零风险,BCM、DRP各个环节中信息安全保障机制也是重点
1.1.4外包及供应商、供应链安全
签署必要的安全协议、保密条款、SLA承诺
对外包人员、供应商的定期评估、评价与事件追查机制
攻击面被放大、安全能力水平产生年代级的差异、重视程度
处于供应链主导地位的公司需要对信息安全有全新的认识与建设布局
1.1.5新技术环境下的安全
技术本质上的区别有可能会颠覆安全原有的体系、框架与技术
云计算安全、IoT设备的系统与硬件级安全、工业控制系统安全
1.1.6安全价值“合”字诀
业务融合,安全能够实现价值的基本途径
感控结合,安全能够实现价值的基本方法
1.2基础能力建设原则
1.2.1深入业务、给业务带来价值的安全
1.2.2实用、够用、好用是基本目标和要求
1.2.3感知、防护、处置能力建设
1.2.4分阶段、分重点、分场景的有选择性的布局
1.2.5自研、外采结合
1.2.6风险敞口与时间成本综合考虑
1.2.7基于价值链分析的方法与战略一致性要求可以使安全更为主主动的布局与准备
1.3业务理解支撑能力
1.3.1业务模式是什么 (如何赚钱、在哪里花钱)
1.3.2业务架构是什么、核心业务能力、业务核心流程、支撑性的业务流程和职能
1.3.3业务职责分工、关键业务人员/团队
1.3.4支撑核心的业务系统、技术团队关键人员
1.3.5业务对信息安全团队有信心与信任、相互背书
2安全团队建设
2.1痛点
价值感和存在感缺失
投入少,绩效衡量难
风险压力大,外部威胁形势变化快
信息安全领域广,综合性、专业性人才均稀缺
职业规划有发展的天花板
2.2目标
懂管理、精技术、基本功扎实、战斗力强劲
2.3着手点
2.3.1文化建设
安全团队的DNA、格局
养家糊口的生计? ? ? 赖以生存的职业? ? 理解并接受,团队可以有但非主流
热爱且充满激情,推动价值的实现
大局观,打破边界,以终为始,目标导向;坚忍不拔,实现企业整体目标;想办
价值认同
国家层面高度重视;金融安全很重要;直接损失、舆情、恐慌;合规创造价值,安全保障创新
专业自信
构建信息安全整体逻辑架构;了解安全形势:了解所在行业和产业;掌握专业知识;形成逻辑框架和专业经验;分清主次、抓住重点
用心
思索实现目标的方法;自发工作且做好;困难迎难而上、责任共同担当;工作就是一种修行
养成习惯
计划的习惯
例行化的工作计划;专项工作计划;安全整改类工作计划;突发性工作计划
敢于承诺、遵守承诺的习惯
面对监管审计风险合规部门要积极面对;
面对领导和其他部门的干预承诺时间和目标;
面对其他团队敢于制定整改计划
高效处理邮件
邮件发送、抄送人员企业内规则
邮件正文的编写
认真完成文档的撰写
逻辑严密;注意阅读对象:避免低级错误
培养信息安全洁癖
风险的敏感性;创根究底,不忽视细节
2.3.2企业宏观环境
安全要有独立的使命、愿景和价值观,但要服从企业整体的
服从企业战略管理需要,效益和风险的平衡和博弈
与企业风险偏好相匹配
与企业发展周期相关
企业建设初期: 风险接受度高,合规底线
成长期:平衡、团队壮大,能有安全技术攻防能力的人员
成熟期:风险接受度变低,团队更加壮大,管理和技术并重
衰退期:紧缩型,不出事,回归合规
与企业性质和管理风格相关
金融是经营风险的企业,也是风险集中的企业
风险规避型:偏向于低风险的方案,风险控制和合规要求高,重视,团队扩张
风险追求型:选择风险大的,高风险高收益,安全团队建设受限
着眼未来、立足长远
移动互联网、物联网、云计算、大数据、区块链、人工智能等金融科技新技术,现有体系防范不足,失当、失效
打造学习型组织,学习新技术,应对新风险
2.3.4团队意识建设
创新意识
组织创新;理念创新;制度创新,技术创新
风险意识 (敬畏之心)
冰山理论;海恩法则( 安全飞行:每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患);墨菲定律
责任意识;学习意识;沟通意识
客户意识
外部客户
保障客户资金安全;保障客户信息安全;保障客户安全与体验的平衡;隐私安全
内部客户
董事会高管;合规、风险、审计等二三道防线;科技条线人员
2.3.5与其他团队的关系处理
冲突不可避免,但目标必须一致:不得罪人和得罪光所有人的安全团队不是好团队;君子和而不同,小人同而不和;风险管理必须以促进业务发展为目标
安全与开发团队:冲突最多
安全与运维团队:目标最为一致,风险控制
安全与科技管理类团队:部分重叠,信息科技治理的合理性、部内制度流程的合理性、预算和商务管理工作的合规性、IT资产管理的合规性
安全与业务团队:把握业务风险和科技风险、信息安全的边界
安全与外包团队:定期、长效安全机制的建立、意识培训、负责人,外包检查
安全与监管:窗口、掌握好沟通频率和方式方法,建立定期沟通报告机制、多参与监管课题研究,请教监管同业实现方式,创造同业交流平台,安排先进同业学习
2.3.6安全资源管控
团队层级建设
基于工作技能集的分布
基于考虑资金限制后的职级测算
财务知识
能看得懂基本的财务报表与预算规划
资源池管理
集中优势兵力、快速见效,做事有轻重缓急是最基本的要求
同时多个项目的并发是不可避免的,控制质量与数量
PMO的多项目管理
做到风险可控没有明显短板、好钢使在刀刃上
让子弹飞一会儿,别急急火火的有点风吹草动就乱,团队不能变成救火队这是Leader的责任与担当
子主题
3安全治理
3.1成立公司级别的信息安全管理委员会 (信管会)
3.2战略一致性
信息安全的战略与重点同业务的战略、布局、拓展等方向保持一致
业务理解力、大型团队管理能力、资源投放能力
3.3信息安全投入价值实现
生产力、产品技术壁垒、商业竞争优势、业务保障能力
3.4业务风险优化
3.4.1公司归零的领域/预期点
3.4.2风险管理能力、信息安全态势、变被动为主动能力
3.4.3业务与风险为导向,以威胁为驱动手段,从管理、技术、人的纵深
3.4.4从业务自身能力、安全风险管控能力、安全监督审计能力的纵深
3.4.5提升感知、管控、处置、迭代能力
3.5资源投放效率 (人、财、物)
3.5.1ROI (投资回报) 测算
3.5.2ALE (年预期损失) 与管控成本差
3.5.3安全团队的管理成熟度与对安全全面理解与把控能力上--挑战
3.6度量评价
3.6.1安全效果衡量、资源使用的度量评价
3.6.2安全的指标体系、安全评价方法
3.6.3金融行业风险管理与指标度量方法
3.6.4ISO27004中的信息安全测量方法
3.6.5建设类的具体能力点的覆盖率、准确率、召回率、稳定性
3.6.6运营类的平均事件响应时间、平均漏洞修复时间
4安全风险管理
4.1以风险为导向的信息安全(ISO13335)
资产、威胁、脆弱性: 方法论论成熟、通用性强
不足:以资产清单为出发点,如服务器、设备、信息系统,在大型的、快速发展的企业、重数据资产的情况下,方法过重、收益不明确、重点不突出、与业务场景切合度较低
4.2企业风险管理
企业核心业务价值链 ->业务流程 -> 业务风险 -> 风险管控措施 -> 风险评价审计等环节,逐步落地
通过风险治理、风险容忍度偏好等,约束与修正风险管控行为与资源投入
企业全面风险管理、COSO-ERM、ISO31000等国内外最佳实践
4.3企业安全风险
4.3.1在业务风险之后不直接对接管控措施,将业务风险中信息安全相关场景识别出来,分解技术方案与管理措施落地
4.3.2企业核心业务价值链 =》业务流程 =》业务风险=》安全风险 》安全管控 》安全方案 》企业安全落地实践
4.3.3业务风险与安全风险之间通过安全威胁、技术架构、安全场景进行衔接,确保安全与业务的契合,同时基于/补足/调整当前安全技术实现能力
4.3.4自适应风险与信任评估 (CARTA)
4.4信息安全风险检查
4.4.1调研访谈、资料查验、现场核查和穿行测试等方法
4.4.2评估当前信息安全管理和技术控制的合规性、充分性和有效性
4.4.3发现存在的信息安全风险,针对发现的风险提出整改要求并监督实施的风险防范及控制过程
4.4.4检查只是手段,“以查促防”,“以查促改'
4.4.5自查方式: 被检查对象“主动揭示风险、主动落实风控措施“
4.4.6现场检查: 信息安全团队牵头组建检查小组
4.4.7非现场检查: 被检查对象提供文档、影像资料、配置文件等证明材料,或者通过信息系统进行检查
4.4.8飞行检查: 现场检查的“突袭”版,检验被检查对象日常信息科技工作情况以及应对突发性检查的能力
4.4.9检查准备、检查实施、检查报告、后续整改、总结分析
4.5信息安全风险监测
4.5.1选取监测指标: 可计量、信息科技监测指标;反映风险水平和风险管控能力;涵盖主要环节,可按月度、季、年度进行收集,设置合理阈值
4.5.2数据采集:信息科技基础运行数据经采集、加工、计算形成,系统或人工;全面、真实、准确、可验证、可追溯
4.5.3指标应用: 针对异常情况统筹制定风险应对策略,并具体实施执行,风险信息及处置方案报送高管:
4.5.4指标维护: 根据监管要求信息科技发展状况风险监测结果风险关注重点等情况;每年更新
4.6安全风险管理目标(以终为始)
核心资产、持续业务能力、资金相关、合规、归零、声誉、商誉、品牌
5安全规划
5.1安全调研 (建设情况和坑)
5.1.1大型企业学习
面临的安全威胁、攻击场景、复杂的网络和应用环境,海量的服务器、终端、人员数量
5.1.2同行业较好的企业
规模大的学习遇到的问题
类似的学习资源配置情况
小的学习单点突破能力
5.2结构图
5.2.1安全服务支撑体系建设规划
5.2.2现状和差距分析
黑、白盒获得差距,外部渗透测试、众测等
内部分析维度
制度规范、组织架构、职责、安全评价/考核
安全防护技术体系
安全运营体系
安全支撑 (资源、流程)
安全合规、行业规范要求、安全服务框架
5.2.3当前重点项目和重点任务
5.2.4需求分析和安全目标
安全目标
规划周期企业应该达到的信息安全能力、对外提供的业务价值
满足企业战略规划和IT战略规划
服务器的黑客的攻击,对人员进行安全意识教育、违规现象持续降低,安全审计发现持续降低
践行互联网渠道系统高风险漏洞外部提前发现为0; 安全防护设备100%覆盖全部业务出入口
对未来的预测、实现目标的行动需合理
需求分析
安全形势分析、金融行业及互联网行业分析、监管要求、安全管理部门要求
具体目标分解思路
年度工作任务清单
从部门到团队,再到个人
5.3考虑因素
风险偏好、IT战略目标、监管要求、技术发展、资源约束、安全价值体现
外部安全形势、行业形势、监管和股东的要求、对手分析 《攻击者、内部异常员工)
6安全技术体系
6.1概念
安全技术与架构强调企业纵深防护能力
以缩短自由攻击时间窗口为目标的分析感知能力
以降低平均检测时间与平均响应时间为目标的安全技术运营能力
业务外延环境、逻辑边界与安全域到核心组件区域的层层感知、管控能力
动态防御与检测机制
离线分析能力等的建设与运营
事前、事中、事后的技术机制纵深
6.2网络域维度
6.2.1产品服务域
产品发布后不可控环境,如App、IoT、BS应用等
攻击不受防守干扰,如破解、调试、逆向、拆解、改装等
产品侧加固、破解调试对抗、代码混淆、心跳存活打点、数字签名等
可防任可强对抗、取决资源与防御边界
6.2.2隔离域
生产网络、设备、系统的部署区域
堡垒机、WAF、主机防护、网络安全、区域隔离、横向导控、日志分析、应用系统安全、漏洞管理、堡垒机、权限控制等技术与产品
6.2.3内网/业务域
办公与运维
防御、流量分析控制、办公服务主机安全、应用安全、WAF、安全域、终端管理、DLP、BYOD、IAM、VPN等技术与产品
物理安全的智能摄像头、门禁、监控闭路、红外探测、强弱电控制等题
环境复杂、范围广、管理难度大,对内网区域的渗透、APT、商业间谍类
6.2.4外联合作域
公司自身的安全能力与防护实现,业务延伸后合作方的能力与防护边界拓展问题
设置安全缓冲区、虚拟边界、外部持续监控平台等技术产品,持续的运营监控提供及时有效的检测与响应处置
6.3技术栈维度
不同层级分别部署对应能力,多层级间信息联动与协防
物理环境安全
数据中心的访问控制、监控、风火水电、消防、温湿度等等,了解安全参数,检查使用
网络安全
身份认证措施、网络隔离技术、网络区域划分的规则、网络边界安全、网络访问控制的配置、网络端口控制、网络安全审计日志等
系统安全
操作系统、数据库、中间件等系统软件的安全配置基线
应用安全
访问控制和身份验证,以及数据保密性、完整性、可用性等方面的安全技术标准和要求,技术方案评审、投产上线后的安全检查
数据安全
个人信息范围、脱敏技术、个人信息全生命周期保护措施:数据备份原理和技术、数据备份策略是否有效、数据是否具有灰复能力等
终端安全
终端安全工具软件原理,域控、终端准入、文档安全产品、数据发防泄漏等终端安全保护技术,终端安全策略制定、安全检查
开发安全
SDL安全技术标准,生命周期的安全基线,安全控制措施是否有效
运维安全
生产管理流程中的风险点,4a日志审计、系统日志审计、数据库日志审计、应用日志审计
防护技术
防病毒、ips、ids、waf、漏洞扫描使用和维护、事件处置、策略优化
渗透测试
技术、常用工具、漏洞原理、攻击方式、漏洞防护策略等
安全新技术
安全态势感知、安全大数据分析、威胁情报、人工智能
新技术安全
移动互联、云计算、大数据、区块链、人工智能等金融科技新技术的风险、安全防范措施和安全防护工具
6.4渗透测试
6.4.1委托授权、信息收集、制定渗透测试方案、开展测试、记录过程、痕迹清除、渗透测试报告
6.4.2web应用安全性测试
SQL注入、XSS、路径遍历、代码执行、命令执行、文件上传、文件包含、CSRF、SSRF、水平越权、垂直越权、URL重定向、点击劫持、XML注入、LDAP注入、XPATH注入、撞库攻击
6.4.3web服务组件安全性测试
Struts2、 Weblogic、 Jboss、 Tomcat, Websphere、 Jenkins、 OpenNMS、 Zabbix、 Redis, Docker、SVN)Git、Apache、Gitlab、NFS、Elasticserch、Fast-CGl、PHPMyAdmin
敏感信息泄露、弱点服务检测、弱点端口检测、运维不当、目录便利、文件泄露、HTTP请求方法、解析漏洞DNS域传送、Host绑定不安全因素、squid不安全代理、心脏滴血、shellshock、Dirtycow提权漏洞
6.4.4测试工具
namp、subdomainsbrute子域名发现、frebug、 wireshshark、fddler、 whois、dirbrute目录扫描、wpscan目录扫描、burpsuite.VS、beefXSS综合利用、hydra暴力破解、metasploit渗透测试框架、salmap、 havij、strts2利用工具、nc端口转发、lcx端口转发orgproxy端口转发.proxychain代理工具、mimikatzwindows密码获取、id-juijava反编译、winhex二进制
6.4.5移动端安全检测
6.4.6员工安全意识检测
7安全工作知识技能
7.1安全管理类
7.1.1制度流程完善及操作过程合规
监管要求符合性分析和差距整改
信息安全管理体系建设
制度流程完善
内部安全检查
安全技术工具维护和安全外包服务作为辅助职责
7.1.2管理手段防范信息安全风险
负责信息安全管理策略、制度、流程的制定和优化,确保各项信息科技监管要求在行内制度和流程中得到贯彻,即“有章可循”
负责信息安全整体规划设计和计划管理
金融/制药/制造领域信息科技相关监管要求的达成
信息安全管理体系建设及维护工作
信息科技规章制度和流程的制定和优化完善
对各种监管合规要求、制度流程的执行情况进行检查和监督,确保制度流程在日常工作中落实到位,即“有章必循”
外部信息安全检查的组织和配合
信息科技内部风险检查和评估
组织其它部门和分支机构的信息安全工作
组织信息安全突发事件的应急处置
全辖安全团队建设和培训宣传
7.1.3知识技能
信息安全管理体系建设标准 (ISO27001)主要是针对信息资产进行保护
14个控制域、35项控制目标和114项控制措施
已有的制度和流程
企业级制度(风险政策、风险管理办法、保密管理办法、客户信息保护相关管理办法、业务连续性管理办法)
其他部门相关制度(审计部门发布的审计准则、审计及整改追踪办法等,风险部门发布的风险管理、评估、监测相关工作指引,合规部门发布的法律事务相关的规章制度)
信息安全部门相关制度(金融企业通常都会形成涵盖科技管理、开发、测试、运维、信息安全的一整套制度体
监管要求符合性分析和排查的技能
熟悉并对监管要求进行转化
企业内部制度是否符合监管要才
企业内的执行情况是否符合监管要求和制度规定
7.2安全技术类
7.2.1部署基本的安全工具实现技术防控
安全工具和平台的新增引入和升级
安全技术策略的持续优化
安全技术服务的综合化和多样化
安全攻防的深入化
7.2.2第三方安全专业机构渗透、漏洞扫描、日常监测
7.2.3一体化、自动化、智能化、自适应的纵深防御技术体系
"练内功”,提高信息系统自身的健壮性和免疫力,制定安全技术规范、使信息系统遵循技术规范设计、开发和运维
制定企业级的信息安全技术规划和技术架构
组织制定和落实信息系统安全技术要求
信息安全基础设施和技术工具的建设和运维
“防外贼”,信息系统外围建立“篱爸墙”,设计安全技术架构,实施专门的安全技术工具,保护数据免遭破坏或泄管
安全漏洞检测和防护
组织开展信息系统安全等级保护工作
信息安全新技术的跟踪研穷
8业务安全与风控
8.1业务风控
由于业务本身的活动与环境造成的各种风险的应对与管控,包括企业与个人的信用体系的建设与应用
如银行业:银行业的巴塞尔资本协议中对资本充足率的要求及信用风险、市场风险、操作风险计量与管理
金融行业的业务本质就是在经营风险,因此业务是围绕着对风险的合理运营并最大化风险收益而进行的,安全风控的主体也是围绕着这些概念进行的
8.2业务安全
基于业务场景的实时与离线方式下的查杀能力与对抗体系:包括反作弊、防刷单、黑产对抗、账号体系安全、资金交易安全等等
8.3体系建设
原则
(准)实时性:短时间进行认定,注册、登录、支付一些场景,用户无感知开展检测和认定
自动化:实时性要求较高,无法人工,提高自动化
数据化: 数据采集、挖掘,分析能力、建模能力
需求
人:团队
策略人员
熟悉欺诈手段和防范方法,及时发现新颖的,有效调度和利用既有的资源制定策略进行防范
运营人员
建立发欺诈运营监控指标体系,监控指标变化,分析指标变化原因,发现穿透已有体系的行为并应急响应。与业务部门、产品部门、营销部门保持高度密切的沟通,做风控和用户体验的平衡
调查人员/审计
对已经发生和正在发生的业务请求精心人工调查、核实,进行止损、追损,如取消订单、贷后提前介入等
数据挖掘人员
分析和挖掘,输出各种特征,能够被应用于反欺诈建模和反欺诈策略工作,与公司数据分析、用户画像部门共享
开发人员
系统开发、维护,发欺诈策略和模型的实现
方法
信誉库
黑、白名单内部积累、外部获取的各种人员、手机号、设备、IP等,实施简单、成本低,准确度低、覆盖面窄,第
专家规则
较为成熟,反欺诈策略人员的经验和教训,制定反欺诈规则,常见如各种聚集度规则,实用性较强,但有严重的滞后性,只能基于人使用一个或几个维度得标量进行计算和识别; 可以作为应急响应手段和兜底防线
机器学习 (如芝麻信用分)
将用户各个维度得数据和特征,与欺诈建立关联关系,给出欺诈的概率
基于有监督机器学习
进行标记,利用逻辑回归等机器学习算法,在海量的用发现欺诈的用户特征,通过分值、概率等方式予以箱行为的标记
基于无监督机器学习
无标记欺诈行为.对所有用户和操作行为各维度数据和异较大的用户和操作请求
技术
数据采集技术(依法合规)
设备指纹
覆盖度、唯一性、全面性
网络爬虫
特征工程技术
可以从原始数据中进行数据挖掘的各类技术。常见如生物识别 (声音、人脸,防用户账号被盗)活体检测(动作、朗读; 防欺诈团伙批量攻击)文本语义分析、知识图谱 《用图数据库、从特定维度对不同用户和不同操作行为之间进行关联和计算,发现之间关联,用户团伙特征检测)等
数据分析技术
实施分析Storm、离线分析Hadoop
决策引擎
大脑和核心。将信誉库、专家规则和反欺诈模型等进行整合,操作高效、功能丰富的人机交互界面,降低运营成本和响应速度;从引擎处理能力、相应速度、UI界面等
数据
设备类
用户客户端(手机、PC、平板等) 等各类参数,通过页面、app嵌入各类SDK,JS脚本进行采集和获取
环境类
虚拟环境类
IP、WiFi等
物理环境类
手机定位、基站位置等信息
行为类
网页、app上操作时的各类数据,如用户页面停留时长、文本输入时长、键盘敲击频率等
第三方数据
公开或第三方数据服务商
8.4常见形态
盗刷、婷羊毛、骗贷、刷单刷券、撞库、批量开《养) 户
8.5跨安全、风控、数据、研发、内控等多学科的新兴领域,在企业内多部门协同如何配合、如何划分权责? ? ?
9安全合规
9.1业界最佳实践、国际标准、行业指南,成为企业基本能力的公允说明、重视程度的态度表达和沟通协作的统一“语言界面“
9.2监管要求和行业组织标准(形成监管要求文件汇编建立知识地图)
国内法律法规
中华人民共和国网络安全法
网络安全等级保护2.0
《个人信息安全保护规范》
商用密码管理条例
国际相关法律法规
国际标准组织 (ISO) 的信息安全相关标准
NIST SP-800最佳实践
云计算相关的安全认证如CSA-Star
支付卡组织的PCI-DSS及ADSS
监管机构
商业银行信息科技风险管理指引
商业银行数据中心监管指引
网上银行系统信息安全通用规范
行业组织
物理安全相关的GB 50174-2017 《数据中心设计规范》
9.3实施难度与复杂度
合规方面容易因沟通不到位、理解不准确等原因小事变大、主动被被动
主动与监管部门沟通
主动参与影响规则制定过程,不被动等待甚至隐瞒欺诈
开放心态来看待安全合规,拥抱变化
安全合规也能变成企业安全能力的倍增器与推动力
10安全审计
10.1安全审计可以理解为安全+审计两个关键词,目标是和安全有关的技术、管理、人员以及这些要素所产生的能力,手段是审计
10.2方法
审计准备
审计准备,包括环境理解,对审计目的、目标的充分理解以及涉及的环境、技术、系统、流程、业务等内容的调研分析过程;
确定审计重点,根据审计目的与风险理解,确定重点内容
编制审计计划,根据时间、资源、重点等要素完成工作计划准备以及必要的工具、模板、技术环境准备
审计执行
审计执行包括审计计划实施
包括通知 (也可以不通知,如涉密类审计、抽查突击类审计等) 审计计划
审计手段运用(安全评估常用的手段基本都能用到,一些审计特有的工具与方法,如抽样数据测试、穿行测试、监督环境下流程重放等)
沟通审计结果,由于时间限制、资源限制,审计结果有可能存在疑点,同时除保密需要以外,实施团队应与被审计部门通过会议的方式
特续优化改进,审计不仅是发现问题,更重要是问题的改进,对审计结果跟进、解决方案跟进、结果复测,以验证审计与后续优化的效导
10.3应对内外部审计和检查的技能
监管机构、公安机关、外部审计公司、内部审计部门、风险管理部门、合规部门
换位思考,提前预演,按照通知中的检查范围、检查内容,模拟检查方法
资料提交必须真实、完整、准确;安全要整体把控资料的内容,预审、与清单一致
要安排合适的人,说合适的话;相关负责人,问什么答什么,不可天马行空
10.4内容
信息安全技术、管理、人员、文化等都可能存在风险与威胁点
安全技术、产品、理念均可作为审计的内容,也可作为审计的工具
企业内安全宙计作为三道防线最后个环节提供保障作,可作为兜底的手段确保安全方案的落实
11安全应急
11.1外部攻击、内部泄露、商业间谍、员工无意
病毒事件
未经授权无线接入点
文件完整性监控系统告警
WEB页面篡改
植入木马
恶意入侵等事件
DDos攻击事件
假冒网站
SQL注入、XSS跨站脚本攻击、CSRF、信息修改漏洞
11.2UNIX/Linux应急响应检查清单
系统后门程序
用户及用户文件
系统日志分析
11.3危机管理预案
信息流转机制;危机管理团队;必要的技术与工具,预案处置流程;清晰、快速、准确;进行演练、各部门形成合力
11.4事件响应
事件分级;响应流程;恢复过程;调查机制;协调组织,复盘机制
11.5安全事件调查
海量数据进行积累、清洗、关联|还原攻击路径与事件发生的时间轴|数据的完整度、稳定性、质量要求
足够的事件响应调查技术与数据储备
必要的演练与复盘机制
安全事件响应与调查组织
常见问题: 数据都保留,由于格式不同、记录字段不同、细微的类型差异等可能导致数据无法进日集串联,变成数据片段、无法形成证据链无法还原,无法有效的处置与根源问题复盘改进
11.6证据链
内部调查的方法可以用,但过程控制、规范要求要严格的多
证据链的固定、可信度要求、电子证据的采集
12安全组织评价
12.1意义
合理的组织架构可以最大化的发挥人的价值
环境限制、时机甚至个人决断力都是容易打折的因素
12.2布局方式
信息安全委员会/安委总管
战略规划能力、资源投放协调能力、风险优化能力
体现业务的安全感
安全负责人主建
各安全业务方向,如信息安全、数据安全、业务安全等
搭建好需要的工具、系统、平台
构建各种方法、框架、体系
为一线提供弹药、装备、情报,同时整合资源,提供大中后台的整合安全能力
安全专家主战
安全团队及能力应融入业务与技术环境的一线
团队中综合能力人员的配比,技术、懂业务、做安全
把业务线、技术线的发展规划、诉求、对接能力要求等一线情况实时回传到后台支持,同时把安全能力、管控要求投放到业务实际中
12.3安全文化建设
员工安全意识、企业网络安全文化建设
ENISA定义: 人们对网络安全所持有的知识、信念、认知、态度、假设、规范和价值观的总和
顶层设计将安全融入到公司使命与愿景中,安全性是不可协商的、不可妥协的
理念与行为的背离
需管理层达成一致:安全是保证业务不是给业务找茬
打破生产力和安全之间矛盾的困境
需要各部门积极配合: 内部传播、营销、公共关系工作
12.4量化 (安全整体成熟度及雷达图细分项量化)
安全投入/成本分摊
安全价值产出
安全运营指标
12.5安全团队评价
基本盘-力保不失
做好了不出彩、出了事负责任
大部分的精力在这里,缺少成就感
添彩
结合业务需求,投入一些资源,成长空间
四个象限: 研发孵化、项目建设、运营服务、持续优化
运营是基础、项目建设是每年的工作
运营服务中,能外包的可以考虑进行外包、资源池
创新是通过项目和应急来找机会的
12.6可视化 (安全大盘实时展示安全类服务的风险状态、告警和变动)
安全风险感知
安全风险响应
安全策略调整
12.7根据企业实际选择
基础防护能力
防火墙部署:IPS/IDS;网络注入:终端安全
检测发现能力
日志收集分析
不同量级的SOC与SIEM等
对比分析能力
通过提高单一产品技术的准确率投资回报率RO
不同类型产品的比对
可以是在线、离线方式的比对
也可以是部署方式如终端侧、网络侧的比对
SLA支持的自动化能力
产品化输出能力
实现稳定预期的情况下快速投放能力
“稳定预期”就是大家潜移默化的达成一致的对安全要求实现与实现程度
”快速投放”就是实现时间成本效益最大化
不同规模
创业(运维部门兼职): 密码策略、访问控制、漏洞管理、补丁管理、防病毒、安全加固、安全编码规范、众测、公有云部署
中型监管企业 《安全部门)安全转职团队、信息安全管理体系、安全架构、入侵检测、漏洞感知、代码审计/SDL.、业务连续性、业务全、自动化工具、少量开源产品
特大型互联网企业 (安全事业部) : 自研安全产品、大数据分析、SDL、分工细化的多个安全部门业务和风险驱动、数据安全、对外输出、利润中心、CSO角色、安全标准、生态
安全管理: 安全组织、合规管理、风险管理、安全培训与教育、安全审计 安全管控: 安全顾问咨询、DLP、网络出口管控、终端管控、日志管控、SDL安全 安全响应:安全事件调查、漏洞管理、钓鱼网站关闭、入侵检测 主动感知: SRC平台、渗透测试、威胁情报、攻击检测、钓鱼监控、态势感知
12.8价值
找出信息安全管理在公司价值链关键环节上获得核心竞争力的增值点,才能巩固和加强信息安全部门的优势。
12.9从被动合规到主动风险管理
合规驱动: 法律要求、合同约束;意识: 不理解,意愿: 被动
业务驱动: 业务倒逼、事件驱动; 意识: 知道;意愿: 基本被动
风险驱动: 全面感知、业务价值;意识: 认同;意愿: 积极主动
12.10安全意识培训
大家愿不愿意为安全成本(不只是直接成本,也包括因为安全而放弃的一些便利性等间接成本)埋单,取决于能不能建立“安全感”以及对安全价值的正确认知下的品牌效应
当业务要冲锋陷阵的时候,安全是在旁边拍拍业务兄弟的肩膀,告诉他“一切别怕,我和你一起”
还是用“千里传音”之术躲得远远的说“我们有最先进的技术、最好的产品,你放心去吧”,
当然有时连传音这个事情都省了,价值何在? 品牌树立很难,信任崩塌很快,且行且珍惜。
13安全运营
13.1数据安全
生命周期:采集、传输、存储、使用、销毁、
传输和存储安全
数据使用
数据对象
结构化数据
半结构化数据 (XML、JSON)
非结构化数据(文档、图片、视频/音频)
数据位置
数据库(关系型、非关系型)
线上库、数据仓库、数据集市、数据应用
办公终端
数据路径
防护思路
建立敏感数据的企业边界,可感知、可回溯
13.2生产环境
DBA/研发人员操作线上数据库
收紧账号访问权限,对账号进行分类管理,特权账号,应用账号和服务账号,实时监控账号,除特权杜绝非审核的人为操作数据库
数据库敏感操作的审计与报警
管理/运营人员通过数据应用导致的数据泄露
不允许直接操作数据库、需通过内部应用系统访问,从账号、权限、审计建设
数据库敏感操作的审计与报警
第三方服务与合作 (API接口) 数据泄露
对外部交互的全量接口/业务进行安全测试,收效漏洞的数量
链路传输加密,接口中的敏感数据需要进行端到端的加密
API接口层面的持续分析机制
外部业务用户访问
在网络边界上做敏感数据出入流监控
SDL,源头控制安全漏洞、漏洞管理与修复能力
13.3办公环境
数据防泄漏
邮件、IM、终端、网盘、截屏、GitHub
部署网络和终端DLP系统以及敏感文件水印
移动网络
EMM,沙箱?
13.4安全设备、系统、产品,有人管有人看,能用会用,安全的价值体现
13.5运营期: MTTD (平均检测时间) 、MTTR (平均响应时间); 两指标反映感知发现能力与管控处置能力
13.6在线、离线能力的运用、串并联方式的合理布局以及“查“杀”手段的使用
通过在线能力进行防御性处置、通过离线能力进行查缺补漏与验证及优化在线场景规则要求
通过串行方式的同步干预处置能力全量验能力可以满足更加复杂的业务环境要求
通过“查“、”杀“的能力可以满足即时对抗与体系化全局布局对抗的的选择要求。