编者按:信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本达到有效管理的起到了积极地推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。本文选取CCAA两个优秀审核案例,来还原审核现场的关注重点,使企业可以保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。
把控信息安全风险
办公、生产信息化和智能化程度越高的企业,其对信息安全、网络安全需求和期望越高,存在办公、生产信息化和智能化程度越高的企业,其对信息安全、网络安全需求和期望越高,存在信息安全风险也越多,需要加以控制。
[案例1]北京xx网络技术有限公司2018 年5 月份对某互联信息股份有限公司网络中运行设备、软件系统中存在的问题进行漏洞扫描,发现20 项目安全隐患(含技术脆弱性),如SQL 注入、弱口令、海康威视权限认证等漏洞,但没有形成对20 项安全隐患(风险)的正式处置措施,以及后续整改的证据
[分析与追踪]
第三方检测公司对网络中的设备及软件开具“病情”诊断报告,且大部分是常见信息安全漏洞或风险,如不加以应对受审核方极易出现大规模病毒爆发情况,严重影响日常办公和生产,且受审核方信息主管部门和相关领导对这份检测报告,在意识根本不重视,总以为不会发生检测报告提示到信息安全风险。该公司未意识到存在风险,只是想便于日常维护和管理,且早期未购买云服务,故网站一直放于本局域网内,通过端口映射方式来提供。
[整改措施与绩效]
审核方高度重视该问题,对之前发现20 项安全隐患编制整改方案,按整改进行整改,保留相关证据。并且对标准要求,常见漏洞简介与处置,SQL 注入危害,WEB 中其他漏洞,WSUS(微软公司提供的网络化的补丁分发方案)设置与使用等进行培训,使参会人员提高奥信息安全意识,知道相关漏洞的危害性,并统一补丁升级技术手段(WSUS)。
[小结]
我们看到部分企业负责人对信息安全不重视、无所谓,只知道企业要实现信息化,为此投入大笔资金,但信息化后的信息安全风险往往不特别关注,除非发生一次重大信息安全事件后,才后悔。通过对不符合整改,看似给受审核方没有带来什么现实经济效益,但消除或降低受审核方存在信息安全风险,是无形的,是管控信息风险效益。
同时,企业信息主管部门通过对不符合报告整改,提高相关技术能力,再次认识到信息安全必须靠可靠的、先进的技术进行管控,且必须定期更新。
全方位加强信息安全管理
各类信息系统权限的时效管理,应考虑信息系统、门禁系统、临时访客权限、 网络授权的时效管理,这也是满足信息安全标准权限定期检查要求的有效技术措施。必要时进行全方位的安全检查和对密码等关键环节的修改,加强对授权过程和授权时间单元的风险评估,必要时制定相应的管理制度并予以实施,减少不必要的意外带来的信息安全事件。
[案例2]查看某科技有限公司在办公过程中使用 gitlab、OA、邮箱系统、门禁系统、HR 系统、客服信息管理系统、合同 管理系统和用友财务系统;现场按照相关策略 要求,分别检查了上述系统账户设置、权限分配、特权账户管理、数据备份和定期复查等控制措施。
发现1:公司各个楼层的视频监控系统相互之间的时间不一致,相差约 10 多分钟;发现2:查看离职人员焦本然的门禁卡,已丢失,进一步查看门禁管理系统权限控制,未能删除。
[分析与追踪]
针对以上2个审核发现,审核组分别开出了ISO/IEC 27001:2013标准A12.4.4、A9.2.6条款的一般不符合项。
[整改措施与绩效]
针对发现1,通过末次会议现场交流,受审核方提高了信息安全认识,懂得视频监控系统是事件追溯的主要技术手段,追溯过程通常是以时间为依据,因此时间同步对视频监控系统至关重要;设置每个楼层的监控主机的 NTP 自动同步时间服务器修正所有楼层的监控时钟;企业更新 《物理环境安全控制程序》,将对视频监控管理要求内容进行添加,将对视频监控的时间检查列为日常检查内容。
针对发现2,受审核方认真分析了原因,列出下列整改措施a)由知识产权部组织行政部人员对条款 A9.2.6 条款进行学习;b)由专人每天汇总当天离职人员门禁卡,并发邮件给门禁管理员,管理员据此解除离职 人员的门禁权限,同时每周五对所有相关邮件进行复查,以防止遗漏 c) 门禁卡有效期同劳动合同时效,由专人登记有效期时间,在到期前及时进行相应延期; d) 门禁卡领用开卡需制作《开卡记录表》,并以邮件形式通知前台; e) 如遇重启门禁卡,需记录重启前的使用人及其停止使用此卡的日期; f) 离职人员的门禁卡按照月份单独存放,由专人保管,封存期 1 年。
[小结]
以上2项不符合分开看起来都是很简单的风险,但是当两个风险同时出现时,企业的物理环境管理就等同于失控,意味着不仅可以任由任何非法享有进出权限或持卡的人出入,该入侵者还能够创造不在现场的时间差。
识别改进机会和可能出现风险的领域
[案例3]某品牌移动通信公司的管理人员与审核组通过Windows系统自带的远程桌面功能,在远程登陆办公网电脑的同时挂载研发网的本地磁盘。测试结果,研发 5 楼未进行网络隔离,测试可通过远程桌面挂载共享盘向其它网段拷贝数据
[分析与追踪]
针对审核发现,审核组开出了ISO/IEC 27001:2013标准A.13.1.3的一般不符合项。
[整改措施与绩效]
1、针对五楼保密区域办公终端,使用域组策略限制远程复制及共享功能。具体策略:组策略--计算机配置--管理模板--Windows 组件--远程桌面服务--远程桌面会话主机--设备和资源重定向
(1)不允许剪贴板重定向,调整为已启用
(2)不允许驱动器重定向,调整为已启用。
2、目前红区会议室资源不足,导致内部人员需在非保密区域进行会议远程红区电脑使用,故无法进行彻底的网络隔离,计划下半年扩展保密项目专区面积,配置充足会议室资源,区域内配备保密项目专用办公终端,限制个人办公终端带入,且保密项目办公区配置独立网段,以实现网络隔离。
[小结]
提高网络管理人员的安全意识,补齐网络管理内到外控制较松的短板。使网络管理人员的视野更开阔,不仅关注外到内的攻击、进一步关注内到外的摆渡。进一步在现有的威胁列表中增加内部人员摆渡资料这个评估维度,对企业以后的信息安全管理产生了有意义的影响。将在后续的风险评估工作中,不仅在网络控制层面,也在设备带出管控、人员进出管控等方面,关注由内主动出外的信息安全管理。
(责任编辑:徐枫)
