單位安全基線需“過五關”

單位在經歷過了一系列的數(shù)據(jù)丟失之殤、文件被鎖之疫、以及服務中斷之悖后，IT部門的領導要求對本單位IT系統(tǒng)進行一次徹底的梳理與排查，提出整改目標，設計安全體系的基線，從而鏟除各類坑點和隱患。

單位IT人員先后開展了訪用戶、鉆機房、登設備、查線路、測數(shù)據(jù)等活動，經歷了半個月的“摸爬滾打”之后，終于弄清了本單位當前所使用的龐大的IT服務系統(tǒng)，以及各個環(huán)節(jié)中所涉及到的安全體系結構，并且草擬了一份基線的報告。下面來具體看看到底列出了哪些內容，值得我們在單位的安全運維管理中進行借鑒的。

體系基線的目標：為抵御來自外部的網絡攻擊和控制內部的不當變更，單位IT系統(tǒng)安全體系應具有多層次的、立體的防護結構。其總體上可分為邊界安全和內部治理，在邏輯上通過硬件、軟件、網絡、系統(tǒng)和管理，形成五個層面的深度防護工事。

第一關：硬件

1.機房與數(shù)據(jù)中心

服務器或數(shù)據(jù)中心機房應安裝機械或電子鎖，并保持常鎖狀態(tài)。開鎖權限僅掌握在有限數(shù)量的人員手中；

進出機房都要有紙質的或電子的記錄；

機房應配備有架空防靜電地板、7×24小時空調、UPS、安全攝像頭、以及智能配線架等；

如果是數(shù)據(jù)中心，則要求具備有基于ITIL的服務管理，還應具有7×24小時監(jiān)控、雙路供電和雙路上網線路接入，以及適當?shù)陌l(fā)電設備。這些可以參照ISO27011：2008 或 SSAE 16等機房相關的標準。

2.用戶端

統(tǒng)一將具有服務支持（如MS）的單位定制的操作系統(tǒng)鏡像安裝到用戶電腦上；

通過組策略（Group Policy）禁止用戶擅自修改系統(tǒng)設置、禁止用戶擅自安裝軟件，并且啟用規(guī)定時間無使用的自動鎖屏；

瀏覽器里的代理設置可以被用戶臨時修改，但會在下一次登錄時自動恢復。不過，用戶無法修改瀏覽器的安全和隱私設置；

預安裝防病毒軟件且鎖定，以使用戶無法禁用或終止其守護進程；

用戶不能以本地管理員身份登錄電腦，無寫入或修改系統(tǒng)注冊表的權限，也無法將電腦退出單位的域或修改加入到其他域；

通過信息資產配置管理工具（如SCCM）對單位內用戶電腦進行統(tǒng)一的注冊、更新、修改和信息收集等管理。

用戶端硬盤啟用加密，以保證如筆記本電腦之類的設備丟失時硬盤上的文件機密性。

3.服務器端

統(tǒng)一將具有服務支持（如MS等）的操作系統(tǒng)鏡像安裝到服務器上；

預安裝企業(yè)版防病毒軟件并實現(xiàn)集中管理和更新；

根據(jù)標準化服務器的系統(tǒng)安裝Checklist來進行操作并逐步核對；

及時測試、審核并給相關服務器打上補丁。注意審查更新系統(tǒng)的報告，以確認完成；

服務器應在初始安裝的時候就予以安全加固；對于處于非軍事區(qū)（DMZ）的外部服務器須有更多加固設置。

對于單位里所用到的所有服務器應該有一個全量的列表，此表應根據(jù)服務器的硬件類型、服務功能和使用范圍進行分類。

4.移動設備

移動設備連接到單位郵箱時必須通過認證；

在設備丟失時，Helpdesk通過MDM系統(tǒng)可遠程鎖定或擦除設備上的數(shù)據(jù)；

啟用設備自動鎖屏等安全策略。

第二關：軟件

1.一般應用程序

針對不同的應用程序，設置不同的用戶組；

將各種應用程序的登錄方式統(tǒng)一為單點登錄（SSO），以實現(xiàn)用戶賬號權限的自動匹配；

對于單位所用到的所有應用程序應有一個全量的列表，此表應根據(jù)程序功能和使用范圍進行分類；

每一種應用應該在表中具有版本號、許可證、交付方式、類別、基本描述、以及是否外網可用等特征項；

如有條件，最好能擬出一個數(shù)據(jù)是如何做本單位的各個應用及系統(tǒng)之間進行流轉的圖表,以方便對各個應用的協(xié)同工作狀態(tài)和數(shù)據(jù)的走向有個宏觀的認識。當然，也可以將該圖表放大放置在IT部門或Helpdesk，以便在出現(xiàn)系統(tǒng)或服務故障時，能清晰的識別并標注出問題的環(huán)節(jié)。

2.文檔及其管理平臺

各類工作文檔需存放在指定的共享目錄下、網絡盤里、或者導入到專門的文檔管理與協(xié)作平臺，而非電腦的本地磁盤上；

用戶存儲文檔時，默認情況下為公開屬性，如有需要可以添加相關安全設置，包括：私有屬性、可以訪問的用戶與組、以及讀/寫/改/刪等權限；

管理平臺持續(xù)記錄用戶對文檔的任何訪問操作，該記錄日志應被刪除；

管理平臺能夠對批量刪除/轉發(fā)/導出等不合規(guī)的操作行為予以報警。

3.郵件管控

規(guī)范郵件系統(tǒng)網絡架構，厘清郵件出入本系統(tǒng)的邏輯路徑。對跨國企業(yè)，可按照區(qū)域劃分中轉的Hub；

對出入本系統(tǒng)的郵件配置相應的反垃圾郵件、郵件黑（白）名單、郵件加密等服務；

定期對郵件系統(tǒng)進行風險評估，比如可以用到MS ExRAP；

如果除了普通郵件客戶端，單位還提供Web版的外網郵件訪問方式，相關的安全設置也應有所配置，比如可以用到MS ISA；

禁止用戶批量轉發(fā)或設置為自動轉發(fā)單位郵箱里的郵件；

運用反垃圾郵件系統(tǒng)通過掃描各種入站郵件，來防止釣魚和保障內網安全；

為保證郵件系統(tǒng)的持續(xù)可用性，可適當采用SaaS服務來保證單位內郵件服務中斷時，用戶仍可用公網途徑收發(fā)郵件。

第三關：網絡

1.網絡連接

單位上網線路建議采用雙線制，可實現(xiàn)不同應用業(yè)務從各自線路與外部連接，并實現(xiàn)互相備份；

對有多個分支機構的單位，可以將需要與區(qū)域站點（或總部）協(xié)作的應用業(yè)務都通過一個WAN網專線進出；開啟VPN建立數(shù)據(jù)通信專有通道，以實現(xiàn)業(yè)務數(shù)據(jù)的保密性。而另一條線路，提供員工上網以及在WAN出現(xiàn)故障時切換所使用（如通過BGP的配置）；

運用工具發(fā)現(xiàn)并繪制詳細的網絡連接拓撲結構圖。

網絡連接設備（如：防火墻、路由器、交換機等）都遵循統(tǒng)一的配置模板，各個設備的配置都有集中的備份與歸檔；

有詳盡的網絡設備恢復方案與操作步驟的參考文檔。

2.非軍事區(qū)（DMZ）

在活動目錄里劃分單獨的域給DMZ；

僅為外部用戶提供安全套接層（SSL）的方式來訪問DMZ里的Web資源；

將Outlook Web Access/ActiveSync/Citrix/Office Communications Server/VPN Gateway/SharePoint Extranet等服務放置在DMZ里。

3.用戶上網規(guī)則

所有用戶須持有有效的域賬號，并通過代理服務器來訪問互聯(lián)網；

代理服務器對出入數(shù)據(jù)包執(zhí)行病毒掃描、請求特征分析、策略判斷、跟蹤與記錄等操作。

4.無線訪問

單位提供統(tǒng)一的無線網絡ID，并實現(xiàn)區(qū)域全覆蓋；

通過配置實現(xiàn)無線網絡與局域網的互通，域賬號能在無線網絡中訪問所有單位資源；非域賬號登錄到無線網絡后，僅能向外訪問到互聯(lián)網。

第四關：系統(tǒng)

1.備份

將備份視為一個單獨的系統(tǒng)，列出單位所使用到的備份類型（如FC SAN、IP SAN（iSCSI）還 是 NAS）、硬件設備、軟件特征、數(shù)據(jù)源及路徑、備份策略、恢復數(shù)據(jù)點和恢復時間等；

對于有多個分支機構的單位，還可按地域厘清各個備份系統(tǒng)之間的聯(lián)系和數(shù)據(jù)流轉走向；

制定將備份好的介質離線投遞到其他安全位置的相關策略，并嚴格執(zhí)行。

2.電話與語音信箱

追蹤打出的電話，以識別打往未授權國家與號碼的國際長途；

以要求用戶輸入規(guī)定的前綴代碼的方式，實現(xiàn)長途電話的計費；

系統(tǒng)在次月產生上個月每一門電話的通話清單與費用列表；

用戶離職后直接呼叫轉移其號碼到繼任者，并導出其語音信箱后立即從系統(tǒng)中刪除；

對于有多個分支機構的單位，可通過使用入站電話重定向（ICR）實現(xiàn)將出現(xiàn)故障的某個區(qū)域的所有打入電話路由到他處。

3.遠程訪問

為實現(xiàn)員工在辦公區(qū)以外能夠對單位內部資源的訪問，既允許在任何電腦上基于網頁的遠程桌面與應用（如Citrix），也支持具有單位統(tǒng)一系統(tǒng)鏡像的筆記本上的VPN連接；

認證方式上采用靈活的支持多種通信方式的雙因素認證模式；

為合作伙伴提供非本域的賬號和受限的VPN遠程連接方式。

第五關：管理

1.賬號、組與密碼

所有人都使用活動目錄的域賬號來登錄單位的服務器和用戶端電腦；

所有賬號，在原則上具有相同的訪問級別，而無任何特殊的訪問權限；

通過基于角色的訪問控制來實現(xiàn)基本用戶賬號最小特權的管理；

定期對活動目錄進行風險評估，例如可以用到MS ADRAP；

僅授權單一部門對域賬號進行統(tǒng)一的集中化管理；

只有IT部門員工才有、且能使用第二個賬號來進行管理類事物操作。所有這些賬號都以ADM_開頭以便于跟蹤和記錄；

按職權分離和須知原則設定不同活動目錄用戶組，以方便跟蹤、記錄和管控；

普通賬號遵循通用的密碼策略；而對于ADM賬號，則采用更嚴格的密碼策略。

2.信息平臺

為保持安全團隊內部的及時協(xié)作、以及與外部的高效溝通，應設置一個統(tǒng)一的內網管理平臺入口（如一個SharePoint站點）來實現(xiàn)集中化管理；

平臺內容包括：安全信息的發(fā)布、事件情況的查詢、項目進度的更新、參考文件的存儲、負責人的公示等；

平臺應能實現(xiàn)遠程登錄與運維，以提高整體效率；

使用統(tǒng)一的平臺解決方案實現(xiàn)對所有的事件、事故、問題、請求以及變更的管理。Helpdesk和所有IT部門員工都有權限使用此平臺并能獲取平臺推送的消息；

使用統(tǒng)一的平臺解決方案實現(xiàn)對所有項目的進度、工時和時間的跟蹤與管理。所有的項目經理、職能經理和高級工程師都有權限使用此平臺并能獲取平臺推送的消息。一般IT人員僅能Read only該平臺。

3.網絡與設備監(jiān)控

使用安全事件管理產品進行日志集中管理與聯(lián)動；

監(jiān)控各網絡設備、服務器硬盤使用率與在線狀態(tài)等；

監(jiān)控LAN、WAN、WIFI 和上網線路狀態(tài)；

對于單位網絡中所用到的IDS/IPS以及DLP產品提供監(jiān)控與響應。

4.應急響應與審計

具有既定的應急響應流程，并定期更新之，且周期性進行演練；

定期進行服務器（Web）、網絡、客戶端、BYOD等類型的滲透測試；

定期（每年一次或兩次）執(zhí)行內部審計和外部審計；

接受上下游合作商及客戶所主導的各類安全評審。

5.培訓與手冊

定期以電子郵件、海報或組織員工面對面開展信息系統(tǒng)基本技能與安全意識的相關培訓；

制定并定期更新面對全員發(fā)放的風險意識管理和速查手冊。