随着信息技术的发展,绝大部分企业的业务模式离不开信息系统的支持,业务在新的电子化模式下如何得到有效安全保障,特别是如何保障系统运行安全与业务信息安全,已成为企业内部控制的重要任务之一。信息安全已经从部署防火墙、防病毒软件等单一的技术手段,发展到建立整体化的信息安全保障体系,因此信息安全保障体系的规划与建设就显得尤为重要。

信息安全不仅仅是IT部门的工作,也是需要公司所有部门和员工共同实现的一项日常工作,因此信息安全保障体系的建设是一个复杂而且长期的过程。

信息安全服务

是依据国家政策和国家信息安全标准,基于客户信息安全需求,为企业提供信息安全规划与管理建议的安全服务。安全咨询服务协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询服务包括等级保护咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。

  • - 合规类:非金检测,ADSS合规评估,银联入网测评,电子招投标系统检测,等保测评
  • - 评估类:电子银行评估,参透测试,移动APP安全检测,代码审计
  • - 咨询类:数据安全治理,信息安全规划,ISO/ICE27001咨询,ISO/IEC20000咨询

信息安全管理体系建设思路

构建信息安全管理体系不是一蹴而就的,也不是每个企业都使用一个统一的模板,不同的组织在建立与完善信息安全管理体系时,可根据组织信息安全管理现状和具体的业务开展特点,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要几个主要步骤:

安全管理咨询服务

  • - 通过对客户管理体系的评估和审计,发现客户管理系统的缺失(如同 ISO27000 标准要求),协助客户建立起 ISMS 体系。 ISO27001 作为信息安全管理体系第三方认证的国际标准,提出了供参考的安全控制目标和需要的保证等级,并给出了通用的控制方法,使企业用最低的成本确立起动态的、系统的、全员参与的制度化信息安全管理方式,达到可接受的信息安全水平。通过安全管理咨询服务,客户能借鉴国际最佳标准与实践经验,使自身的信息安全水平获得整体提升,并结合日常的信息安全管理、建设、运维工作建立起 PDCA 模型(Plan-Do-Check-Act,规划—实施—检查—改善),以保障自身的竞争能力。

  • - 安全管理体系的结构主要分为三个层次:第一层是战略性的管理策略,如安全方针,第二层是相应的管理规范和制度,第三层是具体的流程和计划。从机构角度看,有总部的、分部的、部门的安全策略。这些安全策略构成了一个完整的管理体系。

安全体系咨询服务

数据的安全审计和稽核机制由三个环节<综合国际国内标准、政策要求和实践优化经验,为高端客户搭建全面的、无缝整合的动态信息安全保障体系,保障客户的持续安全。具体服务包括:

  • - 规划需求调研:对客户信息安全状况进行调研,了解客户信息安全建设现状,评估信息安全风险,识别客户的安全需求和期望达到的安全目标。
  • - 安全管理体系的结构主要分为三个层次:第一层是战略性的管理策略,如安全方针,第二层是相应的管理规范和制度,第三层是具体的流程和计划。从机构角度看,有总部的、分部的、部门的安全策略。这些安全策略构成了一个完整的管理体系。
  • - 体系框架设计:制定客户信息安全体系框架,明确客户未来信息安全工作的方向与目标。
  • - 体系建设实施规划:全面统一地规划未来 2-3 年内客户要实施的信息安全项目,完成客户信息安全实施规划蓝图的设计。
  • - 知识传递:为了提高客户组织的安全意识和信息安全管理及技术水平,安全咨询专家会与客户进行沟通交流,对客户进行培训和现场指导,并完成项目成果的传递。

行业安全解决方案咨询服务

攻击载体、法规和技术的差异,决定了企业在面临网站安全风险时的反应差异,针对这些差异,安全咨询服务可为客户提供针对性的安全解决方案。 

ISO27001信息安全管理体系咨询服务(ISMS)

目前,伴随着全球的信息化的加速发展,各种各样的威胁接踵而来,病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏等,越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患,企业能否从容应对各类威胁?能否在激烈的竞争中脱颖而出,能否保持自己的优势,不断开拓更大的市场,领导者的决策固然是重要的。但同时,保证自己关键技术、核心信息的安全性,给予客户更大的信心,同样是必不可少的关键因素!

ISO27001是一部针对信息技术、安全技术、信息安全管理体系(ISMS)的国际标准,该标准可用于组织的信息安全管理体系的建设和实施,提供了从规划(P)、实施(D)、检查(C)、改进(A)的信息安全管理持续改进过程方法。作为专业的ISO27001信息安全管理咨询服务机构,秉承“以风险管理为驱动,以预防为核心”管理理念帮助客户规划、建设信息安全管理体系,从ISO27001标准的14个信息安全管理域入手,将114个信息安全控制措施与客户管理流程有机结合,实现以预防为主的信息安全管理机制,全面系统地持续提高组织的信息安全管理水平,达到最大程度的降低信息安全管理风险和损失的目的。并根据客户需求协助其通过获得ISO27001权威第三方认证审核。  

 ISO27001信息安全管理体系建设意义及目标

信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展, ISO27001是信息安全领域的管理体系标准,当您的组织通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障,同时,把组织的安全风险因素降到最小,创造更大收益。具体体现在以下几方面。基于对信息安全管理管理现状的深刻认识和理解,结合自身长期在信息安全管理体系建设和实施的最佳实践经验,将ISO27001与行业信息系统安全等级保护、行业安全管理规范与标准要求进行整合,为客户建立可落地、可度量、可考核,同时满足ISO27001标准要求的管理体系。

 数据安全审计

随着社会信息化程度愈来愈高,企业 IT 系统飞速扩张,线上业务数据也与日俱增。业务数据上线带来了长久稳定的存储模式、快速高效的企业数据分析等诸多好处,但同时也使得集中化数据暴露在恶意攻击、黑客渗透、内部泄密等风险之中。近几年频频发生企业数据丢失造成重大损失以及各类数据窃密的刑事案件,均是数据安全问题的真实写照。当代信息化系统常见的数据风险主要有以下几类:

  • - 数据系统分散,缺乏集中审计监控。
  • - 恶意攻击日趋隐蔽,难以有效发现并制定应对措施。
  • - 内部防范措施不到位,内网人员有机可乘。
  • - 数据库压力监控不到位,突发性能问题。
  • - 获取泄密证据困难。

数据安全稽核是安全管理部门的重要职责,以此保障数据安全治理的策略和规范被有效执行和落地,以确保快速发现潜在的风险和行为。但数据稽核在大型企业或机构超大规模的数据流量、庞大的数据管理系统和业务系统数量面前,也面临着很大的技术挑战。

数据所面临的威胁与风险是动态变化的过程,入侵环节、入侵方式、入侵目标均随着时间不断演进。这也就要求我们的防护体系、治理思路不能墨守成规,更不能一成不变。所以数据安全治理的过程中我们始终要具备一项关键能力--完善的审计与稽核能力。通过审计与稽核的能力来帮助我们掌握威胁与风险的变化,明确我们的防护方向,进而调整我们的防护体系,优化防御策略,补足防御薄弱点,使防护体系具备动态适应能力,真正实现数据安全防护。

数据的安全审计和稽核机制由三个环节组成,分别是“行为审计与分析”、“权限变化监控”、“异常行为分析”。

一、行为审计与分析

在数据安全治理的思路下,我们建设数据安全防护体系时必须具备审计能力。利用数据库协议分析技术将所有访问和使用数据的行为全部记录下来,包括账号、时间、IP、会话、操作、对象、耗时、结果等等内容。一套完善的审计机制能够为数据安全带来两个价值:

1、事中告警

数据的访问、使用、流转过程中一旦出现可能导致数据外泄、受损的恶意行为时,审计机制可以第一时间发出威胁告警,通知管理人员。管理人员在第一时间掌握威胁信息后,可以针对性的阻止该威胁,从而降低或避免损失。所以,审计机制必须具备告警能力,可以通过邮件、短信等方式发出告警通知。 为实现事中告警能力,审计系统需要能够有效识别风险威胁,需要具备下列技术:漏洞攻击检测技术:针对CVE公布的漏洞库,提供漏洞特征检测技术;SQL注入监控技术:提供SQL注入特征库;

令攻击监控:针对指定周期内风险客户端IP和用户的频次性登录失败行为监控;高危访问监控技术:在指定时间周期内,根据不同的访问来源,如:客户单IP、数据库用户、MAC地址、操作系统、主机名,以及应用关联的用户、IP等元素设置访问策略;高危操作控制技术:针对不同访问来源,提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控,并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制;返回行超标监控技术:提供对敏感表的返回行数监控;SQL例外规则:根据不同的访问来源,结合指定的非法SQL语句模板添加例外规则,以补充风险规则的不足,形成完善的审计策略。

2、事后溯源

数据的访问、使用过程出现信息安全事件之后,可以通过审计机制对该事件进行追踪溯源,确定事件发生的源头(谁做的?什么时间做的?什么地点做的?),还原事件的发生过程,分析事件造成的损失。不但能够对违规人员实现追责和定责,还为调整防御策略提供非常必要的参考。所以,审计机制必须具备丰富的检索能力,可以将全要素作为检索条件的查询功能,方便事后溯源定位。 一套完善的审计机制是基于敏感数据、策略、数据流转基线等多个维度的集合体,对数据的生产流转,数据操作进行监控、审计、分析,及时发现异常数据流向、异常数据操作行为,并进行告警,输出报告。

二、权限变化监控

账号和权限总是动态被维护的,在成千上万的数据账号和权限下,如何快速了解在已经完成的账号和权限基线上增加了哪些账号,账号的权限是否变化了,这些变化是否遵循了合规性保证。需要通过静态的扫描技术和可视化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。 权限变化监控是指监控所有账号权限的变化情况,包括账号的增加和减少,权限的提高和降低,是数据安全稽核的重要一环。对权限变化进行监控,对抵御外部提权攻击,对抵御内部人员私自调整账号权限进行违规操作均是必不可少的关键能力。 权限变化监控能力的建立分为两个阶段,第一是权限梳理,第二是权限监控。

1、权限梳理

结合人工和静态扫描技术,对现有账号情况进行详细梳理,梳理结果形成账号和权限基线,该基线的调整必须遵循规章制度的合规性保障。通过可视化技术帮助管理人员直观掌握环境中所有账号及对应的权限情况。

2、权限监控

账号和权限基线一旦形成,即可通过扫描技术对所有账号及权限进行变化监控。监控结果与基线进行对比,一旦出现违规变化(未遵循规章制度的私自调整权限)会通过可视化技术和告警技术确保管理人员第一时间可以得到通知。

三、异常行为分析

在安全稽核过程中,除了明显的数据攻击行为和违规的数据访问行为外,很多的数据入侵和非法访问是掩盖在合理的授权下的,这就需要通过一些数据分析技术,对异常性的行为进行发现和定义,这些行为往往从单个的个体来看是合法的。对于异常行为,可以通过两种方式,一种是通过人工的分析完成异常行为的定义;一种是对日常行为进行动态的学习和建模,对于不符合日常建模的行为进行告警。