扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着系统规模日益扩大,支撑金融机构业务系统的网络结构也变得越来越复杂。其中,重要应用和服务器的数量及种类日益增多,一旦发生维护人员误操作,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,就可能会极大的影响系统的正常运转。因此,针对金融行业的业务系统建立安全检查点与操作指南的安全基线规范,则成为保障信息系统安全运行的首要步骤。
所谓安全基线规范,是为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准,是一套统一的安全设置指标。业务系统的下层支撑体系几乎涵盖了包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统。为保证业务系统的稳定运行,需要在业务系统整个生命周期的各个环节,对上述设备与系统的安全配置进行检查。这些环节包括设备入网、业务上线、日常运维、定期巡检和设备下线等。安全基线规范将形成针对不同设备与系统的详细检查表格和操作指南,为标准化的技术安全操作提供了框架和标准。
通过采用统一的安全基线规范来指导技术人员在各类系统上的日常运维操作,让运维人员有了检查默认风险的标准,但是面对信息系统中种类繁杂、数量众多的设备与系统,真正完成合规性的系统配置检查和修复,却成为一个费时费力的事情,且对检查人员的技能和经验要求较高。使用能够辅助安全检查与自评估的高效、自动且标准化的配置核查工具就很有必要。
在信息系统中建立完整可靠的安全基线技术体系需要对安全基线的建立、落实以及管理的过程进行规划,使之成为一个具备完整定义的、成熟的、可重复的过程,在开发、实施、运行中执行此过程的信息系统才具有较高的安全可信度和可靠性。
安全基线技术体系涉及面广、性质复杂,整个活动贯穿于信息系统的全部生命周期,是一个复杂的系统工程,需要通过一种过程性控制方法来保证其有效性。
图1 安全基线控制过程
安全基线是一组正式的安全需求规格。需要经过下面的确认程序:
相关方分析是识别确定所有的安全相关者,相关方要保证安全需要描述的合理、清晰、确定和一致;安全需求包括安全需要、安全风险以及安全风险的应对策略和安全环境约束等。安全政策的确认要保证安全政策满足安全需求的有效性,即可有效地处置风险、满足安全需要。安全基线需要企业或组织的高层面批准,从而在资源投入及执行力度方面得到保障。
定义安全基线是指确定一组正式的安全需求,这些安全需求应覆盖所有的安全目标并符合所有相关的安全政策和法规等外部因素的限定。包括以下几个方面:
信息系统安全基线是一个信息系统的最小安全保证,是该信息系统需要满足的基本安全要求。
启明星辰在研究和业务安全相结合的安全基线规范体系基础上,参考国内外的标准、规范,充分考虑了金融行业的现状和行业最佳实践,继承和吸收了国家等级保护、风险评估的经验成果,形成了一套基于业务系统的基线安全模型,参见下图:
图2 建立安全基线过程
建立安全基线首先需要对业务系统进行识别和梳理,然后结合安全基线模型分析业务系统的功能架构,再将功能架构细化到系统层面的不同模块。在此基础上,就是针对业务系统特性,分析可能存在的安全威胁,并将针对威胁的应对措施逐层分解。安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成。
业务系统的安全基线建立起来之后,将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。
在部署安全基线后,可以对目标业务系统展开合规性安全检查,以找出不符合的项,并选择和实施安全措施来控制安全风险,以确保安全基线的落实。
安全基线的建立是一个逐渐完善的过程,而且在建立后也不是一成不变的,在系统、组织、应用等方面发生变化后,需要进行及时调整,尤其对于技术基线的维护更为重要;在组织结构发生变化时,需要及时调整管理策略基线,保证基线的适应性。
根据前面提到的安全基线控制过程,在整个过程中对安全基线的建立、落实、管理的能力将决定信息系统的安全保障水平。
安全基线控制过程是一个非常复杂有具有挑战性的工作,需要细致的检查,大量的专业知识支撑,管理工作也比较复杂,因此要更好地完成安全基线控制过程就必须有一套非常实用的安全基线实施工具。启明星辰提供了一套实用的安全基线解决方案,极大地提高安全基线控制过程的效率和结果的正确性,其技术体系框架如图:
图3 安全基线解决方案体系框遵循的原则
启明星辰安全基线解决方案遵循以下原则:
各个不同业务系统安全检测基准的建立和行之有效的检测手段是安全管理人员面临的最为重要和迫切的问题。安全运维人员需要具备检查风险的标准。同时面对网络中种类繁杂、数量众多的设备和软件,需要快速、有效的检查设备,进行自动化的安全检查,以及制作风险审核报告,并且最终识别那些与安全规范不符合的项目,以达到整改合规的要求。
基于多年安全服务的执着实践,同时结合用户对安全评估产品的实际应用需求,启明星辰提出了安全基线整体解决方案,采用工程化途径实施安全基线技术体系,通过全过程、全方位地控制安全基线,同时又与信息系统的生命周期相结合,从而有针对性地解决了安全基线的动态性、复杂性和完整性问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者