企业安全建设从合规开始

 

背景

由于国家对网络安全的重视，极大的促进了网络安全的发展，越来越多的企业都开始开展企业安全建设的工作，但随着安全建设的不断深入和发展，各种规划、制度、要求的增多，会逐渐进入安全运营阶段，必定存在有制度未落地，要求未执行到位的情况出现，这时安全审计与合规检查就显得尤为重要了，它能通过某些方法从安全的角度出发，发现一些需要优化及改正的地方，促进整个安全体系的建设与运营。

 

目的

通过合规检查及审计的形式或者方式来推动企业信息安全制度实现，推动整个安全体制的良性发展，打造全方位的运营体系。

 

甲方与乙方的关系

乙方是指给企业（甲方）提供安全产品和服务的一方，包括安全产品原厂、代理商、集成商和外包 公司等。甲方和乙方的关系可以理解为唇亡齿寒的关系，就像是晋侯再次向虞国借道去征伐虢国，宫之奇进谏说：“虢国，处在虞国的外面。虢国如果灭亡了，虞国必然跟着灭亡。有言：‘辅车（颊骨与牙床）相依，唇亡齿寒’，所指的就是虞国和虢国之间的相依关系。”结果虞国国君没有听从劝告，晋国在灭了虢国后，顺便也灭了虞国。

谁离开谁都会失败。有好有坏，关键在于各守本分，各尽其责。 企业中较为常见的场景是，乙方老板说，贵公司是我们的大客户，我们一定会服务好。乙方销售则 在旁边配合，我们的产品和服务是最好的，用我们的绝对不会有问题。

更有甚者，个别老板和销售的回答令人啼笑皆非，我们的产品和服 务就是最好的，不用你们会后悔的。有风度的甲方此时往往还需要心情平静地答复，你们的产品和服务 我都了解了，挺不错的，希望有机会合作。但内心简直是崩溃的。 另一方面，也听到较多的乙方抱怨甲方，主管啥也不懂，就知道不能出事，出事背锅；安全人员啥 也不会，只知道指挥我们干活，把我们工程师不当人用。乙方眼里90%的甲方都是这个印象。 笔者无意为任何一方辩护，包括作为甲方的自己。因为甲乙双方都是站在自己的立场处理问题，无 可厚非。但甲方和乙方都需要检讨： 甲方，应该对自己承担的职责负责，不管用什么方法，结果是必须搞定安全问题，但要能识别什么 是能搞定的方案，以及哪些是方案中靠谱一员的乙方。

和乙方的关系挺简单，如果乙方能为甲方创造安 全价值，那给乙方匹配等量的安全回报，继续长期合作；否则对不起，多听一秒都是浪费生命。 乙方，应该是对自己的承诺负责，要了解你的客户，不是签单成功就万事大吉。合同落地才是刚刚 开始，在甲方的辨识能力和社会口碑传播效应越来越强的今天，做一锤子买卖只能让自己的路越走越窄。

有时候呢，甲方可以聘请乙方的人员进行安全建设的帮助，毕竟乙方比甲方相对更加熟悉其中的内容，派遣乙方人员去甲方进行安全服务相关的内容，保障和弥补因甲方人员的不足。

 

准备方面

甲方在合规检查的前期阶段需要做哪些准备：

1.资产梳理

·IP列表、业务分组(负责人、联系方向)、业务属性

·业务端口

·业务应用架构、技术堆栈

2. 边界安全，防火墙策略控制（需要梳理业务端口）

·如果是硬件，使用防火墙统一控制

·如果是操作系统，Iptalbes＋IPSEC

·及时监控业务端口的变化（外部nmap扫描搜集结果比对，或者编写脚步放到运维平台收集系统监听端口和防火墙策略)

·跳板机安全控制

3. 账户安全管理

·弱密码

·root、sudoer权限

·账户、授权、访问、审计等等

4. 服务器安全

·安全基线检测

·操作审计

·异常登录审计(日志收集分析)

·漏洞清点/扫描，补丁修复测试和推进

5. WEB安全

·应用渗透测试

·接口安全(加密、通信)

·webshell实时监测

·Nginx日志分析/Nginx流量旁路分析

6. 业务风控安全

·用户安全机制（密码、验证码、登录）

·交易安全

7. 安全培训

·安全意识培训

·运维安全培训

·WEB安全开发

8. 安全规范和流程

·人员入职账户开通

·人员离职账户注销

·服务器上下架安全管理

·安全应急响应机制

9. 内网安全

·内网服务器安全

·账户统一验证和管理机制(域ldap协议统一验证OA、RTX、邮件、内网业务系统)

·弱口令监测(NTLM/LM)

·账户异常登录

·网络隔离（物理／虚拟化）

·网络准入

·PC安全（病毒统一管理、通知处理）

 

安全合规检查

一般情况下都是日常的检查，还有就是后期的专门针对某一项进行检查，查看是否属于合规，开始安全检查之前，我们都会确认此次检查的主要目标，可能是某个比较新的系统或应用，也许是比较老的系统，但都有一个共同点–重要业务系统。

确定了检测的目标系统或应用后，我们需要制定检测的内容，可能主要包括网络安全、应用安全、数据安全、访问控制、主机安全、权限控制等几方面考虑，也会考虑系统的特殊性及主要功能，确认出重点检查内容，例如，存在较多敏感数据的系统，我们会重点检查数据安全、访问控制、权限控制等几方面的内容；当所有的检查内容已确认后，我们会内部协调人员，针对检查项的内容，进行具体的分工，一般来说都会选择各自擅长的领域，保证检测内容具体一定的深度及专业性，检查人员会根据公司的制度要求以及日常工作的经验对内容进行检查。一般会发邮件或正式的公文给被检查方，要求指定接口人，负责接下来的检查工作，包括人员进出安排，会议室的安排，被检查方内部人员的协调，资料的获取等方面。针对检查的内容，检查组内部会根据制度或经验，会要求被检查方先提供部分资料，减少检查时间，一般检查组组长会事先收集好检查组内部的资料调阅需求，然后统一发送给被检查方接口人，要求在什么时候提供什么内容的资料，检查组内部也会根据提供的材料，在现场或远程查看重点关注的内容项。

随着前面检查准备工作的完成，正式进入安全检查的环节，这部分可能会有两种方式进行，远程检查或现场检查，远程检测会通过视频的形式要求展示检测组提出的检查点，现场检查的流程为召开启动会、确定访谈内容及计划、现场或远程核查内容项、检查进度汇报、检查问题收集等

启动会

我们一般去现场检查都会先召开启动会，会将相关部门的领导、人员邀请参加会议，以便于后面工作的开展，在会上将会此次检查的目的、流程安排、要求等告知被检查方，针对检查的内容项，会建议被检查方的领导指定对应的人员去负责配合工作等。

确定访谈内容和计划的制定

现场\远程核查内容

到了这一步，前面肯定会收到调阅材料，此时，应该要求检查组成员对提供的材料进行核查，确认哪些已经满足的，哪些还需要补充，哪些需要现场上机查看，哪些可以远程提供的，这都需要做个好的记录与统计。

检查进度汇报

一般检查的时间都不止一天，每天下班前检查组的每个组员都需要对自己今天进展进行汇报，表达检查的方法及进度，组长此时应根据组员的反馈情况，及时调整优化，记录，当组员全部汇报完成后，需将今天检查的进度告知双方领导及组员，以便双方领导都明白检查项目的进展情况，我一般都采用邮件的方式，这样显得正式些。

注：对检查过程中需要升级处理的问题，需尽早提出，寻求方法处理，说明困难的原因，请求以及时间，以便领导能协调资源帮助解决。

问题信息收集

最后，组长需要对此次检查发现的问题进行统计，确认，存在的问题都应有截图证明材料，以及公司的制度要求等，能证实问题确实存在，且告知与公司制度的哪一项要求不符合，怎么整改等。

检查结束发现问题确认

1. 在与被检查方确认问题之前，检查组内部需进行问题分析、确认，评估发现问题的风险及内容，尽量描述的准确，真实，这样被检查方才会认可发现的问题，能现场整改完成的，可以直接沟通现场整改完成，并保留证明材料；
2. 与被检查方确认问题之时，清晰明了的指出问题所在，违反的制度内容以及整改方式。
3. 最终确定的检查清单，应已邮件的形式发给双方领导及参与人员。
4. 难免会有争辩的地方，切忌因情绪影响，根据发现风险、分析原因、整改措施这三个方面来沟通

编写检查报告

问题进行确认后，需要编写一份检查报告，对整个检查项目进行分析，包括检查目标，检查内容，检查人员，检查计划，发现的问题等方面，针对检查内容，应尽量详实的描述实际检查的情况。

 

检查总结

针对整个检查项目完成后，应该对此次检查做个总结，可以从如下几个方面去总结：

1. 此次检查的内容覆盖是否完全，查看是否达到预期的设想
2. 针对发现的问题，是否需要改进，存在的漏洞或者问题
3. 检查过程中，如何提高效率
4. 整个检查流程是否需要更新或提高