浅谈信息安全管理体系建设

信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

浅谈信息安全管理体系建设

虽谈不上”一个人的安全部门”,但是“唯一”的安全管理岗在信息安全管理体系所承担的职责完全不亚于那些孤军奋战的“一个人的安全部门”,纵然知道前路漫漫遍地荆棘,也要摸爬滚打着前进,颇有“天将降大任于斯人也……”的既视感,给那些奋战前线的安全管理先驱者致以最崇高的敬意。

公司只有在达到一定的规模后,才会存在“安全管理岗”这个坑位。很多小型公司普遍还是“一个人的安全部门”,附属于运维部门底下,一个人身兼安全运维、安全管理、应用安全(代码审计、渗透测试)、安全开发,甚至还需要去承担部分运维的职责。对于规模稍微大一点,对信息安全比较重视的、较有前瞻性的企业,亦或是合规性要求比较严格的企业,方才会设定专门的安全管理岗,甚至是成立独立的安全部门。本人就自己的专业范畴,工作职责浅谈安全管理岗。

常说“三分靠技术,七分靠管理”,不去深究技术与管理具体的比例是否准确,但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理,安全管理的作用无可厚非。

作为承担安全管理责任的安全管理岗,核心工作是建立、实施、保持和持续改进信息安全管理体系。通过合理的组织体系、规章制度和管控措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。

不同企业对于信息安全管理体系的建设需求也不甚相同:

  • 可能是从无到有,从0到1建立信息安全管理体系;
  • 可能企业已有“信息安全管理体系”,但仅仅是冷冰冰的制度规范,就躺在管理者的电脑之中,直至面对监管机构检查才开始发挥作用,未发挥该有的约束力、管控力;
  • 可能企业已有信息安全管理体系,但是实时性无法满足企业日益变化的安全需求,待进一步优化改进;
  • . ……

体系建设之初,我相信大家的初衷都是抱着建立建成可落地的信息安全管理体系。但我们都清楚,没有绝对的安全,也没有绝对的可落地。ISO27001也没有定义所谓的绝对安全可落地的信息安全管理体系,它推崇的是PDCA过程模式,保证管理体系持续改进的有效模式。PDCA循环将一个过程抽象为策划、实施、检查、措施四个阶段,四个阶段为一个循环,通过持续的循环,使信息安全管理持续改进。

信息安全管理体系的有效落地程度很大程度上决定了信息安全管理水平。如何建立相对可落地的信息安全管理体系,是贯穿安全管理岗工作的核心问题。关于这个问题,是本人在整个体系建设过程中一直思考反思的问题,本人还在探索摸索的路上,无法给出完整精准的答案。但基于个人在整个体系建设过程中所思所感所想,总结了若干点。

一、来自高层的明确支持,以及相关资源的保障

在一个组织内建设信息安全管理体系必须得到高层管理人员的承诺与支持!为何?

1. 从上之下高效推动

我相信绝大多数安全管理岗都有着相同的经历与感受:我们竭力去推广某个流程规范,期望能在某些方面上从流程规范上改善企业的信息安全问题,但是我们同各个部门沟通过程中却四处碰壁。其他部门不一定愿意采纳流程规范,或是出于工作效率的考虑,或是出于对新事情的排斥。往更直白的说,每个部门都有各自部门的KPI,对于信息安全部门而言,信息安全管理体系的建设落地确实是一项重要的KPI考核指标,但是对于业务部门,他们更看重的可能更多地是业务稳定运行,而信息安全管理体系只是辅助业务安全稳定运行的工具。如果高层管理人员能够出面处理跨部门之间的协调问题,相应的安全方针政策、控制措施方可在组织的上上下下得到更有效的贯彻,体系建设会事半功倍。也正好体现了ISO27001中所提倡的“领导力”的概念,信息安全需要从上至下推动,需要从上而下全员参与。

2. 有效的资源保证

另外一个层面,引用一句俗语“巧妇难为无米之炊”,信息安全管理体系建设过程中,可能会涉及到外部咨询机构、测评机构的引入,可能会涉及安全设备的采购……钱!钱!钱!是任何项目开展的基础,需要领导层在实施有效安全过程的必要的资金支持。

我们确实见过有些企业可能不聘请任何外部第三方的咨询机构,内部人员自行建设信息安全管理体系;

我们也见过有些企业不购买实施有效安全过程所必要的安全设备(防病毒软件、WAF……),内部人员自行开发或基于开源软件二次开发以满足安全需求;

以上做法可行吗?只要企业内部的人力资源能够满足现有需求,当然可行!归根到底,人力资源的投入与资金的投入的平衡,才是最可行的方案!

但人力资源的投入也好,项目设备资金采购也罢,都离不开领导层的高度支持。

二、适合自己的,才是最好的

为什么要建立信息安全管理体系?企业面临哪些问题和风险?企业现在处于什么安全管理水平?每个企业信息安全工作的出发点和关注点不同,后续安全工作的重点自然也不同。我们确实见识过很大大型企业拥有完善的安全管理体系,处于行业的前沿,引领着安全的发展趋势,但出自以上公司的管理体系不一定适用于自己的公司,我们可以参考他们的管理模式,在我们内部做一定的调整适用,但却无法完全效仿大公司的管理模式,去照搬,去复制。管理50人与管理5000人适用不同的管理方式。或许既然都有能力有效管理5000人,那确实也能去管理50人。但是某种程度上,杀鸡焉用牛刀? 如果一个安全要求不是很高的企业,效仿具备极其严格安全要求的公司,发布各种安全制度政策,上各种安全流程控制,做各种安全审计和检查,理论上确实安全了,但搞得民怨沸腾,往往效果也不好。投入与产出是亘古不变的话题,是安全管理岗需要去衡量的。安全终究是为业务服务的,信息安全管理体系必须从业务目标出发,反映业务的安全需求。只要能够满足业务的安全需求,哪怕管控程度不如其他行业,也是一套好的管理体系。适合自己的,才是最好的!

服务器/网站漏洞检测,渗透测试,安全检测,漏洞修复

服务器/网站漏洞检测,渗透测试,安全检测,漏洞修复

技术分享图片
帮您挖掘出应用中存在的安全漏洞,并将发现的诸多安全漏洞串联形成路径,最终达到模拟入侵的效果。渗透测试可以帮助客户发现应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失等的漏洞。入侵者的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。测试人员利用安全扫描工具对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,以人工渗透为主,以自动工具为辅,保证整个渗透测试过程都在可以控制和调整的范围之内,避免对网络造成破坏性的损害。测试人员侵入系统并获取系统信息后,会将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并能及时提醒安全管理员完善安全策略,降低安全风险。本服务提供的交付物是html交互式报告,可用浏览器查看并重放成功入侵的脚本。漏洞修复后,安全人员可自行对修复结果进行有效性评估,验证漏洞修复是否成功。本服务还可提供虚拟补丁,用以导入客户的WAF,极大增强WAF的防护效果和效率,保护应用服务器不受黑客入侵。
团队简介:
Yuntest工作室创建于2014年03月08日,地点位于广东省珠海市。成员均为来自全国各地的爱好者,成员均拥有国家OSCP、CEH资格认证,具备极为丰富的实战经验, 曾在乌云,补天等多家SRC厂商提交过多次漏洞工作室成立的目的是让“黑客”职业化,正式化
服务对象:
Linux/Windows服务器(配置安全监测,定制需求
WEB网站安全测试(对注入、跨站、越权、CSRF、中间件、规避交易、信息泄露、业务等67个检测项进行安全检测)
服务内容:
安全性漏洞挖掘找出应用中存在的安全漏洞。安应用检测是对传统安全弱点的串联并形成路径,最终通过路径式的利用而达到模拟入侵的效果, 发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

漏洞修复方案:渗透测试目的是防御,故发现漏洞后,修复是关键。 安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的攻击。

渗透测试范围和内容:

网站安全渗透:SQL注入/漏洞文件/上传漏洞/数据库漏洞/XSS跨站/漏洞CSRF/跨站漏洞/文件包含漏洞/任意文件下载漏洞/网站程序漏洞
服务器安全渗透:提权漏洞/ARP欺骗/后门本地溢出测试/漏洞测试/远程桌面认证/绕过漏洞/应用系统漏洞
根据不同的渗透测试结果, 制作一套完整的安全报告以及可行的修补建议服务流程

服务流程:

  1. 填写表单:企业填写测试需求。
  2. 商务沟通:确定测试意向,签订合作合同。
  3. 启动
  4. 收集材料:系统账号、稳定的测试环境、业务流程等。
  5. 执行
  6. 风险分析:熟悉系统,进行风险分析,设计测试风险点。
  7. 漏洞挖掘:安全测试专家分组进行安全渗透测试,提交漏洞。
  8. 报告汇总:汇总系统风险评估结果和漏洞,发送测试报告。
  9. 漏洞修复:企业按照测试报告进行修复。
  10. 测试完毕:双方计算费用。