刚刚经历了安全专项检查,昨天结束的,从知道单位被抽中,到昨天,其实到今天,或者未来一段时间,感觉都是压力很大。虽有安服,但是参与的第一个人还没有等到检查就辞职了,接任者,对单位情况和读者一样一无所知,所以,整个准备工作等于自己独立完成,安服公司的帮忙打印了大部分材料。前后一个月,真的是操心,现在还没有缓过来,满脑子的事情,做安全的工作,真的应该属于特种行业,可惜如果选择了学校,嗯,就认了吧。
后期要求整改,限期整改,其实在自查的过程中,我就有了很多想法,安全工作真的是重在日常,特殊时期呢,做好一些加强工作即可。我就把自己发现的和被发现的问题总结一下,指导自己未来的工作,因为我想甩开手上的事情,太难了。有责任心的人搞安全工作,真的有点害人啊。性格使然,好了,开始总结。总结大概多是做的不好或者没有想到的方面,有些可能认为理所当然的就没有再提了。
一、安全制度
从上大小,都是没有规矩,不成方圆的,有法可依,有理可循,有据可查,这都需要有完备的制度体系来做保障,一方面指导工作,一方面也是保护自己。要做的事情,不可以想当然,也要有配套制度,比如漏扫或风险评估,你即使一直在做,也要把此工作写入制度。
1、要有红头文件的安全组织机构。如果只是临时去网上找制度改改,在某些严肃的时刻是不被认可的,所以红头文件还是可以很好的把一些工作提升层次。
2、落实责任制,一定要和绩效考核等关联。需要二级部门领导盖章,把资产清单也一并交由领导来督办确认。每年一次,常态化工作才能有较深的概念。
3、安全机构里的组织,要有明确的工作分工和内容。这个其实很难落地,数据库管理员,密码管理员,这些其实并没有,但是还是需要给人员一个分配,让他们自己在相关领导与做些探索。
4、应急响应的制度里要有联系人和联系方式。因此,这种制度大概率是每年需要更新的。
5、每年度的安全工作计划要有的。即使领导没有要求,自己也要有想法,不好一杆子支到哪里算哪里,虽然很多时候,计划并没有被支持或认可,但还是要有的。也算是自己对工作的一个思考和展望。
6、
二、安全设备
安全设备,如果只是为了合格,那么就浪费了啊,回想一下,自己也是没能把每个安全设备都做到物尽其用,其实这些设备被等保要求,一定是经过专家们的认真思考的。让每个设备都跑满一点吧,把各个安全设备的日志都吐到日志审计设备,这样在进行溯源的时候不用一个一个安全设备去查看,很有用,特别是查挖矿IP。
1、关键位置要热备,如防火墙,waf。
2、安全设备的配置要定期备份,还要做到异地备份。
3、每个安全设备的日志要6个月。
4、告警要设置,至少是邮件告警。
5、确保产品是正式授权,且时限在合理期限。
6、相应的模块都可以升级或在近期升级过。
7、限制管理员的登入地址范围。
8、防篡改对重要系统的必须。确认一下防篡改是一次性,还是也有升级维保一说。
9、数据库审计必须要有。一般都是按照实例个数来卖的,安全人员要规划好整个单位的情况,至少有一些些预留。定期看看审计中是否有相关数据。是不是必须镜像流量。
三、信息系统
1、只要暴露互联网,就一定要https。
2、数据量10W,就要上三级,必须的。
3、备份文件要演练,还要有记录。
4、数据存储加密不能SHA256,MD5。
5、系统也要运维或者说自检巡检报告。
6、数据库不能使用sa这种,需要对各种权限进行设置限定。
7、数据安全重点,个人信息防护。不能直接查阅,或者说系统不能直接呈现手机号,身份证号等,要托名。
8、数据存放时,要加密,或者脱敏。包括照片,要加密存放。
9、对于一些关键业务要求双活,这个有点难。系统不能恢复,数据至少要保证。
四、密码
1、如果只是用了账号密码登录,属于未使用密码技术。
2、至少管理员要双因子认证。
3、门禁,一卡通等里面的算法要国密算法。
五、其他
1、网络设备、服务器的日志进入日志中心。
2、在安全上的花费,设备和运维清单整理好,各种填报都有此数据。
3、对系统漏洞检测,多种工具交叉扫描,web和主机都要。主机一定要全。
六、再有
1、每年的时间节点表,这个后续会整理一个,包括大节点和小节点。
(1)安全设备:半年巡检一次报告。
2、有些工作要提前告知其他部门的。
(1)制度修改,同步建设同步规划的,要体现。对网络安全的要求要体现。对等保的经费保障要体现。
(2)把对系统安全的要求,通过一种标准或指南形式呈现,由信息中心交予各建设部门。在建设前期即告知。
前期:同步建设安全的制度要求,签订保密协议。
中期:建议部署完成后,或之前即对操作系统开展安全检测。
后期:提供源代码,代码审计报告,验收的安全报告,整体架构设计。(可能包含多个服务器主机)。告知要定期进行系统巡检,并提供报告文档。
3、重保前还是要让部分同志一起参与,成立专项工作小组,给他们一些实际工作。
4、一些工作及时变成纸质版本,需要盖章和签字的做好归档,及时归档。
时间规划粗糙版
-12月: 全年安全工作总结。(全校安全事件,漏洞通告,等保建设,渗透测试目标)
来年的工作计划。
1月:寒假前。各业务系统和数据的备份情况,挑选2个做恢复可用性测试。
2月:刚开学,做一次钓鱼邮件测试吧。对各种制度集中进行修订。确定新的一年上会的制度。
3月:启动新一年等保建设。完成第一季度风险评估。应急演练1。
4月:开一次全校的网络安全工作会议。完成安全意识培训。
5月:文保的检查,即自查报告和数据填报。应急演练2。
6月:第二次风险评估。督促安全厂商提供巡检报告,系统管理人员提供系统巡检报告。
7月:假期,可以适当做点安全新技术的测试应用。使用不同平台工具交叉漏扫。
8月:假期,适合对各种漏洞进行整改修复,影响面较小。渗透测试。
9月:第三次风险评估。应急演练3。网络安全周专题活动。启动运维维保工作。
10月:重保工作梳理。关注等保完成情况。
11月:资产梳理工作。台帐更新。备案更新。
12月:第四次风险评估。应急演练4。历史遗留漏洞梳理。