《資訊安全技術 資料安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM正式成為國标對外釋出,并已正式實施。美創科技将以DSMM資料安全治理思路為依托,針對各過程域,基于充分定義級視角(3級),提供資料安全建設實踐建議,形成系列文章。本文作為本系列第八篇文章,将介紹資料存儲安全階段的邏輯存儲安全過程域(PA08)。
随着《中華人民共和國資料安全法(草案)》的公布,後續DSMM很可能會成為該法案的具體落地标準和衡量名額,對于中國企業而言,以DSMM為資料安全治理思路方案選型,可以更好的實作資料安全治理的制度合規。
資料生命周期安全過程域
DSMM将6個生命周期進一步細分,劃分出30個過程域。這30個過程域分别分布在資料生命周期的6個階段,部分過程域貫穿于整個資料生命周期。
本文作為《資料安全能力成熟度模型》實踐指南系列第八篇文章,将介紹資料存儲安全階段的邏輯存儲安全過程域(PA08)。
01定義
邏輯存儲安全,DSMM官方描述定義為基于組織内部的業務特性和資料存儲安全要求,建立針對資料邏輯存儲、存儲容器等的有效安全控制。
DSMM标準在充分定義級對邏輯存儲安全要求如下:
1) 組織建設
Ø 美創科技專家建議組織應設立統一負責資料邏輯存儲安全管理的崗位和人員,負責明确整體的資料邏輯存儲系統安全管理要求,并推進相關要求的實施;
Ø 應明确各資料邏輯存儲系統的安全管理者,負責執行資料邏輯存儲系統、儲存設備的安全管理和運維工作。
2) 制度流程
Ø 應明确資料邏輯存儲管理安全規範和配置規則,明确各類資料存儲系統的賬号權限管理、通路控制、日志管理、加密管理、版本更新等方面的要求;
Ø 内部的資料存儲系統應在上線前遵循統一的配置要求進行有效的安全配置,對使用的外部資料存儲系統也應進行有效的安全配置;
Ø 應明确資料邏輯存儲隔離授權與操作要求,確定具備多使用者資料存儲安全隔離能力。
3) 技術工具
Ø 應提供資料存儲系統配置掃描工具,定期對主要資料存儲系統的安全配置進行掃描,以保證符合安全基線要求;
Ø 應利用技術工具監測邏輯存儲系統的資料使用規範性,確定資料存儲符合組織的相關安全要求;
Ø 應具備對個人資訊、重要資料等敏感資料的加密存儲能力。
4) 人員能力
負責該項工作的人員應熟悉資料存儲系統架構,并能夠分析出資料存儲面臨的安全風險,進而能夠保證對各類存儲系統的有效安全防護。
02實踐指南
1) 組織建設
美創科技專家建議組織機構在條件允許的情況下應該設立一個資料邏輯存儲安全管理部門并招募相關的人員負責管理公司整體的資料邏輯,包括學習目前普遍的資料邏輯管理方法,結合公司的實際情況,制定資料邏輯安全存儲管理制度,建立資料邏輯存儲隔離與授權操作标準等,包含認證授權、賬号管理、權限管理、日志管理、加密管理、版本管理、安全配置、資料隔離等要求點,搭建公司整體的資料邏輯存儲系統,同時執行并維護資料邏輯存儲系統和儲存設備。
2) 人員能力
針對資料邏輯存儲安全管理部門的相關人員,必須具備良好的資料安全風險意識,熟悉國家網絡安全法律法規以及組織機構所屬行業的政策和監管要求,在進行資料邏輯存儲管理的時候主要依據《網絡安全法》、《資料安全法》中的相關要求,對公司的資料邏輯存儲做好管理、保護與合規,為公司制定有效的、整體上的資料邏輯存儲管理安全制度和配置規則,明确相應的安全需求并推動相關要求有效的落地執行。除此之外,還需要相關人員熟悉市場上常見的資料存儲系統架構,并且能夠準确根據公司的真實環境與需求,建構公司整體的資料邏輯存儲系統,并且能夠分析出資料邏輯存儲時可能會遇到的安全風險,保障資料邏輯存儲系統的安全性與穩定性。
3) 落地執行性
針對資料邏輯存儲安全管理人員能力的實際落地執行性确認,可通過内部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實作。
4) 制度流程
Ø 邏輯存儲管理安全規範
①系統賬号管理
普通賬号管理:
a) 申請人需使用同一而規範的申請表提出使用者賬号建立、修改、删除、禁用等申請;
b) 在受理申請時,邏輯存儲管理部門根據申請配置權限,在系統條件具備的情況下,給使用者配置設定獨有的使用者賬号和權限。一旦配置設定好賬号,使用者不得使用他人賬号或者允許他人使用自己的賬号;
c) 當使用者崗位和權限發生變化時,應主動申請所需邏輯存儲系統過的賬号和權限;
特權賬号和超級使用者賬号管理:
a) 特權賬号指在系統中有專用權限的賬号,如備份賬号、權限管理賬号、系統維護賬号等。超級使用者賬号指系統中最高權限賬号,如administrator、root等管理者賬号。
b) 美創科技專家強烈建議隻有經邏輯存儲安全管理部門授權的使用者才可以使用特權賬号和超級使用者賬号,嚴禁共享賬号;
c) 邏輯存儲安全管理部門需監督特權賬号和超級使用者賬号的使用情況并記錄;
d) 盡量避免使用特權賬号和超級使用者賬号的臨時使用,确需使用時必須送出申請及審批流程;臨時使用超級使用者賬号必須有邏輯存儲安全管理部門在場監督,并記錄其工作内容;超級使用者賬号臨時使用完畢後,邏輯存儲安全管理部門需立即更改賬号密碼;
賬号權限審閱:
a) 邏輯存儲管理部門需建立邏輯存儲系統賬号及權限的文檔記錄,記錄使用者賬号和相關資訊,并在賬号變動時及時更新記錄;
b) 使用者離職後,邏輯存儲管理部門需及時禁用或删除離職人員所使用的賬号;如果離職人員是系統管理者,則及時更改特權賬号或超級使用者密碼。
賬号密碼管理:
a) 使用者賬号密碼的發放要嚴格保密,使用者必須及時更改初始密碼;
b) 賬号密碼最小長度為6位,并要求具有一定的複雜度,賬号密碼需定期更改,賬号密碼的更新周期不得超過90天;
c) 嚴禁共享個人使用者賬号密碼;
d) 超級使用者賬号需通過保密形式由邏輯存儲安全管理部門留存一份;
認證鑒權:
a) 邏輯存儲系統通過管理平面認證和業務平面的認證,限制可通路邏輯存儲系統的維護終端及應用伺服器。當使用者使用存儲系統時,隻有認證通過後才能對存儲系統執行管理操作,并對存儲系統上的業務資料進行讀寫操作。
②通路控制
a) 邏輯存儲安全管理部門需制定邏輯存儲系統的通路規則,所有使用的使用者都必須按規定執行,以確定邏輯儲存設備和業務資料的安全;
b) 對邏輯存儲系統進行設定,保證在進入系統前必須執行登入操作,并且記錄登入成功與失敗的日志;
c) 邏輯存儲系統的管理者必須確定使用者的權限被限定在許可的範圍内,同時能夠通路到有權通路的資訊;
d) 通路控制權限設定的基本規則是除明确允許執行的情況外,其餘必須禁止;
e) 通路控制的規則和權限應結合實際情況,并記錄在案;
③病毒和更新檔管理
a) 邏輯存儲安全管理部門應具備較強的病毒防範意識,定期進行病毒檢測,發現病毒立即處理并通知上級上司部門或專職人員;
b) 采用國家許可的正版防病毒軟體并及時更新軟體版本;
c) 邏輯存儲系統筆記及時更新或安裝安全更新檔,彌補系統漏洞;必須為邏輯存儲伺服器做好病毒及木馬的實時監測,及時更新病毒庫;
d) 未經邏輯安全管理部門許可,不得在邏輯存儲系統上安裝新軟體,若确為需要安裝,安裝前應進行病毒理性檢查;
e) e.經遠端通信傳送的程式或資料,必須經過檢測确認無病毒後方可使用;
④日志管理
a) 定期檢查邏輯存儲系統上的安全日志進行檢查,對錯誤、異常、警告等日志進行分析判斷,并将判讀結果進行有效解決處理并記錄存檔;
b) 邏輯存儲系統上的日志要定期備份,以便幫助使用者了解在與安全相關的事物中所涉及到的操作、流程以及事件的整體資訊;
⑤存儲檢查
a) 邏輯存儲安全管理部門應定期檢查邏輯存儲系統的存儲情況進行檢查并記錄,如果發現存儲容量超過70%以上,應及時删除不必要的資料騰出磁盤空間,必要時申報新的存儲;
⑥故障管理
a) 邏輯存儲系統的故障包括:軟體故障、硬體故障、入侵與攻擊,以及其他不可預料的未知故障等。
b) 當邏輯存儲系統出現故障時,由邏輯存儲安全管理部門督促和配合廠商從業人員盡快維修,并對故障現象及解決全過程進行詳細記錄;
c) 邏輯存儲系統需外出維修時,邏輯存儲安全管理部門必須删除系統中的敏感資料;
d) 對于不能盡快處理的故障,邏輯存儲安全管理部門應立即通知上級上司,并保護好故障現場;
Ø 邏輯存儲安全配置規則
邏輯存儲系統在上線前應遵循統一的配置要求進行有效的安全配置,同時采用配置掃描工具和漏洞掃描系統對資料存儲系統進行定期掃描,盡可能地消除或降低邏輯存儲系統的安全隐患。關于邏輯存儲的安全配置規則如下,各邏輯存儲安全管理部門可按照實際需求酌情遵從。
①賬号管理與授權
a) 删除或鎖定可能無用的賬戶;
b) 按照使用者角色配置設定不同權限的賬号;
c) 密碼政策設定不符合複雜度要求;
d) 設定不能重複的密碼;
e) 不實用系統預設使用者名;
f) 密碼生存期不得長于90天;
g) 設定連續認證失敗次數;
h) 遠端系統強制關機的權限設定;
i) 關閉系統的權限設定;
j) 取得檔案或其他對象的所有權設定;
k) 将從本地登入設定為指定授權使用者;
l) 将從網絡通路設定為指定授權使用者;
②日志配置要求
a) 稽核政策設定為成功失敗都要稽核;
b) 設定日志檢視器大小;
③IP協定安全要求
a) 開啟TCP/IP篩選;
b) 啟用防火牆;
c) 啟用SYN攻擊保護;
④服務配置要求
a) 啟用NTP服務;
b) 關閉不必要的服務;
c) 關閉不必要的啟動項;
d) 關閉自動播放功能;
e) 稽核HOST檔案的可疑條目;
f) 關閉預設共享;
g) 非EVERYONE的授權共享;
h) SNMP COMMUNITY STRING設定;
i) 删除可匿名通路共享;
j) 關閉遠端系統資料庫;
k) 對于遠端登入的賬号,設定不活動斷開時間為1小時;
l) IIS服務更新檔更新;
⑤其他配置要求
a) 安裝防病毒軟體;
b) 配置WSUS更新檔更新伺服器;
c) SERVER PACK更新檔更新;
d) HOTFIX更新檔更新;
e) 設定帶密碼的螢幕保護;
f) 互動式登入不顯示上次登入使用者名。
5) 技術工具簡述
Ø 技術工具簡述
資料在存儲過程中,除了常見的實體媒體問題所導緻的資料安全問題,還對存儲容器和存儲架構提出了更高的要求,一般來說,存儲資料的容器主要是伺服器,是以這就要求加強伺服器本身的安全措施。從伺服器看,一是需要加強正常的安全配置,這方面可以通過相關的安全基線或安全配置檢測工具進行定期排查,檢查項包括認證鑒權、通路控制等,另一方面需要加強存儲系統的日志審計,采集存儲系統的記錄檔,識别通路賬号和鑒别權限,檢測資料使用規範性和合理性,實時監測以盡快發現相關問題。進而建立起針對資料邏輯存儲、存儲容器的有效安全控制。
Ø 技術工具的方法和原理
①安全基線核查
所謂安全基線,是為了明确企業網絡環境中相關裝置與系統達到最基本的防護能力而制定的一系列安全配置基準。目前安全配置基線主要包含五大塊内容:服務包與安全更新(包括服務包、安全更新相關的配置)、審計與賬戶政策(包括稽核政策和賬戶政策相關的配置)、額外的安全保護(包括網絡通路、資料執行保護、安全選項及若幹系統資料庫鍵值相關的配置)、安全設定(包括使用者權限配置設定、檔案許可、系統服務相關的配置)、管理模版(包括遠端系統調用、Windows防火牆、網絡連接配接相關的配置)。
②日志監控
日志監控是實作邏輯存儲安全的重要一部分,通過對存儲系統的記錄檔進行監控,識别通路賬号和鑒别權限,進而檢測資料使用的規範性和合理性。日志監控系統的實作主要有以下幾部分:日志采集中心、日志存儲中心、日志審計中心
日志采集負責接收各個邏輯存儲系統的日志記錄,并且按照統一的日志格式進行整了解析,然後交給日志存儲中心。
日志采集流程
日志采集的範圍應盡可能的覆寫所有的網絡裝置、作業系統、資料庫以及各個應用系統伺服器的日志記錄,主要包含網絡日志采集和本地日志采集等。
日志存儲中心需要把采集到的日志進行持久化的操作和對存儲在持久化的存儲媒體中的資料進行相關的檢索查詢。常見的存儲媒體有磁盤、CD光牒、錄音帶等,主要的存儲媒體主要是磁盤。資料的存儲系統包括檔案系統的資料存儲和資料庫形式的資料存儲,根據選型,日志存儲中心主要實作三塊功能:日志持久化、日志查詢、日志備份。
日志審計中心是日志監控系統中非常重要的功能,通過該功能,及時的對系統進行審計,實作對越權通路控制等敏感操作進行預警,并将異常情況回報給系統管理者或相關使用者,日志審計中心主要應具備以下功能:審計規則庫管理、審計報表自動生成功能、審計查詢功能、時間周期報表功能、審計相關資訊的配置。
如下圖為日志審計中心的基本流程圖:
Ø 技術工具工作流程和目标
①安全基線核查
安全基線核查工具應實作以下目标:
a) 知識庫子產品:需要廠家自定義的知識庫基礎模版,同時可支援使用者自定義相關知識庫
b) 遠端連接配接登入或本地Agent: 通過本地Agent或者遠端連接配接登入的方式進入需要核查的機器
c) 任務管理子產品:通過使用者自由選擇,選擇需要檢查的政策及檢查時間
d) 知識庫解析及核查腳本執行:解析知識庫子產品并調用相關核查腳本進行安全基線檢查
e) 安全度量:根據核查腳本執行結果,對被檢查機器進行打分評估及輸出相關安全建議
f) 報告輸出:輸出本次安全基線核查結果,主要應包含此次安全核查的總體情況及存在問題的項目
②日志監控
日志監控系統應實作以下目标:
a) 日志采集:收集各類日志并傳送給接收伺服器;
b) 日志接收:日志接收伺服器接收日志;
c) 日志解析:按照标準格式對各類别日志進行标準化,并按日志類型進行分類;
d) 日志存儲:将日志解析後的日志儲存至特定的存儲系統中;
e) 審計規則庫:定義敏感操作相關的行為,将日志存儲系統中的日志與審計規則庫進行比對,審計規則庫支援自定義添加。若比對到特定規則後,進行告警或攔截等預定義的響應行為。
美創科技對于資料存儲安全階段的邏輯存儲安全過程域的實踐指南就展開至此,《資料安全能力成熟度模型》實踐指南系列持續更新中,歡迎持續關注。