解决方案-审计网络安全问题-零基础攻防指南

解决方案-审计网络安全问题-零基础攻防指南

目录

1 概述

2 审计情况

2.1 物理安全

2.2 网络安全

2.3 主机安全

2.4 应用系统

2.5 数据安全

2.6 管理安全

2.7 应急管理

3 总结

1 概述

信息系统面临多种威胁，可能面临自然、环境和技术故障等非人为因素的威胁，也可能面临人员失误和恶意攻击等人为因素的威胁，威胁可能引起不希望的安全事件，对信息系统的业务信息安全性或业务服务的保证性造成损害。不同的信息系统所承载的业务和处理数据重要程度不同，不同的信息系统所处在的位置和环境有所不同，对信息系统的保护要求也会不同。企业互联网支付系统是以电子支付系统为主的准金融系统，所以在对信息系统的保护要求上我们参照金融系统的安全保护等级进行安全评估。

安全报告主要针对企业互联网支付系统所覆盖的范围进行安全评估，评估通过技术性评估和非技术性评估两种方式产生报告，并在一定范围内对企业现有平台系统的安全建设完善提出建议。

我们将企业互联网支付系统划分为四个实体层面进行评估，即物理层面、网络层面、系统层面、应用层面。物理安全体现为环境安全、设备安全、媒体安全。网络层面主要包括交换机和路由器。系统层面主要指服务器上的操作系统与数据库系统。应用层面指实现应用服务的应用软件。

2 审计情况

2.1 物理安全2.1.1 生产机房场地安全

现状：生产机房部署在公司的内部,并且和办公场地独立分开；周围无电磁场干扰，并且远离易燃、易爆场所等危险区域；具有异地备份机房 ，场地及周围环境安全符合要求。

改进：无。

2.1.2 物理访问控制

现状：生产机房安装门禁系统，普通员工禁止进入；生产机房人员和物品进出有申请和出入登记；机房24小时监控录像，白天和晚上专人值守。

改进：无。

2.1.3 灾害预防措施和设备

现状：机房配备环境监测监控系统，对机房内温湿度、配电系统等进行实时监控，并具有自动气体消防系统，监测火情进行消防预警；机房采用具有耐火等级的建筑材料；机房大楼具有避雷装置，且设置交流电源地线；机房具有防水防潮、防静电、防尘、防鼠措施。

改进：无。

2.1.4 电力供应

现状：机房配备双UPS设备供电，并安装电源稳压器，保证机房电源系统稳定运行。具有供电异常报警装置，并且配备了与UPS功率相匹配的发电机设备，设置并行的电缆线路为计算机系统供电，隔离了电源线缆和通信线缆。

改进：无。

2.1.5 温湿度控制

现状：机房配备专用柜式空调，空调系统具有不间断运行能力，机房环境检测系统能进行异常报警，温度范围为23±2℃,机房湿度范围为40%-55%。

改进：无。

2.1.6 设备安全和管理制度

现状：设备或存储介质机房出入，应有监控和记录，公司发布了《企业机房管理规范》《企业网络及安全管理办法》《企业交易监控及管理规定变更流程》《企业机具巡检制度》《企业核心机房电源开启关闭手册》《企业机房巡视流程》《企业电子设备管理办法》

改进：需要进行定期检查并对制度进行更新。

2.2 网络安全2.2.1 结构安全和网段划分

现状：根据不同业务要求，划分了不同的IP段，并设置了不同的Vlan域，目前前置机、数据库服务器和运维跳板机均位于不同区域。主要网络设备的业务处理能力和网络各个部分的带宽满足业务高峰期需要；关键的网络设备和通信线路具有冗余备份。

改进：无。

2.2.2 网络访问控制

现状：在网络边界部署了防火墙、UTM等访问控制设备，并启用访问控制功能；公司内外网进行了物理隔离，业务办理区禁止访问，外网区域员工可以自由访问，但实时对访问的网站进行了记录；对进出网络的信息内容进行过滤。

改进：网络访问控制使用白名单。

2.2.3 网络设备防护和网络安全管理

现状：网络设备访问通过用户名、密码进行认证，口令满足强密码策略；同时对网络设备访问进行了策略控制，限制了限问主机。公司发布《网络及安全管理办法》对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定。

改进：对网络设备设置控制访问的IP地址。

2.2.4 网络入侵防范

现状：公司网络边界部署了防火墙、UTM等访问控制设备，并建立防火墙日志服务器，启用访问控制功能；定期对公司内网进行渗透；和漏洞发布平台建立沟通聚到，及时整改漏洞平台白帽子发现的漏洞。

改进：部分防范策略基于黑名单，黑名单具有漏报，需要进行改进。

2.3 主机安全2.3.1 身份鉴别

现状：应用管理账号和操作系统管理账号分别进行管理，本地登录采用用户名密码的认证方式，登录操作系统和数据库系统的口令要求长度至少6位、口令不等于用户名、口令至少包含数字，字母及特殊字符、新口令同原口令至少有三个字符不同、口令的生命周期最长6个月、口令可重复使用间隔时间至少3个月，新建的个人帐户应设置口令策略。

改进：无。

2.3.2 自主访问控制

现状：公司网络规定中要求控制主机的访问权限系统设置清除过期用户，会话超时5分钟自动退出,对用户分配最小权限。

改进：应从技术角度控制对生产网中主机的访问。

2.3.3 强制访问控制

现状：对用户分配最小权限，禁止非root用户写系统重要文件,系统无共享目录,不允许远程登陆。操作系统和数据库系统的匿名、默认用户的访问权限已被禁用；以未授权用户身份、角色访问客体，不能进行访问。

改进：无。

2.3.4 安全审计

现状：系统对每个用户的日志进行记录，日志记录的内容包括事件的日期、时间、发起者信息、类型、描述和结果等，审计记录设置为仅管理员读写权限，普通用户无法访问，通过人工定期进行分析，系统日志不允许非root用户删除。

改进：无。

2.3.5 资源控制

现状：只允许管理台进行登录管理，不允许其他非法终端访问。登录超时时间为5分钟，超时后退出。

改进：无。

2.3.6 入侵和恶意代码防范

现状：每3个月年对相应软件进行升级及更新，定期对系统进行渗透和审计，并对发现的问题进行跟踪整改；在终端上安装了公司的防病毒软件，防火墙对主机进行保护，并进行相应日志记录。

改进：无。

2.4 应用系统2.4.1 身份鉴别

现状：登录采用用户名密码的认证方式，密码采用强密码策略，密码长度大于6位，数字与字母组合，密码有效期为3个月。

改进：无

2.4.2 自主访问控制

现状：根据不同的业务需要，不同的人员在控件和数据库具有不同的权限。

改进：无。

2.4.3 代码安全

现状：经过防病毒软件检查，并进行应用服务没有代码上的致命安全漏洞。

改进：无。

2.5 数据安全2.5.1 数据存储和备份

现状：每周对业务数据进行全备份，备份数据存储于硬盘和磁带；实施异地灾备机房备份, 定期进行数据恢复演练。

改进：无

2.5.2 数据存储介质管理

现状：采用磁带和硬盘双备份，存储于机房存储设备中,位于机房环境，按照机房设备管理制度管理,存储数据过期后，对数据进行格式化，重复利用。保留介质销毁制度及销毁记录。每月月结备份数据的存储磁带退出流通，于15公里以上的异地永久保存。

改进：无。

2.5.3 数据恢复

现状： 发布数据恢复制度，定期进行恢复演练，制定演练计划，对演练进行记录。

改进：无。

2.6 管理安全

现状：企业具有完善的安全管理体系和相应的信息安全管理制度。

公司信息安全组织：

图1：公司信息安全组织结构

公司信息技术应急指挥小组：公司信息安全管理工作第一责任人，由公司负责人担任，主管信息安全业务的体系领导担任第二责任人。指挥小组负责决策、管理评审、资源提供等。

各体系信息安全管理小组：由部门管理干部指派一名骨干员工担任信息安全接口人，负责在本部门落实信息安全策略及相关要求、以及提升本部门信息安全水平，风控部派驻信息安全经理监督、指导、及协助推进体系信息安全工作。管理小组负责执行公司信息安全管理委员会的决策、执行落实公司信息安全策略及相关要求、体系管理评审、资源提供等。

公司信息安全文件管理体系：

2.7 应急管理

企业具有《企业技术系统事故防范及应急处理办法》和《企业网络与信息安全事件应急预案》，并组织技术人员定期进行演练。

2.7.1 应急响应机制

在网络与信息安全事件发生后，信息技术负责人应立即根据本预案中规定的通报要求，在规定的时间内上报事件情况，首先通过电话报告事件情况（受话人要做好电话记录），随即填写《网络与信息安全事件情况报告书》并传真上报。

（1）公司支付系统发生软硬件故障，可能导致或已经造成公司业务中断的事件发生后：

向公司指挥小组报告：应急值班员必须立即通知公司信息技术负责人启动应急预案进行应急处理，同时立即报告公司指挥小组应急值班员。

向监管机构报告：指挥小组组长立即安排应急报告人上报辖区相关单位，并每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告。

向外部单位通报：指挥小组值班员应立即通知相关通信运营商、电力运营商、运行环境维护商、公安机关等外部单位启动应急预案进行应急处理。

（2）公司支付系统发生网络与信息安全事件后：

向公司指挥小组报告：应急值班员必须立即通知公司信息技术负责人启动应急预案进行应急处理，同时立即报告公司指挥小组应急值班员。

向监管机构、公安机关报告：指挥小组组长立即安排应急报告人上报辖区相关单位，并每隔30分钟至少上报一次，直至系统恢复正常运行。涉及到网络犯罪的事件，指挥小组组长应安排应急报告人报送当地公安网监部门，同时保证后续信息的持续报告，如有重要情况应立即报告。

向外部单位通报：指挥小组值班员应立即通知相关通信运营商、电力运营商、运行环境维护商、公安机关等外部单位启动应急预案进行应急处理。

（3）持续报告：持续报告时应填写《网络与信息安全事件情况报告书》，内容包括事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、其它与本事件有关的内容。

（4）事件初步定级：配合辖区相关单位和公司指挥小组进行持续评估，按相关规定对事件进行初步定级。

（5）事件处置进展报告：在网络与信息安全事件初步定级为特别重大或重大事件时，公司须在事件发生后1小时内，将事件处置进展报告书面上报公司指挥小组应急值班员，在事件发生后2小时内报辖区相关单位。事件处置进展报告应至少包括持续报告填报的内容。应保证报告要素完备、及时、准确，不得瞒报、缓报、谎报网络与信息安全事件的情况。

2.7.2 应急处置流程

（1）事故发生后，事故现场处理人员须尽可能查明原因，及时解决问题。对于不能解决的问题，要及时与信息技术部值班人协商解决，安排相关人员协助事故处理。

（2）对于较重事故或严重事故，应及时向信息技术部和相关的业务部门负责人报告，以便统一采取相应的事故处理措施。针对较重事故或严重事故启动应急预案，必须由信息技术部负责人批准。

（3）严重事故必须及时上报公司领导。

2.7.3 后期处置

网络与信息安全事件应急处置结束、系统恢复正常运行后，各部门应尽快消除事件造成的影响，恢复正常工作，各部门应做好网络与信息安全事件的分析与总结工作。信息技术负责人在事件应急处置结束、系统恢复正常运行后12小时内，将事件分析总结上报公司指挥小组应急值班员。事件总结报告内容应包括但不限于：

事件概况，包括事件发生时间、地点、事件经过、事件影响范围、影响程度、影响人数、经济损失和导致的后果等。

应急处置过程，包括事件上报过程、采取的措施及效果。

事件发生的主要原因分析、事件性质、结论。暂时无法确定事件原因的，应给出事件的初步原因，并组织力量尽快查找原因，在找到事件原因后再提交事件总结补充报告。

改进：无。

3 总结

经过对企业互联网支付系统的内部安全审计，审计小组一致结论为：企业互联网支付系统整体上达到准金融企业的相关安全要求标准。

~

网络安全学习，我们一起交流

~