文章目录
前面把差评(差距评估)报告整理完后,接下来就是甲方要按照报告中指出的不足之处进行改进,虽然说整改按理是甲方的事情,但是实际上还是需要测评人员参与的,这里还是大概按前面提到的几个方面分别来说,但是整改过程灵活性比较大、范围,设计到设备采购、环境搭建、系统配置、文档整理等,所以很难方方面面都列举全,其实应该是按差评报告一项项的进行即可,这里主要点出一些比较容易忽略而且比较容易整改的地方。
安全物理环境
这里主要是机房,硬件肯定是要到位,空调、UPS、门禁、监控等。还有一些个文档:
冗余电力切换记录
编号 | 记录日期 | 演练时间 | 演练地点 | 备用电流切换是否正常 | 主用电需恢复是否正掌 | 故障异常情况与处理措施 | 记录人 |
---|---|---|---|---|---|---|---|
机房出入登记表
序号 | 姓名 | 单位 | 人数 | 事由 | 电话 | 进入时间 | 高开时间 | 接待人 | 是否带PC | 备注 |
---|---|---|---|---|---|---|---|---|---|---|
来访人员进入机房审批表
主要包括:
填写人
日期
文件编号
申请人
申请人所属部门
事由
来访人员姓名
来访人联系电话
来访人单位名称
出入机房名称
来访人数
进入时间
离开时间
预计停留时间
陪同人员
联系电话
来访事由
主管部门审批意见
审批日期
防水防潮运维记录
巡检时间 | 巡检人 | 巡检项目 | 巡检结果 | 备注 |
---|---|---|---|---|
水敏感应运维记录表
巡检日期 | 检查区城 | 监控主机工作状态 | 监控模块状态 | 线缆接口 | 漏水绳外观状态 | 故障异常情况与处理措施 | 巡检人 |
---|---|---|---|---|---|---|---|
视频监控系统巡检记录表
巡检时间 | 巡检区域 | 视频监控系统查看、回放、日期是否正常 | 视频监控系统图像质量是否正常 | 视频监控系统配套设备运行是否正常 | 视须监控系统摄像头是否牢固 | 故障异常情况与处理措施 | 巡检人员 |
---|---|---|---|---|---|---|---|
消防系统运维记录表
巡检时间 | 火灾自动报警系统 | 感烟探测报警系统 | 气体灭火系统 | 故障异常情况与处理措施 | 巡检人员 |
---|---|---|---|---|---|
机房温湿度运维记录表
巡检时间 | 温度是否正常 | 湿度是否正常 | 故障异常情况与处理措施 | 巡检人员 |
---|---|---|---|---|
备用电源运维记录表
巡检日期 | 整机设备是否正常 | UPS主机运行是否正常 | UPS散热风扇是否正常 | UPS电池是否正常 | 故障异常情况与处理措施 | 巡检人 |
---|---|---|---|---|---|---|
以上内容根据等保级别会有一些差距,可打印填写后由测评人员拍照存档(防止抽查)。
还有一些验收文档,例如:电磁防护验收文档、建筑抗震文档。
如果是云环境,需要引用云服务提供商的等保报告
安全通信网络+安全区域边界
总体思路:没有设备就上设备;
有设备的按差评报告配置设备。
日志、流量监控,这能在设备上打开的都打开,动下手指即可,其实设备都有前辈大佬都整理了加固基线,我这里就不贴了。
例如:
H3C网络设备加固基线
身份鉴别
分配用户账号
配置密码复杂度
加密账号静态口令
删除无关帐号
设置访问级密码
启用远程认证授权
访问控制
防止地址欺骗
安全审计
启用远程日志
启用NTP服务
入侵防范
过滤已知攻击
网络设备防护
限制远程管理地址
启用SSH登录维护
启用登录失败处置
启用登录超时退出
禁用非必要网络服务
配置命令级别
更改SNMP默认Community串
限制SNMP服务主机
其他
关闭未使用接口
数据安全
这块内容是贯穿在等保标准里面的,单独提取出来总结一下,主要是对针对数据的加密、防泄漏的要求。整改方法可以上硬件,也可以上软件。对应的方法大概有:
文档安全管理
DSM文档安全管理系统(DSM,Document Security Management),用于文档、源代码、图纸类数据防泄密,通过认证、加密、监控和追踪等手段在PC终端和移动终端提供系统数据保护和安全的整体解决方案。根据配置规则对文档及源代码加密,安全性极高。缺点:面对大文件加密解密会影响机器性能。根据这个特点,比较适合office类文档,简单图纸类、源代码类的加密防泄密。而且对MAC系统支持比较少,估计和这个系统环境有关系。前期需要对开发部门调研测试,那些需要加密,那些不需要加密,规则配置方面可能需要大量时间。后期文档审批需要配备专门的审批管理人员。
数据安全隔离
DSA(Data Security Architecture?)数据安全隔离方案是目前市场上占有率最高的数据安全解决方案,主要用于源代码防泄密,通过构建源代码存储、流转、使用的安全区域,来实现源代码防泄密。不需要依赖进程进行一系列安全策略设定和代码本身进行处理。DSA数据安全隔离技术采用虚拟底层驱动加密隔离技术,较沙盒隔离技术在隔|离效果上更彻底,对数据隔离的达到安全性更高;各终端之间网络通信加密形成安全子网也是DSA区别于沙盒隔离的重要安全特点之一。DSA数据安全隔离技术不是针对文件进程的隔离,而是在文件进程的更底端来处理数据,因而与进程无关,使DSA技术更加安全,稳定,简便。DSA数据安全隔离技术不对文件进程进行操作,对计算机资源的要求较沙盒等隔离技术少。相对于DSM而言文件处理的性能损耗低、资源访问速度更快。DSA技术摒弃了复杂的可信和非可信进程的配置,DSA策略设置极其简单,后期无需特别专业培训维护,工作量小。
沙盒
SDC(Secret Data Cage)沙盒技术主要用于源代码防泄漏,通过沙盒隔离来保证代码安全。沙盒隔离技术本质上是一种访问控制,其局限性会导致沙盒逃逸等安全问题,从而无法达到完全隔离的效果;因此,沙盒隔离在实际使用中可能会导致数据泄露风险。沙盒技术是依据进程进行识别判定,依赖应用层的访问控制策略来区分以达到隔离目的。整个进程配置较复杂。沙盒技术需要判定可信和非可信进程,设置黑白名单,区分机密和普通进程。
数据泄露防护
DLP(Data Leakage Prevention)数据泄露防护将DSM文档加密软件、DSA数据安全隔离作为功能模块,集成在DLP统一安全平台上,用于满足大型用户复杂的数据特点与应用场景,实现用户按需部署;当然,DLP平台上包含但不限于DSM、DSA模块,还有其它功能模块,例如:移动智能终端安全、文档密级管控、数据泄露防护网关、数据安全态势感
知等等。缺点就是贵,但是可以根据企业自身情况采购不同模块。例如:终端DLP:可实现终端设备敏感数据扫描,终端设备敏感数据外发监控,终端设备敏感数据外发保护。网络DLP:可实现对网络传输中的敏感数据进行监控,对通过网络传输的敏感数据进行数据泄露防护。存储DLP:可实现对文件服务器,数据库服务器等服务器中的敏感数据发现,敏感数据保护。