系统管理
云服务的系统管理
与本地资产的系统管理相比,云服务的系统管理带来了独特的挑战。值得注意的是,云服务的系统管理责任通常由服务提供商和其客户共同承担。由于服务提供商实施的系统管理流程和程序通常对其客户不透明,因此客户应考虑让服务提供商的控制平面在不同的安全域内运行。
系统管理流程和程序
系统管理的一个关键组成部分是确保使用系统管理流程和程序以可重复且负责的方式开展管理活动。为此,管理活动的要求可能包括:
-
配置应用程序、操作系统、网络设备或其他信息技术 (IT) 设备
-
对应用程序、驱动程序、操作系统或固件应用补丁、更新或供应商缓解措施
-
安装或删除应用程序、操作系统、网络设备或其他 IT 设备
-
实施系统变更或增强
-
解决用户发现的问题。
此外,为了支持变更管理流程和程序,系统管理员应记录管理活动的要求,考虑潜在的安全影响,获得任何必要的批准,通知用户任何中断或中断,并维护系统和安全文档。
系统管理流程和支持系统管理程序得到开发、实施和维护。
系统管理员记录管理活动的要求,考虑潜在的安全影响,获得任何必要的批准,通知用户任何中断或中断,并维护系统和安全文档。
单独的特权操作环境
网络安全的最大威胁之一是特权账户的入侵。为系统管理员提供除非特权操作环境之外的单独特权操作环境,使得管理活动和特权账户更难被恶意行为者入侵。
对于系统管理员来说,使用不同的物理工作站(其中一个是专用的安全管理工作站)是分离特权和非特权操作环境的最安全方法。但是,基于虚拟化的可信和强化解决方案可能足以在同一安全管理工作站上分离特权和非特权操作环境。在这种情况下,特权操作环境不应在非特权操作环境中虚拟化。
安全管理工作站用于执行管理活动。特权用户使用单独的特权和非特权操作环境。特权操作环境未在非特权操作环境中虚拟化。
非特权帐户无法登录特权操作环境。特权帐户(不包括本地管理员帐户)不能登录非特权操作环境。
行政基础设施
通过将管理基础设施与更广泛的网络和互联网隔离,可以提高管理活动的安全性。在此过程中,使用跳转服务器(也称为跳转主机或跳转箱)可以成为简化和保护管理活动的有效方法。具体而言,跳转服务器可以过滤网络管理流量,同时还可以作为执行多因素身份验证、存储和管理管理工具以及执行日志记录、监控和警报活动的焦点。最后,使用单独的跳转服务器来管理关键服务器、高价值服务器和常规服务器可以进一步帮助保护这些资产。
管理基础设施与更广泛的网络和互联网隔离。关键服务器、高价值服务器和常规服务器的管理基础设施彼此隔离。网络管理流量只能源自管理基础设施。
管理活动通过跳转服务器进行。不属于管理基础设施的网络设备无法发起与管理基础设施的连接。
系统修补
补丁管理流程和程序
应用补丁或更新对于确保应用程序、驱动程序、操作系统和固件的持续安全至关重要。在此过程中,务必以一致且安全的方式应用补丁或更新。例如,使用集中式管理方法维护补丁或更新的完整性并确认已成功应用。
补丁管理流程以及支持补丁管理程序得到开发、实施和维护。集中式管理方法,维护补丁或更新的完整性并确认已成功应用,用于修补或更新应用程序、操作系统、驱动程序和固件。
软件注册
为了协助监控信息源以获取相关补丁或更新的详细信息,组织应该开发、实施、维护并定期验证工作站、服务器、网络设备和其他 IT 设备的软件注册表。
工作站、服务器、网络设备和其他 IT 设备的软件注册表会定期开发、实施、维护和验证。软件寄存器包含应用程序、驱动程序、操作系统和固件的版本和补丁历史记录。
扫描未缓解的漏洞
为了确保补丁或更新已应用于应用程序、操作系统、驱动程序和固件,组织必须定期使用自动化资产发现方法(例如资产发现工具或具有同等功能的漏洞扫描器)识别其环境中的所有资产。在资产发现之后,可以使用具有最新漏洞数据库的漏洞扫描器扫描已识别资产中缺少的补丁或更新。理想情况下,漏洞扫描应以自动化方式进行,并且频率应为补丁或更新需要应用的频率的两倍。例如,如果补丁或更新要在发布后的两周内应用,则应至少每周进行一次漏洞扫描。
每两周至少使用一次自动化资产发现方法来支持资产检测,以便进行后续的漏洞扫描活动。具有最新漏洞数据库的漏洞扫描程序用于漏洞扫描活动。每天至少使用一次漏洞扫描程序来识别在线服务中缺失的补丁或更新。
每周至少使用一次漏洞扫描程序来识别办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品中缺失的补丁或更新。每两周至少使用一次漏洞扫描程序来识别除办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品之外的应用程序中缺失的补丁或更新漏洞。
每天至少使用一次漏洞扫描程序来识别面向互联网的服务器和面向互联网的网络设备的操作系统中缺失的补丁或更新,以查找漏洞。
每两周至少使用一次漏洞扫描程序来识别工作站、非面向互联网的服务器和非面向互联网的网络设备的操作系统中缺失的补丁或更新。
每两周至少使用一次漏洞扫描程序来识别除工作站、服务器和网络设备以外的 IT 设备操作系统中缺失的补丁或更新漏洞。
每两周至少使用一次漏洞扫描程序来识别驱动程序中缺失的补丁或更新漏洞。
每两周至少使用一次漏洞扫描程序来识别固件中缺失的补丁或更新漏洞。
当未缓解的漏洞存在可用漏洞时,通常会评估系统被入侵的可能性。
缓解已知漏洞
当供应商发布针对漏洞的补丁或更新时,组织应根据恶意行为者试图利用漏洞的可能性在相应的时间段内应用这些补丁或更新。例如,优先为在线服务以及面向互联网的服务器和面向互联网的网络设备的操作系统中的漏洞提供补丁或更新。当供应商将漏洞评估为严重漏洞或存在可利用的漏洞时,这一点尤为重要。
如果没有针对漏洞的补丁或更新,供应商、可信机构或安全研究人员提供的缓解建议可能会提供一些保护,直到补丁或更新可用。此类缓解建议可能会与漏洞公告同时发布,或在其后不久发布。缓解建议可能包括如何禁用或阻止对易受攻击功能的访问、如何重新配置易受攻击的功能,或如何检测对易受攻击功能的尝试或成功利用。
如果针对高可靠性 IT 设备发布了补丁或更新,ASD 将对该补丁或更新进行评估。随后,如果批准部署该补丁或更新,ASD 将提供有关应用方法和时间表的指导。
当供应商将漏洞评估为严重或存在可利用的漏洞时,将在发布后 48 小时内应用针对在线服务漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为非关键且不存在可用漏洞时,将在发布后的两周内应用针对在线服务漏洞的补丁、更新或其他供应商缓解措施。
针对办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品中的漏洞的补丁、更新或其他供应商缓解措施在发布后两周内应用。
当漏洞被供应商评估为严重或存在可利用的漏洞时,应在发布后 48 小时内应用针对办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品中的漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为非关键漏洞且不存在可用漏洞时,将在发布后的两周内应用针对办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品中的漏洞的补丁、更新或其他供应商缓解措施。
针对办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品以外的应用程序中的漏洞的补丁、更新或其他供应商缓解措施在发布后的一个月内应用。
当供应商将漏洞评估为严重或存在可利用的漏洞时,将在发布后 48 小时内应用针对面向互联网的服务器和面向互联网的网络设备的操作系统中的漏洞的补丁、更新或其他供应商缓解措施。
当供应商将漏洞评估为非关键漏洞且不存在可利用的漏洞时,将在发布后的两周内应用针对面向互联网的服务器和面向互联网的网络设备的操作系统中的漏洞的补丁、更新或其他供应商缓解措施。
工作站、非面向互联网的服务器和非面向互联网的网络设备的操作系统中的漏洞的补丁、更新或其他供应商缓解措施在发布后的一个月内应用。
当供应商将漏洞评估为严重或存在可利用的漏洞时,应在发布后 48 小时内应用针对工作站、非面向互联网的服务器和非面向互联网的网络设备的操作系统中的漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为非关键且不存在可用漏洞时,应在发布后的一个月内应用针对工作站、非面向互联网的服务器和非面向互联网的网络设备的操作系统中的漏洞的补丁、更新或其他供应商缓解措施。
当供应商将漏洞评估为严重或存在可利用的漏洞时,将在发布后 48 小时内应用针对工作站、服务器和网络设备以外的 IT 设备操作系统中漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为非关键漏洞且不存在可用漏洞时,将在发布后的一个月内应用针对工作站、服务器和网络设备以外的 IT 设备操作系统中漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为严重或存在可利用的漏洞时,将在发布后的 48 小时内应用针对驱动程序漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为非关键漏洞且不存在可用漏洞时,将在发布后的一个月内应用针对驱动程序漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为严重或存在可利用的漏洞时,将在发布后的 48 小时内应用针对固件漏洞的补丁、更新或其他供应商缓解措施。
当漏洞被供应商评估为非关键漏洞且不存在可用漏洞时,将在发布后的一个月内应用固件漏洞的补丁、更新或其他供应商缓解措施。
仅当获得 ASD 批准时,才可使用针对高保证 IT 设备中漏洞的补丁、更新或其他供应商缓解措施,并且在使用过程中,需使用 ASD 规定的方法和时间表。
停止支持
当应用程序、操作系统、网络设备和其他 IT 设备达到支持终止日期并成为遗留 IT 时,组织将发现越来越难以保护它们免受漏洞攻击,因为供应商将不再提供补丁、更新和其他形式的支持。因此,应删除或更换不受支持的应用程序、操作系统、网络设备和其他 IT 设备。
在计划停止支持时,重要的是要注意,虽然供应商通常会提前告知操作系统支持的停止日期,但某些应用程序、网络设备和其他 IT 设备可能会在新版本发布后立即停止获得支持。
最后,当无法立即删除或更换不受支持的应用程序、操作系统、网络设备或其他 IT 设备时,应实施补偿控制,直到可以删除或更换它们为止。
供应商不再支持的在线服务已被删除。
办公生产力套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件、Adobe Flash Player 和不再受供应商支持的安全产品将被删除。
除办公生产力套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件、Adobe Flash Player 和不再受供应商支持的安全产品之外的应用程序将被删除。
供应商不再支持的操作系统将被替换。更换供应商不再支持的网络设备和其他 IT 设备。
当无法立即移除或更换供应商不再支持的应用程序、操作系统、网络设备或其他 IT 设备时,将实施补偿控制,直到可以移除或更换它们为止。
数据备份与恢复
数字保存政策
作为数字连续性规划的一部分,制定、实施和维护数字保存政策有助于确保维护数据的长期完整性和可用性,尤其是考虑到数据退化和可移动媒体、硬件和软件过时的可能性时。
制定、实施和维护数字保存政策。
数据备份和恢复流程和程序
制定数据备份和恢复流程和程序是业务连续性和灾难恢复规划的重要组成部分。此类活动也将成为总体数字保存政策不可或缺的一部分。
数据备份流程和支持数据备份程序已开发、实施和维护。
数据恢复流程以及支持数据恢复程序均已开发、实施和维护。
执行并保留备份
为了降低因勒索软件攻击或其他形式的破坏性攻击而导致系统可用性或数据丢失的安全风险,应根据组织的业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。在此过程中,应同步所有数据、应用程序和设置的备份,以便恢复到共同的时间点。此外,必须以安全和有弹性的方式保留所有备份。这将确保如果系统成为勒索软件攻击或其他形式的破坏性攻击的受害者,数据不会丢失,并且如有必要,系统可以快速恢复。
根据业务关键性和业务连续性要求执行并保留数据、应用程序和设置的备份。数据、应用程序和设置的备份同步,以便恢复到共同的时间点。数据、应用程序和设置的备份以安全且有弹性的方式保留。
备份访问
为了减轻未经授权访问备份的安全风险,组织应确保通过使用适当的访问控制来控制对备份的访问。
非特权帐户无法访问属于其他帐户的备份。非特权帐户无法访问自己的备份。特权帐户(备份管理员帐户除外)不能访问属于其他帐户的备份。特权帐户(不包括备份管理员帐户)无法访问他们自己的备份。
备份修改与删除
为了减轻备份被意外或恶意修改或删除的安全风险,组织应确保在保留期间通过使用适当的访问控制充分保护备份,防止其被未经授权的修改和删除。
非特权帐户无法修改和删除备份。特权帐户(备份管理员帐户除外)无法修改和删除备份。备份管理员帐户在保留期内不得修改和删除备份。
测试备份恢复
为了确保在需要时可以恢复备份,并且可以预先识别和管理任何依赖关系,重要的是在灾难恢复演习中以协调的方式测试将数据、应用程序和设置从备份恢复到共同的时间点。
将数据、应用程序和设置从备份恢复到共同时间点作为灾难恢复演习的一部分进行测试。
— 欢迎关注
原文始发于微信公众号(祺印说信安):信息安全手册:系统管理指南
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论