前言:
“今天的讨论有很多有价值的话题和发言,有一点小建议:安全领域众多,我们这个群基本以企业安全团队负责人为主,关注的是企业安全最后一公里的问题,偏重于安全有效性和最佳实践,因此请一些朋友照顾一下,偏理论的讨论少一些,偏实践的多一些,这样给大家的实际工作帮助更大一些。互联网公司安全为什么能一定程度引领行业发展,还是因为从解决实际问题出发,因此本群的讨论,很多看起来并不是高大上的话题,但却是解决企业实际问题必须的。吾生有涯而学无涯,把有限的精力投到快速解决实际问题上去,恳请大家照顾一下。”
回看5年前在金融业企业安全建设实践群内发的建群初衷,回首五年群运营,很多群友贡献了大量有价值的实践话题和实战经验,这些非常有价值的内容需要沉淀下来。感谢我们的群秘花了大量时间做了整理,形成了一个系列话题,可分为三类:基础安全(5个)、安全管理(3个)和其他(3个),其他包括数据安全*1、安全运营*1、网络攻防*1。
目录:
篇一:浅谈root账号安全管理
篇二:供应商及人员安全管理
篇三:温故知新之职业欠钱理解的安全运营
篇四:测试环境安全管理漫谈
篇五:流量层检测的未来何去何从?
篇六:安全资产管理
篇七:操作系统补丁管理与代码扫描工具探讨
篇八:矛与盾,攻与防杂谈集锦
篇九:如何进行有效的安全规划与汇报?
篇十:小议数据安全场景应对之道
篇十一:众说纷纭聊安全弹性与韧性
1 外部供应商管理
在金融业,“外包、合作开发软件”是普遍存在的一个情况,虽降低了成本,但带来了安全风险,主要原因:
一是属于乙方根据甲方需求重新或二次开发,仅面向少数客户,成本难以分摊,导致厂商无法在安全需求上重点投入。
二是工期通常较紧,甲方通常面临内部业务方的工期压力,进而传导到乙方,乙方迫于工期压力,为赶进度而损失安全需求,甚至违反内部的安全开发规范和流程。
三是IT技术和安全技术日新月异,但部分厂商的软件开发框架比较旧,有的超过10年,根本无法满足现在的安全要求,而且目前大部分厂商的规模并不大,利润空间较低,框架更新缓慢,导致交付的软件安全质量堪忧。
既然我们清楚了外部厂商的风险来源于整个大环境,短期又无法有效改变,那单个公司和个人能做哪些呢?
答案是有的,那就是加强对软件厂商的安全管理,常用的方法有
-
建立供应商安全评估准入机制和软件厂商安全标准,并监督落实;
-
对软件厂商交付的代码进行黑盒检测,有条件的白盒检测,发现未满足安全要求的进行整改,并追究内部人员(安全测试和开发人员)责任;
-
安全要求写入合同,反复违反的进行高层约谈和行业通告,特别及时向监管层报告。
技术上,建立动态资产信息库,定期实施扫描、监控,不断收集整理供应链相关第三方软硬件信息,包括开发框架、组件等其它应用系统,持续对第三方开源或闭源系统实施漏洞挖掘,并针对隐蔽的链接、跳转链接实施主动和被动结合的排查。
其实供应链安全,不只应该由用户甲方买单,还应需要软件厂商的良知、国家监管层面的严惩约束以及全社会的道义谴责。
2 双人复核的意义
无论是业务、运维还是运营,只要是变更,就会有操作风险。其中业务、运维部门的关键参数修改的风险控制,常常会引入双人复核机制,这其实是一个管理手段。
为什么引入双人复核?核心问题是人的失误,主要有如下几点:
-
人失误是很难完全避免的,即便是很优秀的人也会犯错误;
-
失误通常不是本人的主观愿望;
-
可能发生失误的情景是可以预测、控制和防范的;
-
个人行为受到组织、制度和管理水平的深刻影响;
-
理解并消除导致失误的因素,通过培训从以往的事件中汲取教训,可有效避免人因失误的发生。
那么该如何避免人的失误?
传统方法,针对个人是“引起”事故的原因,对犯错人员进行点名批评、责备,使其羞愧。假定过失或错误的原因是疏忽、精力不集中、不仔细、缺乏知识或技能、态度不积极或者许多其他过失之一。利用对纪律的强调和敬畏来提高安全程度。
更进一步,认识到整个体制对错误的形成都有贡献,承认组织文化、人与系统接口的设计以及环境要素会为“潜在失误”创造条件,“潜在失误条件”会诱发人员犯错,认识到个人的局限性,个人犯错是不可避免的。因此,构建体制时应当预见到个人犯错的可能性并努力减轻其引起的后果。
因此,关键参数修改应该有双重确认机制和关键参数修改的监测。Resmussen & Jensen 于1974年提出的关于人因失误分类的理论:技能型失误,程序型失误以及知识型失误。例如东航案例明显属于技能型失误。
3 信息安全离职审计要点
曾有人问起离职信息安全审计做什么?因为缺乏具体背景,这里列了一些关键点,供参考:
(1)各类内部系统的账户权限是否完整交接;
(2)掌握的笔记本、台式机和涉密资产(电子、纸件、软硬件台账)是否完整交接;
(3)掌握的关键资产是否交接,比如U盘形式的数字证书、公司域名的注册邮箱。
(4)掌握的外部系统的账户、权限是否完整交接、清理,比如Github,比如社区论坛,比如供应商文档软件下载中心的账号;
(5)与内部各部门、外部各类组织的接口关系是否通知变更、注销;
(6)审计离职前(至少3个月)的文档操作访问记录、上网记录、邮件外发记录,重要岗位要求至少6个月。
(7)签署信息安全承诺书。从法律来说其实是多此一举,但是心理威慑来说可以强化。
(8)离职前夕,只要是外发邮件、拷贝记录,都立即抄送一份给主管。
如果你准备开展离职人员的信息安全审计,首先是建立离职审计流程和机制,再是要及时宣贯,最好正式写入员工手册,让新员工参加培训就都知道,再加上违规案例举例,就像路边的监控摄像头,会配套告示牌,“您以进去监控区”。同时在真正进行离职审计时,某些审计措施不用告诉被审计者,就像一个博弈的过程,他知道你知道什么,他不知道你知道什么,形成足够的威慑措施。
最后,欢迎各位读者畅所欲言,您可以在留言区写下您的想法和建议,我们一起讨论。同时,小编也会在后续的群精彩话题中,尽可能结合您的建议来组织编辑,并会将您的问题向强大的群组织请教解题之法,期望能为您带来最大的帮助。
往期精彩群话题
办公安全实践讨论:沙盒的用户体验、终端DLP+虚拟化浏览器+上网行为管理+网络DLP的互联网方案以及数据网关作用
因勒索软件攻击,数据被加密:IT主管和工程师被开除,并要求索赔 21.5 万元
更多精彩内容,点击阅读原文!
如何进群?
请见下图:
原文始发于微信公众号(君哥的体历):供应商及人员安全管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论