企业网络安全检查、自查指南
前 言
没有网络安全,就没有国家安全。在中央网络安全和信息化领导小组第一次会议上,国家 就将网络安全提升至国家主权的高度。网络安全已经成为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。
企业中各信息业务系统大多承载了大量用户信息、业务信息,其中电商和金融系统还包括交付功能,如未开展安全检查,这些系统的安全问题不会被提前发现整改,一旦被不法分子发现和利用,将可能造成服务器被控制、用户不需付钱就可支付,用户信息泄露、数据泄露和数据被篡改等严重后果。通过安全检查工作可以提前发现业务系统中的存在安全隐患和不足,进行整改加固后,不仅提高业务系统的安全保护能力,降低系统被攻击的风险,维护企业良好形象,也可以避免被不法分子攻击导致带来经济损失等。
第一章 网络安全检查、自查必要性
网络安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高网络信息安全保障能力和水平、维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。网络安全等级保护制度已实施多年,并且已经进入“等保2.0”时代。在此大背景下《网络安全法》的实施,标志着等级保护制度已经由原来的网络安全基本制度、基本国策,上升到了法律层面。
在《网络安全法》中:
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;(数据安全)
(五)法律、行政法规规定的其他义务。
第三十八条
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
两个条款均强调了网络安全等级保护制度的重要性,要求网络运营者必须按照等级保护制度进行系统安全建设。
第二章 检查前的准备
一 检查前准备
明确被检查系统的结构信息
检查前明确信息系统的部署方式、部署平台信息、所处网络环境、信息系统架构(浏览器/服务,客户端/服务)。
查看已有的网络拓扑结构图,关注本次需要检查的目标信息系统相关的服务器及相关网络与安全设备。
抽取关键点设备检查对象
关键点检查对象包括与被检查信息系统相关的应用发布服务器、数据库服务器、备份服务器、网络边界防火墙、网络交换机。对于虚拟化主机设备还应该对宿主机进行检查,检查形式按照Linux或者Windows主机检查即可。其他设备考虑检查需求与时间控制可酌情进行抽查。对于公用的一些网络设备,应当按照与设备相关的等级最高的信息系统等级进行要求。
确定关键点技术检查内容及检查方法
如网站应用应检查恶意代码以及网站漏洞。Windows服务器需要进行系统漏洞扫描、配置扫描、病毒及木马扫描、弱口令扫描。对于检查工具无法检查的内容一般采用手动检查的检查方式,形成检查表进行填写。
二 工具准备
若采用工具检查,则需准备一套信息系统安全检查工具。对主机、通信网络、网络边界、应用、数据等实现自动化快速检查。推荐使用网络安全检查工具箱进行检查。
第三章 检查方法及步骤
目前对在用网络的网络拓扑排查可以使用人工手动排查和利用检查工具进行自动排查两种方式。
工具检查适用于系统对实时性要求不高,且有完备的恢复方法与手段。
手动检查适用于系统对实时性要求比较高,且无完备的恢复方法。
建议在系统闲时进行安全检查。
一 工具检查方式
工具检查的检查对象主要是采用网络连接或者U盘检查的方式进行,检查对象可归为应用系统检测、数据库检测、服务器检测、防火墙/交换机检测。
当确认系统具备安全检查工具箱接入条件时,可采用工具检查方式进行检查,具体的步骤可按照如下操作:
1 设备接入
检查工具一般有在线检查与离线检查两种检查形式。在线检查一般是指通过网络进行的扫描检查,有漏洞扫描、弱口令检查、在线配置检查等;离线检查一般是指通过离线工具在被检查端主动运行检查程序执行的检查,有无法在线扫描的配置检查、病毒木马检查、Webshell后门检查等。
设备接入点一般为被检查系统所在网络区域的核心交换机,使得检查设备可以在网络上与信息系统相关的设备从网络上可达。
2.检查执行
使用安全检查工具箱执行安全检查功能
漏洞检查:包括网站漏洞、主机漏洞、数据库漏洞;
配置检查:包括主机配置、服务器配置、网络设备配置、安全设备配置;
恶意代码检查:包括主机、服务器恶意代码检查;
弱口令检查:包括数据库、终端、服务器。
对于离线检查,检查执行的技术人员需要对主机执行U盘离线检查工具接入的,应使用具备防恶意代码感染能力的安全U盘
扫描过程中检查执行人员应时刻关注系统运行情况。如果发生异常,应立即中止检查操作,待恢复操作后,根据现场情况调整检查方案酌情继续检查。
3.汇总分析
待手动检查与工具检查结束完毕后,需要将检查结果进行汇总,形成检查汇总报告:
等保检查报告:以汇总角度分析等级保护各检查层面符合情况。
工具检测记录报告:汇总所有已导入关联的工具检查结果。
二 手动检查方式
当系统责任单位的系统不具备安全检查工具箱接入条件时,采用此方式,具体的步骤为:
1.将待检查内容形成检查表或检查问卷,在检查时由对应的责任人填写,完成检查;
2.检查基本方式、方法为人员访谈、文档检查。