前言

这篇文章主要说的是我在这次内部测试的任务中,如何一步步获取应用系统最高权限,总的来说,是各种小漏洞的组合拳。因是内部系统,所以打码稍微严重些。

正文

在兴(suo)致(ran)盎(wu)然(wei)的某一工作日,突然接到领导的指示,要对内部的运维平台进行渗透测试。

image.png

在收到消息的第二天,我精(wan)神(ban)抖(wu)擞(nai)的开始了我的工作。要到测试地址后,我一看,卧槽,果然不出所料,只有一个登陆框。

image.png

对于这种系统,我在心里告诉自己,不要慌,办法总比困难多,随便找两个低危漏洞交差了事,并且又想到,这是生产系统,全国几十个分公司都实时在用,可不能搞瘫痪了,最终我说服自己不扫描、不测影响业务的漏洞,这样一想,我心里立马更坚定了只找两个低位漏洞交差的想法。我果然是聪敏人!!

开始

好的,接下来我就简单的收集了些信息

首先用google插件wapplyzer,查看了当前系统的信息

image.png

为了不被防火墙拉黑,nmap简单的跑了一下,就是探测一些常见的端口,看看管理员有没有部署一些用于测试的垃圾站。。。。结果可想而知。

image.png

还跑过系统目录,钟馗也看了下等等,没什么有用信息,就不贴图了。

看来确实要对主站完全手工了,只能打开神器burp分析数据包,尽量挖一些逻辑上的漏洞。

我看了登录框,没验证码,首先想到的肯定是对admin账号先爆破一波。然而:当我输入几次登录信息后,发现用户名密码错误提示是一样的,且有5次错误锁定策略,那肯定就不能直接进行爆破了。

image.png

接着看网页源码也没什么有用信息,但看包竟然是明文传输的,这种情况下,采用单次撞库是最合适的手段。

image.png

接下来就是祭出burp,抓包,撞库,用topname10000进行撞库,幸好没用tonname500,要不然可能就凉了

image.png

运气不错啊,一万里面总算还有两个成功的,看来后台的弱口令总是会有漏网之鱼。

到这,我觉得我的工作已经算是超额了,可以交差了。但想着将要面对领导那慈祥的眼神,我只能瑟瑟发抖的再接着往下测。

登录wu**这个账号到系统里面,发现这个账号权限很低,不行,满足不了自己的需求,再尝试登录另一个账号,苍天有眼,竟然有新建账号的权限,看来是个当官的了。。。

image.png

接下来就是对账号新建功能一系列的尝试,过程就略了。。。。只说结果。

在新建账号发现在选择角色处,某一个角色权限竟然比自己使用的账号的权限还要高,果断就建了一个账号systemtest。

image.png

然后再登录systemtest发现,有更多的模块,而其中一项竟然是角色管理,而这个角色管理可以新建一个角色,并且新建角色尽然可以选择拥有所有模块的权限,以我的作风,那必须立马盘它。

image.png

到此,感觉到浑身充满了力量,这么容易就拿下了最高权限?迫不及待的我立马新建了一个角色,一个账号systemtest2,登录。。。

image.png

噗。。看到这画面,我就蒙了,现实果然给了我一个狠狠的耳刮子,这个权限竟然只有某一个分公司的最高权限,而不是系统总部的最高权限,这可不行,都到这了,一定要拿下总部的最高权限。

接着,我又开始目的性很强的功能分析与寻找,其实就是胡乱点击,过程就略了…..最终我在查看用户信息的时候发现,发现一个很有特色的参数,而这个参数很像用户的ID值

image.png

以我的聪(cai)明(shu)才(xue)智(qian)立马感觉这参数有戏,果不其然,我一访问,就感觉发现了新大陆一样

image.png

遍历340这个值,就可以直接修改个人信息啊。然后我经过测试,顺利的发现了admin账号的信息

image.png

到了这一步,我就要举一反三了,既然可以修改用户信息,那是不是也可以越权修改用户密码呢?带着这个疑问,我直接到修改个人密码功能的地方,果然可以越权访问修改密码的URL。。

image.png

接下来就是要必须解决旧密码的问题,只能去尝试是否可以绕过,没办法,只有抓包分析了。

咦。。。当我在输入旧密码后,准备输入新密码时,系统竟然会先对旧密码进行判定,我就在想这很可能可以绕过旧密码验证

image.png

我马上进行了抓包,果不其然,判定条件就以true/false来判定的,到了这,我感觉我要成功了,有点开始飘了,看来可以交差了。我把response结果改为true,长度改为4,果然成功绕过了验证。哈哈….

image.png

那接下来就一切顺利了,修改了admin密码,并成功登陆,看到了所有分公司的数据。。。。。。。

image.png

至此,就一切结束了,可以交差了。

测试的工作嘛,到这就结束了,至于拿shell,后渗透这些什么的,就再慢慢弄算了。。先把报告除了再说。

结语

拿下系统的最高权限并不是仅仅单靠某一漏洞,而是靠的各种小漏洞的组合拳,首先是明文传输,这就有了撞库的机会,然后是有弱口令,撞库才会成功,然后功能设计上也有缺陷,低权限的账号怎么能新建高权限的账号呢?设计者这就应该挨板子了,再然后才有越权访问admin信息,再有原密码的绕过,这一系列小漏洞单独来说不严重,但一旦结合起来,就出现了很严重的安全事件,在进行安全防护工作时,应尽量考虑周全,任何一个弱点都可能成为黑客的突破口。

*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载

*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载

一   前言

前期为大家分享了一篇等保活动中「安全管理机构」的测评经验,有朋友看后发私信建议我出个系列文章,在下不敢,圈内大牛如云,在下不敢放肆,只能将多年的安全工作经验总结出来,分享给感兴趣的朋友,如果能给这些朋友的工作提供一点点帮助,那是对我文章最大的肯定。秉着抛砖引玉的心态,这期就为大家分享等保活动中「关键活动」建设的经验,望各位朋友多多指教。

500450166_wx.jpg

关键活动——顾名思义,就是在一系列活动中最为重要的且必须要完成的活动,在等级保护工作中,关键活动是安全防护工作的重中之重,是确保等级保护是否顺利通过的关键之处,也是为企业安全提供较高保护关键工作。在等级保护中,关键活动往往定义为高危,一旦遭受破坏,则会对企业造成较大的损害。

二   关键活动建设

关键活动往往贯穿整个安全建设工作,包含物理安全方面、网络安全方面、应用安全方面、主机安全方面等,每个方面对关键活动的实现标准也不同,我现以第三方测评角度就等级保护中的关键活动做一个总结,以及应该如何来实施关键活动的防护措施,不足之处请各位大佬多多指教。 

三   物理安全关键活动

物理安全的活动主要有物理位置选择、物理访问控制、防盗窃和放破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护,其中电力供应属于关键活动,具体说下: 

 1)电力供应

 活动要求

Ø c) 应设置冗余或并行的电力电缆线路为计算机系统供电。

Ø d) 应建立备用供电系统。

实现建议

根据等保要求,物理安全中电力需要多重保障。这项活动有个特别简单的实现方式,就是部署 UPS 和柴油发电机,两者缺一不可。不过也有部分企业是采用的两条不同的电源线路,这也是可以的。

四   网络安全关键活动

网络安全的活动主要有结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防护、网络设备防护。每项活动都属于关键活动,需要企业一一实现。

1)结构安全

活动要求

Ø a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;

实现建议

等保要求主要网络设备要具备冗余空间,一般我们可以认为核心交换机、负载均衡、核心主机等设备要满足冗余部署模式,另外带宽也是要考虑在内的。还有在企业安全建设工作中,我一般也会建议边界防火墙也采用冗余部署。

 活动要求

Ø c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

实现建议

一般来说,安全的访问路径是指不允许业务终端在没有任何安全防护的措施下直接访问业务服务器,可以在两者之间部署防火墙设备进行控制,也可以在通过管理域进行设备访问跳转,并开启审计策略,两种实现方式都可以。

 活动要求

Ø e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。

实现建议

相信大多数企业这一条都是能做到的,很简单,就是划分子网,现在一般是在交换机上来实现的。不过本人也遇到过部分企业,网络结构特别简单,就部署了一个集线器,应用系统和终端都在一个网段,安全意识不太强,这种情况是不符合的。

 2)访问控制

活动要求

Ø b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。

实现建议

这一项关键活动主要是靠防火墙来实现,粒度要具体到某一端口或者某一具体协议。当然也可以用交换机 ACL 来实现,在测评过程中,这两种形式都可认定为符合。

 活动要求

Ø c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、 FTP、TELNET、SMTP、 POP3 等协议命令级控制。

实现建议

这一条的要求就是不管是哪些设备、哪些应用、哪些主机,都不能采用未加密的传输协议进行传输,特别是在运维过程中,应当采用 SSH 进行运维,不能采用 telnet 协议。

3)安全审计

活动要求

Ø a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

实现建议

这一项活动可以采用部署软硬件的监控工具,网络流量和用户行为可以部署网管软件、堡垒机、日志分析软件等方式来实现,网络设备运行状况可以部署 zabbix 或其他监控工具来实现,方式比较多。

4)边界完整性检查

活动要求

Ø a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

Ø b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

实现建议

这一项的要求比较明确,就是内设外联、外设内联的监控,即不允许未授权的设备连接到内网,也不允许内网设备私自连接外网,可以通过部署准入控制系统进行控制,也可以安装桌面安全管理系统,开启设备「违规外联」的功能,另外也要使用 IP/MAC 绑定等辅助措施,基本就能做到有效的安全防护了。有些企业可能有 wifi,在这种情况下,要一定将 wifi 进行分区管理,并同时进行 wifi 接入认证。

5)入侵防范

活动要求

Ø a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。

实现建议

讲实在话,这一条要实现起来比较麻烦,要同时实现这么多安全防护是不太现实的,所以尽可能实现就行了,一般建议部署 IPS/IDS、防毒墙等设备,当然有些企业是部署的那种 UTM 设备,这种设备看起来是各个危害都做了防御,但其实效果并不会很理想。不过下一代防火墙会效果要好很多。

6)恶意代码防范

活动要求

Ø a)应在网络边界处对恶意代码进行检测和清除。

实现建议

这一项的重点是在「网络边界、检测、清除」三个词,有些企业认为只要部署了杀软,就算达到要求,这是不对的,较好的办法是在边界处部署防毒墙产品。

7)网络设备防护

活动要求

Ø d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

Ø e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

实现建议

这就是我们内常说的双因素验证,哪些算是呢,第一是基于我们知道的,第二是基于我们拥有的,第三是基于个人生物特征的,三种当中任选两种都是可以的,比如说口令加手机验证码,或者口令加物理 key,机房方面可以是门禁卡加指纹,都是可以的,值得注意的是如果使用口令,需要增加口令策略。

主要网络设备一般是指什么呢,相信大家应该都知道,比如核心交换机、日志服务器、核心主机、管理主机等,当然各个企业也可以根据自身情况各自认定。

五   主机安全关键活动

主机安全的关键活动有身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制,其中身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范属于关键活动,具体如下:

1)身份鉴别

活动要求

Ø b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。

实现建议

本条要求就是主机的口令要有一定的复杂度,并定期更换,就设置口令策略来控制。当然另外也应该修改默认的管理用户账号,禁用默认的账号,安全防护度就会更高。

活动要求

Ø d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。

实现建议

这个就是要禁用一些未加密的网络传输协议,如 FTP、TELNET、RDP 等。

活动要求

Ø f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

实现建议

和网络安全关键活动中 7d 同样的方法,采用双因素认证模式。

2)访问控制

活动要求

Ø c)应实现操作系统和数据库系统特权用户的权限分离。

实现建议

要确保操作系统和数据库系统管理员不是同一自然人,将两者权限分离。

活动要求

Ø f)对重要信息资源设置敏感标记。

Ø g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

实现建议

这两条的要求就是要对用户权限进行分级管理,对敏感的信息进行标记,设置用户权限对照表,并根据用户权限表对用户进行授权。

3)安全审计

活动要求

Ø a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。

Ø b) 应能够根据记录数据进行分析,并生成审计报表。

实现建议

这一条的要求就是审计的范围,包括每个操作系统用户和数据库用户,开启本地安全策略—审计策略功能。要想达到更好的效果就可以部署日志审计系统和数据库审计系统,在企业安全建设工作中,审计工作是重中之重,必不可少。值得注意的是,在等保 2.0 中并不会有 b) 这一项要求。

4)入侵防范

活动要求

Ø b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。

实现建议

要对重要程序进行完整性检测,并具有恢复措施。很多第三方安全工具都有这种功能,比如桌面安全管理系统。将重要文件纳入完整性监控范围,并进行对比校验,这一项实现起来不难。

5)恶意代码防范

活动要求

Ø a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。

实现建议

安装正版杀软或者桌面安全管理工具。值得注意的是,杀软或者桌面安全管理工具要具有统一管理的功能,要能够及时更新恶意代码库。

六  应用安全关键活动

应用安全活动主要包含身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制,其中身份鉴别、访问控制、安全审计、软件容错属于关键活动,具体如下:

1)身份鉴别

活动要求

Ø b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;

Ø c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;

实现建议

和网络安全关键活动中 7d 同样的方法,采用双因素认证模式,应用系统应开发口令策略功能模板,并启用口令策略,确保口令复杂度。

2)访问控制

活动要求

Ø d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;

Ø e) 应具有对重要信息资源设置敏感标记的功能;

实现建议

和主机安全关键活动中 2f、2g 一样,要设置敏感标记功能,并授予不同账号最小服务权限。详细说来就是要设置普通用户、管理用户、审计用户。进行三权分离。

3)安全审计

活动要求

Ø d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

实现建议

审计活动前面说的比较多了,不在赘述,但有一点值得注意的是,等保 2.0 中并不会要求具有生产审计报表的功能要求。

4)软件容错

活动要求

Ø a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;

实现建议

软件容错这一项是非常重要的,稍不注意往往就会造成 sql 注入攻击、XSS 跨站攻击、逻辑漏洞攻击等危害,这项活动主要是从软件设计、代码编写等方面去考虑。值得注意的是,等保 2.0 中没有这一项测评活动,但增加了可信验证测评项,大体上要求是一致的。

七   数据安全及备份恢复

在等保 1.0 中,这一方面并没有高危项,但并不代表这一方面不重要,这方面其实也有关键活动,我在后面的篇幅里面会说到。

八   等保 2.0 中可能增加的关键活动

在等保 1.0 中,关键活动的大类不多,但细数下来,具体到测评项,大概就有几十项,要全部实现,还是非常麻烦的,这需要大量的资金投入与专业人才保障。而等保 2.0 中,除了 1.0 中大部分的关键活动,还增加了一些关键活动,因等保 2.0 还没有正式实施,我现根据多年安全工作经验在这里做个关键活动预测,供大家参考,具体如下:

个人信息保护

在个人信息泄露越来越严重的今天,对个人信息的保护亟不可待,国家和各行业也多次发布相关要求、条例来说明个人信息保护工作,同时网络安全法中也特别提到个人信息的内容,所以,我预测个人信息保护 将会是等保 2.0 的关键活动。

集中管控

等保 2.0 中单独提出了安全管理中心这一大类,毫不夸张的说,如果这都不是关键活动,那就没天理了,而在这项活动建设时要使用加密方式进行远程管理,部署综合网管系统,部署综合审计系统,部署集中防病毒系统、补丁管理系统,部署安全事件识别、报警和分析系统等等,这些都是属于集中管控的要求。

可信验证

在等保 2.0 技术部分中,除了安全物理环境以外,安全通信网络、安全区域边界、安全计算环境、安全管理中心都提到了可信验证,不得不说,这一项成为关键活动的可能性非常大。

以上三项是个人认为的可能在 2.0 阶段成为关键活动的工作,共大家参考,也希望大家能提出不同看法,共同讨论。

九   总结

正如前文所说,关键活动是等级保护中非常重要的活动,是必不可少的活动。关键活动包含哪些,现总结如下:

电力供应、结构安全、访问控制、安全审计、身份鉴别、边界完整性检查、入侵防范、恶意代码防范、网络设备防护、软件容错、个人信息保护(2.0)、集中管控(2.0)、可信验证(2.0)。

企业在进行网络安全建设工作时,这些方面应该要着重建设,当然企业网络安全建设工作也不能完全依靠关键活动,应该从各个方面进行防护。

*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载

*本文作者:jin16879,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

作为一名从事多年信息安全的工作者,深深感觉到信息安全无小事,事事需尽心。安全防护不应该只防护外部攻击,更多的防护工作应该从内部出发,制定完善的安全管理制度,循序渐进的推进安全防护工作。企业信息安全建设工作可以从多个方面来建设与完善,我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验,与各位共勉,干货在后面。

等级保护包含哪些方面

根据GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》、GBT 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》、GB/T 28448-2012 《信息安全技术 信息系统安全等级保护测评要求》等相关标准,将等级保护分为 ‘技术’ 和 ‘管理’ 两大模块,其中技术部分包含:物理安全网络安全主机安全应用安全数据安全备份恢复共五个方面;管理部分包含:安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理共五个方面,如下图所示:

等级保护包含哪些方面

本篇文章具体介绍在信息安全等级保护三级要求中–安全管理机构测评过程中的经验分享,安全管理机构有5个测评指标,分别是岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

如选图所示:

安全管理机构测评过程中的经验分享

我将以测评方的角度来看待安全问题,下面开始干活。

安全管理机构具体测评

1、岗位设置

a:应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。

测评经验: 此条测评项主要是检查客户有没有设立安全管理部门来具体负责信息安全工作,一般来说,政府单位会设立信息中心负责,并且会设置信息中心主任(一般就默认为安全主管),而在测评过程中发现,企业在这方面做的工作就不够,很多企业就只是有个兼职的部门来做这个事,而且没有相应的安全主管或安全负责人。我们在对这项进行测评的时候,要询问并记录安全管理责任部门、责任人、安全主管的具体名称,并要查看具体的岗位职责文件(有可能在任命文件中会提到)。

b:应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。

测评经验 :这条就比较容易测评了,就访谈客户看看有没有设立安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员等职位,并且应提供专门的任职职责文件。一般来说,既然标准都着重提出安全、系统、网络这三个管理员,所以我们也要着重看。值得注意的是,一是安全管理员必须是专职的,不能由任何其他管理员兼任;二是系统管理员和数据库管理员不能为同一自然人,这两点要特别注意。但在很多真实环境中,客户方往往都没有专门设立相应的管理员,特别是安全管理员,并且根本不会出什么文件来明确各管理员的职责,本人遇到过的一个单位,整个安全部门就两个人,这种情况就是需要整改了。

c:应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。

测评经验 :在这一条测评项中,我们要询问客户方是否成立了信息安全委员会或者领导小组,不能客户说成立了就成立了,我们应该要查看领导小组成立的正式文件,要查看这个文件中的组长和组员,要求文件中应有每个人的联系方式以及工作职责。值得注意的是:领导小组的组长应由企业一把手担任,虽然标准中没说必须,但在我国国情下(自行脑补国家信息安全领导小组组长),都应该由一把手来担任。

可以分享个真实的案例,我们当地的一家高校门户网站被入侵,首页发布了一些影响较大的言论,造成了一些影响,这种情况下,一把手当时是首当其冲的,所以我们测评过程中都是要求客户要由一把手来负责安全工作。

d:应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

测评经验:这一条中,我们要检查部门、岗位职责文件,查看部门职责是否覆盖物理、网络、系统安全等各个方面。岗位职责文件其实也可以查看招聘要求,招聘的时候一般就会说明此岗位的职责和需要的技能要求。一般我建议客户的整改方案是制作一份部门的职责的文件,里面全面描述部门职责、人员划分及职责的情况。

2、人员配备

a:应配备一定数量的系统管理员、网络管理员、安全管理员等。

测评经验: 这一条的测评方法就是询问客户系统管理员、网络管理员、安全管理员的配备数量,要求是至少1人及以上。但很多客户是达不到这种要求的,而我的建议整改是用兼职来代替,但兼职的注意事项就要参考1.b来实施了。

b:应配备专职安全管理员,不可兼任。

测评经验: 这一条就是要求客户的安全管理员是专岗专职的,不能由其他职位人员来兼任。如何验证是专岗专职呢,就查看岗位人员情况表。不过话说回来,很多单位都没有安全管理员……….

c:关键事务岗位应配备多人共同管理。

测评经验: 这一条的测评难点是在关键事务岗位的认定,很多客户是根本不会想到还有关键事务岗位这个条件的,所以我一般会给客户解释哪些可以认定为关键事务岗位,一般就是安全管理员、系统管理员、网络管理员、数据库管理员、机房管理员等,也可以包含其他的岗位,比如处理金钱的职位(和分为出纳与财务是一个道理)、前台敏感操作权限的职位等。关键事务岗位就要求必须是2人及以上了,或者互设为AB角。

3、授权和审批

a:应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。

测评经验:这条测评项的测评方法就是访谈安全主管,询问对哪些信息系统活动进行审批,审批的部门是何部门,审批人是何人。一般情况下客户都会有这些东西,但是不会很全面,这个时候我一般就建议客户先把一些重要的活动进行审批就行,包含但不限于物理访问、远程控制、权限授予与变更、系统接入、需求变更等。

b:应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。

测评经验:这一条说的比较清楚了,测评过程中至少要查看四份审批单:系统变更(包括权限变更、结构变更等)、重要操作(数据删除、权限变更、数据备份等)、物理访问(访问物理机房、访问办公环境中的敏感区域等)、系统接入(网络接入、远程控制、wifi接入等)。要查看这个审批流程中是否包含申请人、审核人、批准人,某些审批单也要查看授权的有效时间,因为遇到过授权日期已过,但授权账号还存在的情况,这是需要特别注意的。

c:应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。

测评经验:这条的测评方式是检查审批事项的记录,查看是否对审批事项、审批部门、审批人的变更进行评审;询问安全主管是否定期审查、更新审批项目,审查周期多长。为什么会有这一项测评,因为在实际环境中,特别是在大型企业中,往往部门很多,人员复杂,业务流程复杂,审批流程涉及人员多。存在某一人员离岗后还在使用以前的审批流程,就会导致越权操作,所以要定期审查审批事项。

d: 应记录审批过程并保存审批文档。

测评经验:这条就不用说了,随机抽查几份审批文档,看看是否与当时及当前的情况一致。

4、沟通和合作

a:应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。

测评经验:这个测评比较简单,就查看下内部有没有在一起开过会,有没有一起处理过安全问题,这个只需要客户提供会议纪要或者处理安全问题的过程表就行了,时间上面不需要特别的要求。

b:应加强与兄弟单位、公安机关、电信公司的合作与沟通。

测评经验:这一条就不多说,默认符合,原因不好说,就自行理解吧。

c:应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。

测评经验:这条测评项其实也没什么好说的,如何算是符合呢,只要客户能提供与安全服务商签订的合作合同就行,像我们自身是测评单位,肯定也会与客户签订关于等保测评的合同,所以这条默认符合。

d:应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。

测评经验:这一条就查看客户能否提供外联单位的联系列表,为什么会要求这项内容呢,个人理解就是甲方人员变动的时候,方便下一位接手人员能够更快的接手工作。

e:应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。

测评经验:这一条就要看合同的内容了,一般只要与安全公司签订安全服务合同,像什么安全运维的、应急的、评估的、规划的内容等等都是可以的。这一条主要测评是在理解“常年”二字,就是要查看合同的期限,一般来说有连续三年以上的才算符合。

5、审核和检查

a:安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。

测评经验:这一条的测评主要是看“定期”与“检查内容”两词,要查看客户有没有提供安全检查的报告。查看报告的时间就可以看出是不是定期的;查看检查项就可以看出检查了哪些方面。这一项的测评其实很大意义上来说是系统管理员的工作,但很多系统管理员对漏洞这块内容不太熟,所以如果是系统管理员和安全管理员一起执行此项工作是很好的。一般来说,客户不会做的细则,很多情况就是把相应的系统或者设备加到监控系统里面去,比如Zabbix等,但系统漏洞这块的内容很多监控系统就没法完成,所以这一项很多都得不了满分,给个3分算高的。

b:应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

测评经验:这一项得满分的就基本没有了,首先要理解全面的安全检查,仅这一块,就很多客户头大了,因为根本不知道要检查些什么。我到客户现场的一般做法是就是先把客户的各种权限授予单拿出来对比,一般就直接扣分了,再看安全管理制度的执行情况,那就基本确认0分了。这一项其实很多客户都是做了相应的工作的,只是没有形成完善的流程体系,所以失分比较多,我会建议客户在以后的安全工作都要做好记录,凸显工作量,也好给领导看。

c:应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。

测评经验 :这项测评要求看起来字不多,但是要查看的资料其实是蛮多的,一是首先要有个安全检查表,二是要实施了安全检查工作,三是要汇总安全检查的数据,四是要查看是否有安全检查报告,五是要进行结果通报。很多企业其实在第一点上面就直接OVER了,这种情况太多了。。同理,基本都是零分。一般给客户建议的就是定期做个安全检查,如果不会,就请第三方来做。

d:应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。

测评经验:这一条测评项就是一个具体的制度了,客户一般都没有,这项的测评打分就看有没有这个制度,只要有就得了4分,如果内容也比较全的话,就可以得5分了(一般内容都不全,4分算是比较合理的)。我一般就建议客户在取制度名称的时候就直接取“安全审核和安全检查制度”。这个制度主要拿来规范和支持安全审核和安全检查工作的,一般内容包括但不限于规定检查内容、检查程序、检查周期、检查人员资格、检查对象、检查方式、检查工具、检查结果处理等内容。

总结

以上就是等保三级里面安全管理机构的全部测评内容,别看内容不多,但要测评起来还是很麻烦的。曾经给一个金融行业的客户做评估,使用标准是通用标准+行业标准,就这么点内容,给他们测了一下午的时间。

心得:

测评过程中,往往会遇到各种各样的问题,客户的技术能力也参差不齐,讲解的详细程度也不一样,我的感觉是每一次做测评,都像是免费送了一次安全培训。由此可见,打铁还需自身硬,企业想要做好安全工作,仅仅靠外部力量是不行的,还需要企业自身有相关的安全人才。

另外多说一句:

等保涉及安全的各个方面, 并不是那么简单的,需要大量的安全经验累积,希望想从事等保测评的同志好好仔细看看,欢迎留言交流。

*本文作者:jin16879,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。