一年一度的圣诞节又快到了,我们楼下商圈照例又搭起了圣诞树彩灯,据说今年这款是最大的,最漂亮的。而我关心的只是今年单位会因圣诞放假吗?朋友们,你们的单位呢?话说上一期我们聊到的那个初创公司居然奇迹般地将市场拓展到了海外,即将成为一家国外公司的“御用”合作商。对方是标准的百年老店,行事严谨认真,因此向该发过来的一份合作企业信息管控需求的问卷,其问题主要涉及的是企业运营与可能合作时的各种信息安全管控问题。
面对这份表格,该公司IT部门全体员工先后开展了访用户、钻机房、登设备、查线路、测数据等活动,经历了半个月终于拿出了一份针对信息安全管控实务的“点对点”应答。下面就让我们一起来观摩一下吧。
我们先来看第一部分HARDWARE
Computer Room or DataCenter
Question:
- Is access to facilities where data is stored, or processed restricted to authorized personnel only?
-
- Are visitors required to sign-in when they enter facilities?
-
- Does video surveillance of computer room and perimeter entrances exist?
-
- If a data center is used, does it meet any telecommunication standards?
-
Answer:
- 服务器或数据中心机房安装了机械或电子锁,并保持常锁状态。开锁的权限仅掌握在有限数量的人员手中。
-
- 进出机房都有纸质的或电子的记录。
-
- 机房应配备有架空防静电地板、7×24小时空调、UPS、安全摄像头、以及智能配线架等。
-
- 对于托管的数据中心,则具备有基于ITIL的服务管理,包括7×24小时监控、双路供电和双路上网线路接入,以及适当的发电设备。这些都参照了ISO27011:2008等机房相关的标准。
-
User Computer
Question:
- Are unified OS images and software (including anti-virus) installed on user computers?
-
- Can users modify the security characteristics of the platform, operating system, and security products?
-
- Can virus or malicious software easily compromise user computers?
-
- Are user computers vulnerable with group unified settings or have unsecure and open configurations?
-
Answer:
- 统一将具有服务支持(如MS)的企业定制的操作系统镜像安装到了用户电脑上。
-
- 通过组策略( Group Policy)禁止用户擅自修改系统设置、禁止用户擅自安装软件,并且启用规定时间无使用的自动锁屏。
-
- 浏览器里的代理设置可以被用户临时修改,但会在下一次登录时自动恢复。不过,用户无法修改浏览器的安全和隐私设置。
-
- 预安装防病毒软件且锁定,以使用户无法禁用或终止其守护进程。
-
- 用户不可以本地管理员身份登录电脑,无写入或修改系统注册表的权限,也无法将电脑退出企业的域或修改加入到其他域。
-
- 通过信息资产配置管理工具(如SCCM)对企业内用户电脑进行统一的注册、更新、修改和信息收集等管理。
-
- 用户端硬盘启用加密,以保证如笔记本电脑之类的设备丢失时硬盘上的文件机密性。
-
Server
Question:
- Are unified OS images and software (including anti-virus) installed on servers?
-
- Are default system accounts (e.g., guest, administrator) disabled or renamed upon initial system build?
-
- Are new systems and devices (e.g., systems, networks, applications, databases, etc.) configured with current security updates/patches and hardened before being put into production?
-
- Is there an inventory of hardware assets with all assets tracked by a unique identifier such as an asset control tag or serial number?
-
Answer:
- 统一将具有服务支持(如MS等)的操作系统镜像安装到服务器上。
-
- 预安装企业版的防病毒软件并实现集中管理和更新。
-
- 根据标准化服务器的安装检查表来进行操作并逐步核对。
-
- 及时测试、审核并给相关服务器打上补丁。审查更新系统的报告,以确认完成。
-
- 服务器在初始安装的时候予以安全加固;对于处于非军事区(DMZ)的外部服务器则有更多的加固设置,包括删除和重命名默认管理员帐号等。
-
- 企业里所有服务器都登记到了一个全量的列表中,此表根据服务器的硬件类型、服务功能和使用范围进行分类。
-
该公司增加项:移动设备
- 任何移动设备连接到企业邮箱时必须通过认证。
-
- 在设备丢失时,IT服务台通过MDM系统可远程锁定或擦除设备上的数据。
-
- 启用了设备自动锁屏等安全策略。
-