信息系統(tǒng)安全管理要求

信息系統(tǒng)安全管理要求信息系統(tǒng)安全管理要求了OWASP的建議內容，幫助程序開發(fā)人員和企業(yè)盡量避免這些脆弱點給企業(yè)系統(tǒng)帶來的風險。OWASP10要素中還包括了一個指南，幫助企業(yè)決定該如何向客戶提供信息。比如聯邦貿易委員會(FTC)就在2003年1月的商業(yè)案例文檔中將這個列表作為了信息安全的參考內容。同年，FTC還將OWASP10要素列表作為指控Guess公司沒有盡力做好客戶的信息安全保護工作的參考資料。規(guī)范要素XSSA1、CrossSiteScripting(XSS)Flaws跨站點腳本攻擊一一XSS是一種常見的攻擊。當攻擊腳本被嵌入企業(yè)的Web頁面或其它可以訪問的Web資源中，當沒有保護能力的臺式機訪問這個頁面或資源時，腳本就會被啟動。這種問題可以影響成百上千的員工以及企業(yè)客戶的終端電腦。注入式攻擊A2、InjectionFlaws注入式攻擊——如果沒有成功的阻止帶有語法含義的輸入內容，有可能導致對數據庫信息的非法訪問。比如在Web表單中輸入的內容，應該保持簡單，并且不應該還有可被執(zhí)行的代碼內容。InsecureRemoteFileIncludeA3、InsecureRemoteFileInclude不安全的遠程文件包含一對遠程文件包含易感的代碼允許攻擊者包含進入惡意的代碼和數據，最后導致破壞性攻擊，比如，服務器被完全攻陷。InsecureDirectObjectReferenceA4、InsecureDirectObjectReference不安全的直接對象引用一當開發(fā)者暴露一個對內部對象的引用時，直接對象引用發(fā)出。象：文件、目錄、數據記錄、Key、URL或者Form參數，攻擊者可能未經授權操縱直接引用對象，除非適當采取了存取控制控制。CSRFA5、CrossSiteRequestForgery(CSRF)跨站請求偽造— 跨站請求偽造不是一個新的攻擊，但它確是簡單而災難性的。一個跨站請求偽造攻擊強制受害者的browser發(fā)送一個請求到易受攻擊的Web應用，這個應用不執(zhí)行受害者行為而執(zhí)行偽造了的行為。InformationLeakageandImproperErrorHandlingA6、InformationLeakageandImproperErrorHandling信息泄漏和異常錯誤處理—一些應用程序問題可能導致應用不經意間泄漏它們的配置、內部工作等。應用也可能通過它們執(zhí)行特定的操作時間或者對不同輸入的響應而泄漏一些內部的東西，象不同的錯誤代碼確顯示同樣的錯誤內容。BrokenAuthenticationandSessionManagementA7、BrokenAuthenticationandSessionManagement失效的賬戶和線程管理——良好的訪問控制并不代表萬事大吉了。企業(yè)還應該保護用戶的密碼，會話令牌，賬戶列表以及其它任何可以給攻擊者提供有利信息幫助他們攻擊企業(yè)網絡的內容。InsecureCryptographicStorageA8、InsecureCryptographicStorage不安全的加密存儲——對于Web應用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗證有關的信息是非常重要的工作。對這些信息進行加密是非常有效的方式，但是一些企業(yè)會采用那些未經實踐驗證的加密解決方案，其中就可能存在漏洞。不安全通道A9、InsecureCommunications不安全的通信——保護敏感通信非常必要，應用頻繁失敗加密網絡傳輸。所有的認證連接不是后臺連接必須加密（通常SSL），特別是存取Internet的Web頁面。否則，應用將暴露認證或者Sessiontoken。另外，象信用卡或者健康等敏感數據無論何時傳輸時都要進行加密。FailuretoRestrictURLAccessURLA10、FailuretoRestrictURLAccessURL訪問限制失敗通常，對URL的保護僅僅是不顯現給未受權的用戶。但，一個故意的、有技巧的用戶很容易找到這樣的URL并存取這些頁，調用函數并看數據。在應用程序中不清晰的安全是不足以保護敏感函數與數據的。請求對敏感函數的調用之前必須執(zhí)行存取控制檢查，以保證用戶被受權去存取那些函數。數據安全管理本管理策略主要用于指導及規(guī)范涉及互聯網業(yè)務的所有日志的收集、審計以及相應數據的保存與銷毀的操作。策略主要用來保護公司賴以生存的信息資產安全。所有的員工均需嚴格遵守該策略中的規(guī)定。公司將根據自身業(yè)務的發(fā)展需求，持續(xù)更新完善此管理策略。本規(guī)定參照支付卡行業(yè)數據安全標準（PCIDSS）制定。支付卡行業(yè)數據安全標準（PCIDSS）程序是由信用卡組織制定的一套法定的安全標準，它的作用為保證各商家和服務商具有一套完備統(tǒng)一的方法來保護各個卡種的持卡人的信息安全。PCI數據安全標準適用于所有保存、處理或傳遞持卡人信息的支付卡系統(tǒng)、商家和服務商；適用于所有信用卡使用方式，不論是手動刷卡還是網上使用。即使最嚴格的細則也適用于網上進行信用卡交易的電子商務網站和POS零售系統(tǒng)。日志管理策略適用范圍所有用戶、管理員、應用程序和系統(tǒng)的日志管理過程都必須遵守該策略，除非事先得到系統(tǒng)運營團隊主管的批準或書面許可。日志收集公司的所有的網絡安全設備以及應用系統(tǒng)組件都必須打開日志自動審計功能以記錄日志，對于關鍵的業(yè)務系統(tǒng)必須將日志記錄到統(tǒng)一的日志記錄服務器上，并聯機至少保存3個月，脫機至少保存1年。以下的行為是日志必須記錄的：非法的網絡訪問。網絡IP地址的成功分配和釋放所有用戶對持卡人數據的訪問。任何用戶或管理員的登錄認證嘗試（包括成功的和不成功的）所有的系統(tǒng)管理行為以及超過普通用戶權限的操作：（如：root,具有管理組權限的userid,oracle）。對未在例外中列出的系統(tǒng)和系統(tǒng)中受保護的資源的每個成功的或失敗的訪問。對數據庫的讀寫操作。對的審計日志文件的訪問。認證和授權機制的使用。創(chuàng)建或刪除系統(tǒng)級對象（如可執(zhí)行文件，庫文件或動態(tài)庫文件，配置文件，驅動程序等）。改變系統(tǒng)級對象安全狀態(tài)的命令。系統(tǒng)重啟以及日志文件的初始化。日志內容要求所有記錄的日志必須能夠有效的描述所記錄的事件，日志應該包含以下要素：進程或用戶標識事件的類型事件發(fā)生的日期和時間事件源源發(fā)地址和目的地址影響到的數據，系統(tǒng)組件或資源的名稱事件結果（針對該事件系統(tǒng)采取的措施）日志審計對于網絡安全設備所產生的安全日志以及所有的反病毒軟件在監(jiān)測到有病毒的時候所產生的日志，系統(tǒng)運營團隊必須24小時不間斷監(jiān)測，一旦發(fā)現有可能引起安全問題的事件，應及時按照公司應急響應方案及流程中的規(guī)定采取相應的措施。對于業(yè)務系統(tǒng)所產生的事件日志，必須集中存放在一個受到保護的地點或介質中，存放地點或介質未經授權不得存取，日志內容不得受到非授權更改。只有在必須情況下才允許查閱這些日志。日志必須有文檔完整性監(jiān)測系統(tǒng)（FIM）的保護，一旦發(fā)現未經授權的訪問，監(jiān)測系統(tǒng)立即發(fā)送報警信息給系統(tǒng)運營團隊。數據管理策略策略適用范圍本策略適用于所有公司業(yè)務系統(tǒng)涉及的數據管理過程，包括數據的保存、備份和清除的操作。除非事先征得系統(tǒng)運營團隊主管的批準，否則任何人不得例外。數據的分類數據按照安全級別可分為機密級、敏感級、私密級和公開級（具體分級標準請參照公司人員管理與訪問控制策略）。按照數據存儲的介質不同可分為紙質文檔和電子數據。隱私數據的保存與銷毀政策概述所謂的隱私數據是指由公司系統(tǒng)運營團隊標定為機密級和敏感級的數據，這些數據可能是紙質的文檔也可能是電子數據。隱私數據的保存要求所有敏感級和機密級數據的保留，不論保存在何處，數據的保留必須是符合法律、法規(guī)和商業(yè)條款的要求。數據保留的期限原則上由數據創(chuàng)建者或系統(tǒng)管理員設定，但是一些特定的數據必須遵循以下的規(guī)定：所有關鍵業(yè)務系統(tǒng)和網絡設備的審計日志數據必須在設備上動態(tài)保存至少90天以上，日志的備份數據必須保留一年以上。用來進行單筆交易的持卡人數據（不管是紙質文檔還是電子數據）保存時間不能超過120天。需多次用來交易的持卡人數據在公司客戶帳號使用期間可以保存。一旦客戶帳號被中止或終止，30天內該帳戶的所有持卡人數據都會以本策略許可的方式銷毀。持卡人的交易信息，包括信用卡磁道信息、CVV2、PIN數據，僅在交易授權完成前允許保留。禁止在授權完成后保存持卡人的授權數據。隱私數據保存安全要求所有用于保存隱私數據的介質（包括紙質和電子介質）都必須以安全的方式進行保存。在所有的安全介質存儲地點必須有介質保存日志（見附錄A）。所有存儲的含有機密級或敏感信息的電子介質或紙質資料必須每季度或更短時間內由系統(tǒng)運營團隊進行一次檢查。檢查時必須對保存機制的安全控制機制進行檢查。檢查完成庫存后必須更新介質保存日志。數據的物理安全要求保存有敏感或機密級信息的紙質和電子文檔都必須采用相應的物理訪問控制措施進行保護。敏感區(qū)域必須裝有攝像頭監(jiān)控。除非法律要求，獲取的監(jiān)控數據必須保存三個月以上。存有機密級或敏感信息的各個系統(tǒng)必須設有相應裝置（采取物理訪問控制措施）以限制和監(jiān)控對此類設施/系統(tǒng)的物理訪問。除非法律要求，進入各個系統(tǒng)的訪問日志和審核記錄都必須搜集并保存三個月以上。紙質介質的保存要求含有敏感級或機密級信息的紙質介質（如，收據、紙質報告、傳真等）必須遵循以下存儲原則：含有敏感或機密級信息的打印報告不得帶出公司安全辦公環(huán)境；除非事先獲得系統(tǒng)運營團隊授權，任何含有敏感或機密級信息的紙質材料不得帶出公司數據中心機房；含有消費者機密級或敏感數據的打印或存檔，只限于在系統(tǒng)運營團隊認定的必要的可用時間段內在公司辦公環(huán)境的安全區(qū)域內使用；所有含有機密級或敏感信息的紙質資料上必須明確貼上相應標簽；所有機密級或敏感紙質資料必須鎖藏在系統(tǒng)運營團隊批準的安全的貯器（如，密碼箱、貯柜、貯屜、貯箱）中；機密級或敏感的紙質資料不得保存在未加鎖或不安全的貯器或者開放的辦公區(qū)域。電子介質的保存要求保存有機密級或敏感信息的電子存儲（如，CD、DVD、U盤、硬盤）介質必須遵循以下原則：系統(tǒng)運營團隊未授權情況下，機密級或敏感信息禁止復制到可移動介質介質上;除非計算機系統(tǒng)備份外，含有機密級或敏感信息的電子介質不得帶出公司的安全辦公環(huán)境；除非事先獲得系統(tǒng)運營團隊授權，含有機密級或敏感信息的電子媒介不得帶離公司數據中心或機房中；含有消費者機密級或敏感數據的電子介質的獲取或保存，只限于在系統(tǒng)運營團隊認定的必要的可用時間段內在公司辦公環(huán)境的安全區(qū)域內使用；所有含有機密級或敏感信息的電子介質必須明確貼上相應標簽；所有存儲介質必須以確保安全的快遞方式或其它方式進行發(fā)送或運輸，所用方式須經系統(tǒng)運營團隊批準，并且可以準確無誤地跟蹤查詢。隱私數據的清除要求在法律或業(yè)務需求規(guī)定不再要求保留數據時，所有機密級或敏感級電子數據必須按照本策略許可的方式進行銷毀。本要求適用于所有保存在各個系統(tǒng)和臨時性文件或存儲性媒介中的數據。隱私數據清除方式對于超過保留期限的敏感級和機密級數據，每晚在持卡人信息系統(tǒng)會執(zhí)行一個自動程序進行銷毀。其它保存在文件和目錄中的應用數據，必須用系統(tǒng)運營團隊批準的擦除工具安全刪除。以下存儲有超過保留期限的機密級或敏感級數據的媒介必須按安全方式處理：硬盤：內容清洗（用二進制數據清洗7遍）、消磁、粉碎硬盤；軟盤：拆散、焚燒、粉碎或溶化；U盤、智能卡、數字介質：焚燒、粉碎或溶化；光盤（CD和VCD：表面破壞、焚燒、粉碎或溶化；紙質的文檔資料應該由管理員使用專用的碎紙機切碎。計算機或通信設備折舊換新、維修處置前，所有機密級或敏感級信息必須按本策略許可的方式銷毀或者隱藏。移動存儲媒介如軟盤、光盤或磁帶不能捐獻或作其它重復利用。對于公司自己技術無法銷毀的介質應在與具有銷毀認證資質的專業(yè)廠商簽訂銷毀協議后交給該廠商銷毀處理。數據備份策略概述為維護公司的業(yè)務正常運轉，并應對突發(fā)情況，管理員有義務在系統(tǒng)運營團隊門核準后對自己管轄范圍內的系統(tǒng)、應用程序以及各種數據利用介質（電子或紙質）進行備份。公司所有備份數據的操作均需遵守此策略。數據備份的存儲要求所有的數據備份介質都必須安置到安全的離站儲存地點。這些備份介質的存儲地點必須至少每年一次由管理人員或系統(tǒng)運營團隊的成員確認是是在安全的保護狀態(tài)下（物理安全、防火安全等）。所有的數據在備份前應由系統(tǒng)運營團隊對數據的安全級別進行分級（具體分級標準請參照公司人員管理與訪問控制策略）并對備份介質進行標識。系統(tǒng)運營團隊每季度必須對數據備份進行一次核查，并對比介質保存記錄（參見附錄1）。數據備份的使用要求除非在必須并經系統(tǒng)運營團隊核準的情況下，數據備份才可以被使用。只有公司技術人員和負責儲存設施的人員才能訪問數據備份介質。所有的備份數據在使用時都應有明確的使用記錄。所有備份數據的介質從一個地點傳送到另一個地點都應記錄，這些記錄包括：誰，從哪里，是否收到，管理層的簽名等要素。數據備份的銷毀所有不再需要或已失效的備份數據存儲介質必須予以銷毀或使之無法被讀取，保證任何數據都不會被提取。數據的合理銷毀技巧請參照隱私數據的清除要求。應急機制管理概述為適應發(fā)展需要，提高應對突發(fā)事件的能力，保證系統(tǒng)能夠在發(fā)生突發(fā)事件的情況下，仍然可以系統(tǒng)、協調、高效地開展工作，并將突發(fā)事件可能造成的損失控制在最低程度內。所有事故的檢測和響應，特別是與關鍵系統(tǒng)有關的，必須遵守本策略。這些事件包括單不限于:系統(tǒng)的關鍵業(yè)務系統(tǒng)、網絡通信、機器設備等發(fā)生故障而引起的交易中斷的突發(fā)事件；因業(yè)務系統(tǒng)賬戶信息泄露引發(fā)的突發(fā)事件；因自然災害、事故災難、公共衛(wèi)生事件、社會安全事件以及能源供應、物資供應、通訊等公共服務的中斷而造成系統(tǒng)無法正常運營的事件；危害系統(tǒng)公共關系和形象，造成不良社會影響的各類突發(fā)事件；在生產網絡探測到未經授權的無線訪問點。本方案指導系統(tǒng)突發(fā)事件應對工作。組織及分工應急響應組系統(tǒng)設計應急響應組,應急響應組以系統(tǒng)技術總監(jiān)為負責人,IT及開發(fā)人員為骨干，各業(yè)務部門主要部門負責人為組員。應急響應組職責應急響應組的職責包括：管理職責包括：研究擬定突發(fā)事件處置對策；組織指揮突發(fā)事件處置工作；協調、管理突發(fā)事件中的新聞信息工作；向信息安全辦公室提交突發(fā)事件處置工作報告，報告內容應包括但不限于：突發(fā)事件的描述及分析，各項對策制定的原因及實施結果，突發(fā)事件及處置工作對未來的影響評估，處置工作的經驗教訓等。處置職責包括：實施與職責相關的各項處置措施；收集、反饋突發(fā)事件處置的相關信息以支持領導小組決策；安全事件的分類應急響應組必須首先鑒定安全事件是否需要正式應對。很多情況下安全事件不需要響應時，這時只需轉交至相應IT區(qū)域以確保能提供所有必要的技術支持。以下是對系統(tǒng)運營團隊將會做出響應的事件描述：事件分類分類描述一級安全事件例如潛在的非友好行為，（例如：未授權遠程登錄，端口掃描，病毒檢測及清除，意外的性能峰值等等）二級安全事件例如一個明確的對未經授權的信息進行獲

取或訪問（例如，試圖下載的安全密碼文件，企圖訪問受限區(qū)域，非關鍵系統(tǒng)的單機中毒，未經授權的漏洞掃描，等等）或者第二次出現1級攻擊行為。三級安全事件明顯攻擊或實際違反安全策略（例如，多手段攻擊，拒絕服務攻擊，重要系統(tǒng)或網絡的病毒感染，成功緩沖/堆棧溢出，未經授權成功訪問敏感或關鍵數據或系統(tǒng)，解鎖，盜竊文件等）或者第二次出現2級攻擊行為.統(tǒng)一應急響應流程系統(tǒng)遵循的應急響應流程包括：事件的報告與識別、分類、抑制、消除、恢復和原因分析以加強安全控制。事件的識別系統(tǒng)的所有員工必須意識到，他們有責任檢測安全事故，以便執(zhí)行事故響應計劃和程序。所有員工都有責任在其特定責任范圍內協助執(zhí)行事故響應程序。員工在日?；顒又锌赡苡龅揭恍┌踩鹿适纠ǎǖ幌抻冢菏录纠I竊、損壞或未經授權的訪問例如，未經授權的登錄、辦公桌中紙張的丟失、鎖被破壞、日志文件丟失、保安警報、闖入或非預定/未經授權的物理進入的視頻證據欺詐一數據庫、日志、文件或紙張記錄中的信息不準確 系統(tǒng)的異常行為例如，非預定的系統(tǒng)重啟、意外的消息、系統(tǒng)日志文件中的異常錯誤或者終止安全事件通知例如，文件完整性警報、入侵偵測警報和物理安全警報異常的行為系統(tǒng)例如，非預定的系統(tǒng)重啟、意外的消息、系統(tǒng)日志文件中的異常錯誤或者終止所有員工，不論職責崗位，都應該清楚可能發(fā)生的事故的標識，并且知道在這些情況下應該通知的人員。在任何情況下，每個員工如果未被指派事故響應計劃內的其他活動，都應該按照事故報告與發(fā)布程序（下節(jié)）的指示來報告事故。事件的報告與發(fā)布只要有與系統(tǒng)計算資產（特別是任何關鍵系統(tǒng)）有關的任何可疑或真實安全事故，都應該立即通知應急響應組。如果不能確定是否為安全事故，應聯系IT來進行評估。各部門發(fā)生輕微或一般的突發(fā)事件后，原則上應在下一工作日報送應急信息。若遇到較大或重大的突發(fā)事件后，原則上應在4小時內報送應急信息。如果情況特別緊急或重大，應當在準備書面（電子）材料的同時，第一時間內以電話方式報告。在面對可疑情況時，員工應采取如下措施，以確保事故調查和恢復流程的完整性：事故涉及泄密。不要改變計算機系統(tǒng)的當前狀態(tài)。2)計算機系統(tǒng)應保持運行且所有當前運行的計算機程序保持當前的狀態(tài)。不要關閉或者重啟計算機。3)應該立即拔掉計算機背后的網線，使其從網絡中斷開。報告安全事故向應急響應組聯系報告任何可疑或真實的事故。所有員工都應非常清楚應急響應組的電話號碼，在非上班時間應直接聯系響應者負責人。任何人都不得向其主管或者應急響應組以外的任何人透露任何有關可疑或真實事故的細節(jié)或大概情況。所有與執(zhí)法部門或公眾的信息交流都必須由應急響應組和信息安全辦公室統(tǒng)一協調。在等待系統(tǒng)運營團隊響應事故之前，應記錄下您所知道的任何信息。如果知道，則這些信息必須包括事故的日期、時間和性質。您可以提供的任何信息將有助于以正確的方式響應。事件的分類應急響應組在接到事件報告后，應急處置人員應該對事件進行快速評估并進行初步分類，分類詳情參見第3節(jié)。事件處理流程一級安全事件對于一級安全事件，應該進行抑制和監(jiān)控；抑制和監(jiān)控行為包括1)如果可能的話，記錄使用的用戶名，IP地址及入侵者網域。2)利用許可的技術控制手段，臨時或永久地阻止入侵者訪問。3)保持警惕，阻止該用戶或來自該訃地址的進一步攻擊。二級安全事件對于二級安全事件，應該進行抑制、監(jiān)控和警告；具體措施應包括：收集并保護與該入侵有關的信息利用許可的技術控制手段，臨時或永久地阻止入侵者訪問分析攻擊源。4)聯系ISP獲取有關該入侵和入侵者的更多信息。研究有關入侵方法可能帶來潛在的風險，重新評估較高級別的安全事件及其抑制、消除以及恢復的措施和手段。根據調查如果發(fā)現員工是一個不友好的用戶，必須通過警告來防止此類事情再度發(fā)生。該雇員的管理者應該和人事部門共同依據可接受使用策略來處理該類事件。

三級安全事件對于三級安全事件，應該抑制、消除、恢復并進行事件原因分析。具體措施應