《网络风险及网络安全》培训总结
2019年7月3日我有幸参加了中国保险协会组织的《网络风险及网络安全》培训班,对公司和部门领导给与的本次培训机会,我非常珍惜,始终以培训要求的标准对照自己,严格要求自己,积极参加培训学习及课间讨论活动,虽然学习的时间非常有限,但这次培训活动给我的收获是无限的。
一、培训课程内容简介:
首先介绍一下本次培训的三天课程内容:
DAY1:
1、金融服务中的网络风险识别:网络风险定义,这些年发生的网络风险事件,金融服务行业应对网络风险所做的努力;
2、网络风险≠网络安全:网络安全做什么?美国白宫联邦网络安全报告解读,网络风险与网络安全之间的区别与联系,为什么我们越来越关注网络风险?
3、网络及技术带来的机遇与挑战:新的工作方式带来的机遇与挑战(BYOD),大数据、云计算、人工智能、区块链的应用安全;
4、如何解决安全、效率与投入的平衡:如何解决信息系统安全、效率与投入的冲突,DevSecOpsde概念及实施。
DAY2:
监管要求:不同国家信息安全监管要求对比,SOX、Basel II、GDPR以及监控科技的兴起;
行业标准和最佳实践:ISO27001、COBIT 2019、PCI-DSS、COSO、NIST SP800、加拿大PIPEDA。
DAY3:
建立网络风险管理框架
如何开展风险评估和风险识别:如何制定风险评估计划,谁来执行风险评估?风险评估的方法和工具;
网络风险应对与缓释:是不是所有的风险都要处置?如何看到风险的潜在影响和损失?风险应对方法和成本考虑;
课堂总结:中美网络风险管理差异。
本次培训的内容多、涵盖面广,本次总结报告我将重点侧重于企业中所面临的一般网络安全问题进行分析和总结,同时对网路风险安全防护手段的渗透测试工作进行简要的介绍和说明,其他方面的内容,如果有兴趣的同事或者需要可以从本次培训的培训课件上进行查找,如果有感兴趣的内容我将后期进行补充交流。
二、企业所面临的常见网络安全问题
通过本次培训了解企业所面临的的常见网络安全问题及处置手段,“信息安全”是保证IT在企业内稳定运行的基础与重要屏障。随着信息系统在企业内部日趋完善与集中,信息安全对企业正常经营而言越发重要。
1、内网安全
内网安全是信息安全的重要组成部分,历年频发的内网安全事件使得企业对其备受重视。这与企业内部信息化的建设使得内网问题不断演化不无关系。内网安全问题一直在演化,早期内网安全产品主要以桌面防护为主,主要是通过连接控制、补丁分发、设备加密等手段保证安全。当内网安全产品相对成熟,文档加密、安全管理、主机监控与审计、移动存储介质管理、网络准入控制等技术产品随着企业信息化发展,相继在内网安全领域走热。信息安全管理员强调内网安全的核心在于技术手段与管理举措的完备结合。合理的体制制度及有效执行,是企业保证长治的必须手段。
2、数据保密
企业的核心竞争力将更多地源自技术发明、专利、创新等"软资产",随着信息系统应用的普及,这些“软资产”体现为大量的电子文档。在日常工作中,需要数十甚至数百位员工协同工作,不可避免地需要涉及机密电子文档,如何很好地保护这些重要资料,做到数据保密成为摆在企业信息安全面前的一个难题。信息技术部的信息安全管理一方面协调完善各种保密制度,利用法律,法规保护自己的专业信息,一方面利用切实可行的及时收到从根本上防止泄密事件的发送。如部署防火墙、DLP设备等网络安全设备,同时针对个人PC用户封闭所有USB功能,安装加密软件等。
3、灾备管理
对于信息安全管理员来说,数据安全是其生命线。为此无论企业有钱还是没钱,信息安全管理员都不能够忽视数据的安全。那么信息安全管理员采取什么样方式来保护数据的安全?数据备份为例,企业最好部署一些基于数据库的应用,不让病毒或者木马在企业中藏身,自动备份文件,以提高提高数据安全性。
4、系统安全
访问随着移动存储技术及商务模式的发展,选择远程办公的人越来越多。公司对员工移动办公、远程接入总部内网办公的需求越来越强,特别是WLAN技术、无线技术的发展更加剧了这种趋势。如何确保企业系统安全访问,成为IT管理者面临的重大挑战。信息安全管理员可以选择建立的安全可靠远程接入访问机制,构建专业的业务局域网及子网,这样驻外人员、移动办公人员、第三方合作伙伴及客户,可以凭借合法精确的访问权限,访问自己能访问的特定服务器与业务系统,进一步加快并优化自己的业务流程。
5、数据隐私
很多信息安全管理员看待“隐私权”的感觉,就跟有些人想到减肥,就感到末日来临一样。对于有些行业,例如保健事业-病人的隐私权是最重要,但除了这些法规明确规范的行业以外,隐私权问题对信息安全管理员来说,只是安全防护遭受破坏时的必然结果,比方弄丢一台存储数百万人记录的笔记本电脑,或者被黑客入侵窃取顾客的数据。不过现在的很多信息安全管理员要不就是只注意技术,要不就是认为隐私权不在他们的职责范围内,而是隐私权主管或安全部门主管的责任。其实这是个错误观念。
6、网络威胁
间谍软件、网游木马、流氓软件、IM通讯病毒、病毒邮件、银行钓鱼和蠕虫病毒的不断出现,网络安全威胁成为企业信息安全管理员最为头疼和最为棘手的问题。俗话说:"道高一尺,魔高一丈",信息安全管理员指望通过一劳永逸解决所有安全问题是不可能的。提高安全意识,加强日常管理,补缺网络系统中的“短板”,才能有效避免风险的发生。
7、安全预算
信息安全管理员要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算,以承担安全成本,例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。公司高层主管有时会认为信息安全管理员对网络安全过于大惊小怪。但信息安全管理员很清楚的清醒认识到:至关重要的计算机设施出现安全问题造成严重损害的故障只是个时间问题。担忧有人对公司的网络构成危害的心态必须时刻保持,谨小慎微对生存而言绝对必要。
8、云计算安全
越来越多的信息安全管理员期待在公司内部的云计算数据中心环境下建立一个虚拟化的环境,并且这将是一个更安全的选择。因为,在公共云环境中进行交易的安全性是令人担忧的,以及关于在公共云服务时可能出现的停机时间和表现欠佳也是令人担忧的,这些担忧都引起了信息安全管理员们的警惕。相信未来私有云部署会越来越多。
9、安全教育
人们普遍认为IT信息安全只是IT部门的事情。事实上所有的员工都会是IT信息安全的威胁。大多数的员工都会在流动时或多或少的将企业的重要资料外带,主因是大多数员工对其行为的危险性不以为然,或是根本就不了解公司的IT信息安全策略,或是不清楚哪些资料在人员流动时不能外泄和外带。因此,在人员越来越流动的今天,信息安全管理员一定要加强员工IT信息安全教育,有效的做法是要给员工进行相关培训,告知员工哪些资料是机密资料应该要慎重处理。
10、安全管理
企业信息化建设的展开,企业业务与IT系统的连接日渐紧密,使得网络安全成为诸多企业的严峻问题。安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。当前很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的信息安全管理员来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火"。
三、网络安全之渗透测试工作相关
企业在安全上投入了巨大的精力和资金,但有往往会产生这样的感受:当基本的软硬件设施配置好之后,安全防卫水平就到了一个相对的瓶颈,再加大投入并不能明显提高安全水平。实际上,这种“安全玻璃天花板”在很多行业和企业中都存在,伴随着安全行业的发展和管理人员安全意识的提高,以渗透测试为代表的“安全服务”正在得到更多的认可。
渗透测试的目的?
1. 信息安全等级保护的要求
2015年12月28日,银监会等部门发布的《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》中明确要求:“网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。”信息安全等级保护是由等级测评机构依据国家信息安全等级保护制度规定,按照管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。值得关注的是,在信息安全风险评估中,渗透测试是一种常用且非常重要的手段。
2.渗透测试助力PCI DSS合规建设
在PCI DSS(Payment Card Industry Security Standards Council支付卡行业安全标准委员会)第 11.3中有这样的要求:至少每年或者在基础架构或应用程序有任何重大升级或修改后(例如操作系统升级、环境中添加子网络或环境中添加网络服务器)都需要执行内部和外部基于应用层和网络层的渗透测试。
3.ISO27001认证的基线要求
ISO27001 附录“A12信息系统开发、获取和维护”的要求,建立了软件安全开发周期,并且特别提出应在上线前参照例如OWASP标准进行额外的渗透测试 。
4.银监会多项监管指引中要求
依据银监会颁发的多项监管指引中明确要求,对银行的安全策略、内控制度、风险管理、系统安全等方面需要进行的渗透测试和管控能力的考察与评价。
网站为什么要做渗透测试?除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。企业需要尽可能多地进行渗透测试,以保持安全风险在可控制的范围内。
网站开发过程中,会发生很多难以控制、难以发现的隐形安全问题,当这些大量的瑕疵暴露于外部网络环境中的时候,就产生了信息安全威胁。这个问题,企业可以通过定期的渗透测试进行有效防范,早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全,测试后的报告可以帮助管理人员进行更好的项目决策,同时证明增加安全预算的必要性,并将安全问题传达到高级管理层。
如何通过渗透测试进行安全评估?
渗透测试是由专业安全人员完全模拟入侵者所用的常见手段对测试目标发起模拟入侵的过程。整个过程的目的在于通过利用各种已知漏洞识别手段充分挖掘网络层、系统层、应用层乃至业务逻辑层中可能存在且被利用的潜在威胁点。在不影响业务系统正常运行的情况下,发现系统最脆弱的环节,让管理人员最直观的看到系统面临的安全威胁。
渗透测试是如何操作的?
许多企业管理人员有个误区,认为渗透测试只是通过自动化的工具进行检测、处理生成的报告,所以费用成本是可以很低去控制的,其实不然。成功的渗透测试报告中安全工具的占比仅仅是一部分,成功的部分更多的是依靠专业的人工、双向的思维及丰富的经验。
渗透测试与安全检测的区别?
渗透测试不同于传统的安全扫描,在整体风险评估框架中,脆弱性与安全扫描的关系可描述为“承上”,即如上面所讲,是对扫描结果的一种验证和补充。另外,渗透测试相对传统安全扫描的最大差异在于渗透测试需要大量的人工介入的工作。这些工作主要由专业安全人员发起,一方面,他们利用自己的专业知识,对扫描结果进行深入的分析和判断。另一方面则是根据他们的经验,对扫描器无法发现的、隐藏较深的安全问题进行手工的检查和测试,从而做出更为精确的验证(或模拟入侵)行为。
四、培训总结及心得体会
如今,培训已告一段落,通过培训了丰富了自己的网络安全知识体系架构,通过培训老师的讲解,同业伙伴的分组讨论,这些都让我收获颇丰!同时也让我反思了之前自己对信息及网络风险安全管理的相关工作,需要学习与改进的地方还有很多。因此,在今后的工作中,我将时刻牢记自己的职责,积极主动的了解信息安全领域的相关知识,丰富和巩固自己的网络安全体系知识架构,注意发挥带头作用,帮忙其他同事提高信息及网络风险安全意识。积极参与各级各类信息安全活动,虚心向同行学习、请教。不断提高自己的业务知识水平,为公司信息安全建设贡献自己的一份力量。
总结人:罗小川
日期:2019年7月10日