最近看了几个集成项目的安全方案,均是按照等保的要求做了二级、三级的定级,并采购部署了系统级的安全措施,一般而言,防火墙、入侵检测、安全域划分,再配备上互联网出口抗DDOOS、WAF,内部做好防病毒、主机加固、数据库网关/防火墙/审计,再做好4A,好像就万事大吉了。
从体系的角度来看,未做风险评估的定级和不分青红皂白的仅做了预防措施和点的防范,没有从业务延续性的角度做风险评估并针对性的从预防、检测、监测、预警、应急、恢复、反击的角度全面思考,可见安全解决方案环节的思考依然缺失业务运营思维和系统性。
具体到一个大厂的方案而言,安全部分按照等保三级做了网络与系统的安全预防、检测措施,数据主要集中在数据库的安全网关和安全审计,身份通过4A系统实现身份和权限管理。做到了信息安全体系核心的数据、身份、网络、系统的预防、检测、审计。
缺失的部分来看,对应用的安全关注不够,应用系统开发过程安全管理关注不足,对应用接口、协议中的信息机密性、完整性、可用性关注不足,对三层结构包括物联网和业务系统实体身份认证和校验关注不足,业务系统风险较高。
关注集成建设方案,对系统的安全运营与运维关注不足,安全设备和网络主机系统设备的日志统一的采集分析处理,关联分析预警和态势感知没有关注,不能及时对安全风险进行告警,未考虑应急服务的处置和故障的追溯与恢复。
整个安全体系上来看,基于原有的等保体系架构,缺乏业务延续性(BCP)的风险治理大局观,说实话,做安全方案的人水平还是值得商榷的。
网友评论