信息系统安全管理要求

信息系统安全管理要求信息系统安全管理要求了OWASP的建议内容，帮助程序开发人员和企业尽量避免这些脆弱点给企业系统带来的风险。OWASP10要素中还包括了一个指南，帮助企业决定该如何向客户提供信息。比如联邦贸易委员会(FTC)就在2003年1月的商业案例文档中将这个列表作为了信息安全的参考内容。同年，FTC还将OWASP10要素列表作为指控Guess公司没有尽力做好客户的信息安全保护工作的参考资料。规范要素XSSA1、CrossSiteScripting(XSS)Flaws跨站点脚本攻击一一XSS是一种常见的攻击。当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中，当没有保护能力的台式机访问这个页面或资源时，脚本就会被启动。这种问题可以影响成百上千的员工以及企业客户的终端电脑。注入式攻击A2、InjectionFlaws注入式攻击——如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容，应该保持简单，并且不应该还有可被执行的代码内容。InsecureRemoteFileIncludeA3、InsecureRemoteFileInclude不安全的远程文件包含一对远程文件包含易感的代码允许攻击者包含进入恶意的代码和数据，最后导致破坏性攻击，比如，服务器被完全攻陷。InsecureDirectObjectReferenceA4、InsecureDirectObjectReference不安全的直接对象引用一当开发者暴露一个对内部对象的引用时，直接对象引用发出。象：文件、目录、数据记录、Key、URL或者Form参数，攻击者可能未经授权操纵直接引用对象，除非适当采取了存取控制控制。CSRFA5、CrossSiteRequestForgery(CSRF)跨站请求伪造— 跨站请求伪造不是一个新的攻击，但它确是简单而灾难性的。一个跨站请求伪造攻击强制受害者的browser发送一个请求到易受攻击的Web应用，这个应用不执行受害者行为而执行伪造了的行为。InformationLeakageandImproperErrorHandlingA6、InformationLeakageandImproperErrorHandling信息泄漏和异常错误处理—一些应用程序问题可能导致应用不经意间泄漏它们的配置、内部工作等。应用也可能通过它们执行特定的操作时间或者对不同输入的响应而泄漏一些内部的东西，象不同的错误代码确显示同样的错误内容。BrokenAuthenticationandSessionManagementA7、BrokenAuthenticationandSessionManagement失效的账户和线程管理——良好的访问控制并不代表万事大吉了。企业还应该保护用户的密码，会话令牌，账户列表以及其它任何可以给攻击者提供有利信息帮助他们攻击企业网络的内容。InsecureCryptographicStorageA8、InsecureCryptographicStorage不安全的加密存储——对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。不安全通道A9、InsecureCommunications不安全的通信——保护敏感通信非常必要，应用频繁失败加密网络传输。所有的认证连接不是后台连接必须加密（通常SSL），特别是存取Internet的Web页面。否则，应用将暴露认证或者Sessiontoken。另外，象信用卡或者健康等敏感数据无论何时传输时都要进行加密。FailuretoRestrictURLAccessURLA10、FailuretoRestrictURLAccessURL访问限制失败通常，对URL的保护仅仅是不显现给未受权的用户。但，一个故意的、有技巧的用户很容易找到这样的URL并存取这些页，调用函数并看数据。在应用程序中不清晰的安全是不足以保护敏感函数与数据的。请求对敏感函数的调用之前必须执行存取控制检查，以保证用户被受权去存取那些函数。数据安全管理本管理策略主要用于指导及规范涉及互联网业务的所有日志的收集、审计以及相应数据的保存与销毁的操作。策略主要用来保护公司赖以生存的信息资产安全。所有的员工均需严格遵守该策略中的规定。公司将根据自身业务的发展需求，持续更新完善此管理策略。本规定参照支付卡行业数据安全标准（PCIDSS）制定。支付卡行业数据安全标准（PCIDSS）程序是由信用卡组织制定的一套法定的安全标准，它的作用为保证各商家和服务商具有一套完备统一的方法来保护各个卡种的持卡人的信息安全。PCI数据安全标准适用于所有保存、处理或传递持卡人信息的支付卡系统、商家和服务商；适用于所有信用卡使用方式，不论是手动刷卡还是网上使用。即使最严格的细则也适用于网上进行信用卡交易的电子商务网站和POS零售系统。日志管理策略适用范围所有用户、管理员、应用程序和系统的日志管理过程都必须遵守该策略，除非事先得到系统运营团队主管的批准或书面许可。日志收集公司的所有的网络安全设备以及应用系统组件都必须打开日志自动审计功能以记录日志，对于关键的业务系统必须将日志记录到统一的日志记录服务器上，并联机至少保存3个月，脱机至少保存1年。以下的行为是日志必须记录的：非法的网络访问。网络IP地址的成功分配和释放所有用户对持卡人数据的访问。任何用户或管理员的登录认证尝试（包括成功的和不成功的）所有的系统管理行为以及超过普通用户权限的操作：（如：root,具有管理组权限的userid,oracle）。对未在例外中列出的系统和系统中受保护的资源的每个成功的或失败的访问。对数据库的读写操作。对的审计日志文件的访问。认证和授权机制的使用。创建或删除系统级对象（如可执行文件，库文件或动态库文件，配置文件，驱动程序等）。改变系统级对象安全状态的命令。系统重启以及日志文件的初始化。日志内容要求所有记录的日志必须能够有效的描述所记录的事件，日志应该包含以下要素：进程或用户标识事件的类型事件发生的日期和时间事件源源发地址和目的地址影响到的数据，系统组件或资源的名称事件结果（针对该事件系统采取的措施）日志审计对于网络安全设备所产生的安全日志以及所有的反病毒软件在监测到有病毒的时候所产生的日志，系统运营团队必须24小时不间断监测，一旦发现有可能引起安全问题的事件，应及时按照公司应急响应方案及流程中的规定采取相应的措施。对于业务系统所产生的事件日志，必须集中存放在一个受到保护的地点或介质中，存放地点或介质未经授权不得存取，日志内容不得受到非授权更改。只有在必须情况下才允许查阅这些日志。日志必须有文档完整性监测系统（FIM）的保护，一旦发现未经授权的访问，监测系统立即发送报警信息给系统运营团队。数据管理策略策略适用范围本策略适用于所有公司业务系统涉及的数据管理过程，包括数据的保存、备份和清除的操作。除非事先征得系统运营团队主管的批准，否则任何人不得例外。数据的分类数据按照安全级别可分为机密级、敏感级、私密级和公开级（具体分级标准请参照公司人员管理与访问控制策略）。按照数据存储的介质不同可分为纸质文档和电子数据。隐私数据的保存与销毁政策概述所谓的隐私数据是指由公司系统运营团队标定为机密级和敏感级的数据，这些数据可能是纸质的文档也可能是电子数据。隐私数据的保存要求所有敏感级和机密级数据的保留，不论保存在何处，数据的保留必须是符合法律、法规和商业条款的要求。数据保留的期限原则上由数据创建者或系统管理员设定，但是一些特定的数据必须遵循以下的规定：所有关键业务系统和网络设备的审计日志数据必须在设备上动态保存至少90天以上，日志的备份数据必须保留一年以上。用来进行单笔交易的持卡人数据（不管是纸质文档还是电子数据）保存时间不能超过120天。需多次用来交易的持卡人数据在公司客户帐号使用期间可以保存。一旦客户帐号被中止或终止，30天内该帐户的所有持卡人数据都会以本策略许可的方式销毁。持卡人的交易信息，包括信用卡磁道信息、CVV2、PIN数据，仅在交易授权完成前允许保留。禁止在授权完成后保存持卡人的授权数据。隐私数据保存安全要求所有用于保存隐私数据的介质（包括纸质和电子介质）都必须以安全的方式进行保存。在所有的安全介质存储地点必须有介质保存日志（见附录A）。所有存储的含有机密级或敏感信息的电子介质或纸质资料必须每季度或更短时间内由系统运营团队进行一次检查。检查时必须对保存机制的安全控制机制进行检查。检查完成库存后必须更新介质保存日志。数据的物理安全要求保存有敏感或机密级信息的纸质和电子文档都必须采用相应的物理访问控制措施进行保护。敏感区域必须装有摄像头监控。除非法律要求，获取的监控数据必须保存三个月以上。存有机密级或敏感信息的各个系统必须设有相应装置（采取物理访问控制措施）以限制和监控对此类设施/系统的物理访问。除非法律要求，进入各个系统的访问日志和审核记录都必须搜集并保存三个月以上。纸质介质的保存要求含有敏感级或机密级信息的纸质介质（如，收据、纸质报告、传真等）必须遵循以下存储原则：含有敏感或机密级信息的打印报告不得带出公司安全办公环境；除非事先获得系统运营团队授权，任何含有敏感或机密级信息的纸质材料不得带出公司数据中心机房；含有消费者机密级或敏感数据的打印或存档，只限于在系统运营团队认定的必要的可用时间段内在公司办公环境的安全区域内使用；所有含有机密级或敏感信息的纸质资料上必须明确贴上相应标签；所有机密级或敏感纸质资料必须锁藏在系统运营团队批准的安全的贮器（如，密码箱、贮柜、贮屉、贮箱）中；机密级或敏感的纸质资料不得保存在未加锁或不安全的贮器或者开放的办公区域。电子介质的保存要求保存有机密级或敏感信息的电子存储（如，CD、DVD、U盘、硬盘）介质必须遵循以下原则：系统运营团队未授权情况下，机密级或敏感信息禁止复制到可移动介质介质上;除非计算机系统备份外，含有机密级或敏感信息的电子介质不得带出公司的安全办公环境；除非事先获得系统运营团队授权，含有机密级或敏感信息的电子媒介不得带离公司数据中心或机房中；含有消费者机密级或敏感数据的电子介质的获取或保存，只限于在系统运营团队认定的必要的可用时间段内在公司办公环境的安全区域内使用；所有含有机密级或敏感信息的电子介质必须明确贴上相应标签；所有存储介质必须以确保安全的快递方式或其它方式进行发送或运输，所用方式须经系统运营团队批准，并且可以准确无误地跟踪查询。隐私数据的清除要求在法律或业务需求规定不再要求保留数据时，所有机密级或敏感级电子数据必须按照本策略许可的方式进行销毁。本要求适用于所有保存在各个系统和临时性文件或存储性媒介中的数据。隐私数据清除方式对于超过保留期限的敏感级和机密级数据，每晚在持卡人信息系统会执行一个自动程序进行销毁。其它保存在文件和目录中的应用数据，必须用系统运营团队批准的擦除工具安全删除。以下存储有超过保留期限的机密级或敏感级数据的媒介必须按安全方式处理：硬盘：内容清洗（用二进制数据清洗7遍）、消磁、粉碎硬盘；软盘：拆散、焚烧、粉碎或溶化；U盘、智能卡、数字介质：焚烧、粉碎或溶化；光盘（CD和VCD：表面破坏、焚烧、粉碎或溶化；纸质的文档资料应该由管理员使用专用的碎纸机切碎。计算机或通信设备折旧换新、维修处置前，所有机密级或敏感级信息必须按本策略许可的方式销毁或者隐藏。移动存储媒介如软盘、光盘或磁带不能捐献或作其它重复利用。对于公司自己技术无法销毁的介质应在与具有销毁认证资质的专业厂商签订销毁协议后交给该厂商销毁处理。数据备份策略概述为维护公司的业务正常运转，并应对突发情况，管理员有义务在系统运营团队门核准后对自己管辖范围内的系统、应用程序以及各种数据利用介质（电子或纸质）进行备份。公司所有备份数据的操作均需遵守此策略。数据备份的存储要求所有的数据备份介质都必须安置到安全的离站储存地点。这些备份介质的存储地点必须至少每年一次由管理人员或系统运营团队的成员确认是是在安全的保护状态下（物理安全、防火安全等）。所有的数据在备份前应由系统运营团队对数据的安全级别进行分级（具体分级标准请参照公司人员管理与访问控制策略）并对备份介质进行标识。系统运营团队每季度必须对数据备份进行一次核查，并对比介质保存记录（参见附录1）。数据备份的使用要求除非在必须并经系统运营团队核准的情况下，数据备份才可以被使用。只有公司技术人员和负责储存设施的人员才能访问数据备份介质。所有的备份数据在使用时都应有明确的使用记录。所有备份数据的介质从一个地点传送到另一个地点都应记录，这些记录包括：谁，从哪里，是否收到，管理层的签名等要素。数据备份的销毁所有不再需要或已失效的备份数据存储介质必须予以销毁或使之无法被读取，保证任何数据都不会被提取。数据的合理销毁技巧请参照隐私数据的清除要求。应急机制管理概述为适应发展需要，提高应对突发事件的能力，保证系统能够在发生突发事件的情况下，仍然可以系统、协调、高效地开展工作，并将突发事件可能造成的损失控制在最低程度内。所有事故的检测和响应，特别是与关键系统有关的，必须遵守本策略。这些事件包括单不限于:系统的关键业务系统、网络通信、机器设备等发生故障而引起的交易中断的突发事件；因业务系统账户信息泄露引发的突发事件；因自然灾害、事故灾难、公共卫生事件、社会安全事件以及能源供应、物资供应、通讯等公共服务的中断而造成系统无法正常运营的事件；危害系统公共关系和形象，造成不良社会影响的各类突发事件；在生产网络探测到未经授权的无线访问点。本方案指导系统突发事件应对工作。组织及分工应急响应组系统设计应急响应组,应急响应组以系统技术总监为负责人,IT及开发人员为骨干，各业务部门主要部门负责人为组员。应急响应组职责应急响应组的职责包括：管理职责包括：研究拟定突发事件处置对策；组织指挥突发事件处置工作；协调、管理突发事件中的新闻信息工作；向信息安全办公室提交突发事件处置工作报告，报告内容应包括但不限于：突发事件的描述及分析，各项对策制定的原因及实施结果，突发事件及处置工作对未来的影响评估，处置工作的经验教训等。处置职责包括：实施与职责相关的各项处置措施；收集、反馈突发事件处置的相关信息以支持领导小组决策；安全事件的分类应急响应组必须首先鉴定安全事件是否需要正式应对。很多情况下安全事件不需要响应时，这时只需转交至相应IT区域以确保能提供所有必要的技术支持。以下是对系统运营团队将会做出响应的事件描述：事件分类分类描述一级安全事件例如潜在的非友好行为，（例如：未授权远程登录，端口扫描，病毒检测及清除，意外的性能峰值等等）二级安全事件例如一个明确的对未经授权的信息进行获

取或访问（例如，试图下载的安全密码文件，企图访问受限区域，非关键系统的单机中毒，未经授权的漏洞扫描，等等）或者第二次出现1级攻击行为。三级安全事件明显攻击或实际违反安全策略（例如，多手段攻击，拒绝服务攻击，重要系统或网络的病毒感染，成功缓冲/堆栈溢出，未经授权成功访问敏感或关键数据或系统，解锁，盗窃文件等）或者第二次出现2级攻击行为.统一应急响应流程系统遵循的应急响应流程包括：事件的报告与识别、分类、抑制、消除、恢复和原因分析以加强安全控制。事件的识别系统的所有员工必须意识到，他们有责任检测安全事故，以便执行事故响应计划和程序。所有员工都有责任在其特定责任范围内协助执行事故响应程序。员工在日常活动中可能遇到一些安全事故示例包括（但不限于）：事件示例盗窃、损坏或未经授权的访问例如，未经授权的登录、办公桌中纸张的丢失、锁被破坏、日志文件丢失、保安警报、闯入或非预定/未经授权的物理进入的视频证据欺诈一数据库、日志、文件或纸张记录中的信息不准确 系统的异常行为例如，非预定的系统重启、意外的消息、系统日志文件中的异常错误或者终止安全事件通知例如，文件完整性警报、入侵侦测警报和物理安全警报异常的行为系统例如，非预定的系统重启、意外的消息、系统日志文件中的异常错误或者终止所有员工，不论职责岗位，都应该清楚可能发生的事故的标识，并且知道在这些情况下应该通知的人员。在任何情况下，每个员工如果未被指派事故响应计划内的其他活动，都应该按照事故报告与发布程序（下节）的指示来报告事故。事件的报告与发布只要有与系统计算资产（特别是任何关键系统）有关的任何可疑或真实安全事故，都应该立即通知应急响应组。如果不能确定是否为安全事故，应联系IT来进行评估。各部门发生轻微或一般的突发事件后，原则上应在下一工作日报送应急信息。若遇到较大或重大的突发事件后，原则上应在4小时内报送应急信息。如果情况特别紧急或重大，应当在准备书面（电子）材料的同时，第一时间内以电话方式报告。在面对可疑情况时，员工应采取如下措施，以确保事故调查和恢复流程的完整性：事故涉及泄密。不要改变计算机系统的当前状态。2)计算机系统应保持运行且所有当前运行的计算机程序保持当前的状态。不要关闭或者重启计算机。3)应该立即拔掉计算机背后的网线，使其从网络中断开。报告安全事故向应急响应组联系报告任何可疑或真实的事故。所有员工都应非常清楚应急响应组的电话号码，在非上班时间应直接联系响应者负责人。任何人都不得向其主管或者应急响应组以外的任何人透露任何有关可疑或真实事故的细节或大概情况。所有与执法部门或公众的信息交流都必须由应急响应组和信息安全办公室统一协调。在等待系统运营团队响应事故之前，应记录下您所知道的任何信息。如果知道，则这些信息必须包括事故的日期、时间和性质。您可以提供的任何信息将有助于以正确的方式响应。事件的分类应急响应组在接到事件报告后，应急处置人员应该对事件进行快速评估并进行初步分类，分类详情参见第3节。事件处理流程一级安全事件对于一级安全事件，应该进行抑制和监控；抑制和监控行为包括1)如果可能的话，记录使用的用户名，IP地址及入侵者网域。2)利用许可的技术控制手段，临时或永久地阻止入侵者访问。3)保持警惕，阻止该用户或来自该讣地址的进一步攻击。二级安全事件对于二级安全事件，应该进行抑制、监控和警告；具体措施应包括：收集并保护与该入侵有关的信息利用许可的技术控制手段，临时或永久地阻止入侵者访问分析攻击源。4)联系ISP获取有关该入侵和入侵者的更多信息。研究有关入侵方法可能带来潜在的风险，重新评估较高级别的安全事件及其抑制、消除以及恢复的措施和手段。根据调查如果发现员工是一个不友好的用户，必须通过警告来防止此类事情再度发生。该雇员的管理者应该和人事部门共同依据可接受使用策略来处理该类事件。

三级安全事件对于三级安全事件，应该抑制、消除、恢复并进行事件原因分析。具体措施应