作者: 燕子
CIO平时除了关心信息化管理对于企业所产生的价值之外,就是关注企业信息化的安全问题。纵观企业现在所面临的安全局势,外面病毒、木马不断,内部来自员工的威胁又不能够彻底消除。所以,若利用十面埋伏,来形容CIO所面对的安全方面的调整,并不为过。那么CIO该如何突破这个十面埋伏的局势,做好信息化安全的工作呢?笔者认为,应该从安全审计工作着手。
信息化安全审计,就是CIO对企业的信息化管理环境进行测试、评估、分析的一个过程。一个比较系统的安全审计过程,可以发现企业信息化管理过程中所存在的一些安全漏洞;从而为CIO督促相关技术人员改善安全措施提供数据上的支持。
不过安全设计是一个比较系统的工作。若要这里展开的话,可能可以说个个把月。由于篇幅的限制,笔者这了就不过多展开。笔者就结合自己安全审计方面的工作经验,谈谈CIO在信息化安全审计时,该从哪些方面入手。
为了提高企业的信息化管理水平,那么如何提高文件的共享程度是一个不能够绕开的话题。为此,针对文件共享的文件服务器解决方案也随之诞生。可是,随着文件的高度共享所带来的问题,就是安全。文件被随意修改、被恶意复制、不小心删除、成为病毒木马传播的载体等等,这些安全问题一直困扰着CIO的心。所以,笔者在进行安全审计时,就从文件共享安全开始着手。为此,笔者就已文件共享服务器为例,谈谈信息化安全审计的主要内容。
一、审计安全策略是否实效。
为了保障文件服务器的安全,我们往往会配置一些安全策略。但是,这些安全策略到底有没有在起作用呢?如果安全策略没有生效,那么安全策略制定的最好,也只是被束之高阁,起不到实际作用。笔者在安全审计工作中,发现有些安全策略会不明原因的处以失效状态。这可能的原因有很多。如可能是管理员为了进行维护,先临时停用了安全策略,后来又忘记重新启用所导致的。也有可能是一些非法入侵者,为了入侵的方面,就关闭了安全策略。等等。
在安全设计的过程中,笔者就会去查看文件服务器管理平台,看看现在文件服务器中安全策略有哪些;有那些启用了;以及存在哪些违反安全策略的行为。通过这些信息,可以大致了解文件服务器当前存在的一些安全问题。如笔者在审计的过程中,最常见的问题就是一些密码策略问题。如为了提高文件服务器的安全性,网络管理员设置了一个密码策略,当用户连续三次输入密码错误时,这个用户的帐号就会给锁定。可是,根据网络管理员反映,有不少的用户老是会密码输入错误。要么是大小写的问题,要么就是键盘不熟悉而输入错误。很容易超过三次,用户名就被锁定了。每次要网络管理员进行解锁,非常的麻烦。为此,索性他们就把这个密码策略给禁止了。这虽然可以减少一定的工作量,但是,却给文件服务器带来安全隐患。因为如果用户密码设置的比较简单的话,则通过字典工具可以轻易破除文件服务器的密码。
在实际工作中,有不少类似的自作聪明的技术人员。为此,在对一些网络设备,包括文件服务器、路由器等设备进行安全审计时,一定要注意是否存在着一些失效的策略。如果存在,则CIO需要弄清楚为何会失效。是这个策略的内容过时了呢,还是技术人员为了工作方便而忽视了安全,把策略设置为失效呢。若是前者,则CIO需要重新更新安全策略的内容;若是后者的话,则就需要给相关的责任人进行处罚。在生产过程中,安全无小事。其实在信息化管理中,安全也无小事。
二、审计身份认证方式是否安全?
到目前为止,企业大部分的身份认证方式还是依靠用户名与密码来进行验证。由于设备投资与维护成上的考虑,像安全卡等类似的身份验证技术,在企业中采用的还不是很广泛。为此,在身份验证安全性审计中,主要是针对用户名与密码的安全策略,有没有落实到实处。
在这个内容的审计过程中,主要审计如下内容。
一是需要审计是否存在密码为空的帐户,或者用户是否更改了默认密码。在管理员为新用户设置网络访问帐号时,都会给新用户一个默认密码,并让其马上登陆系统进行更改。但是,在实际工作中,笔者发现不少用户要么根本就没有更改默认密码,又或者把密码设置为空。这些不安全帐户会大大影响文件服务器的安全性。为此,CIO需要审计文件服务器或者其他的网络设备,是否存在密码为空或者是默认密码的帐户。若有的话,要及时通知相关责任人进行更改。以防止这些帐户泄露给给企业造成不必要的损失。
二是需要审计是否设置了安全策略。一些网络设备与应用提供商也意识到了身份验证方式中的一些薄弱环节,所以包括文件服务器在内的一些网络应用都支持在用户验证上采取一些安全策略。如可以强制新用户在下次登陆时必须更改密码或者设置用户更改密码的时间间隔等等。通过这些安全策略,可以提高员工用户名与密码的安全性。所以,在有必要的时候,CIO需要设计关键网络应用与网络设备中是否存在这些安全策略。若没有的话,就要告知相关的责任人员及时的补上。
三是审计身份验证方式的安全级别是否可以。如笔者财务部门现在用的是网上银行支付各类款项,其金额往往比较大。为此,每次安全审计过程中,笔者都会关注现在银行所采用的身份验证方式有哪些。如果新出现了一些比较高级别的身份验证方式,那么笔者就会考虑是否需要更换等等。为了一些关键应用的安全,如网上银行或者远程访问,有时候不得不需要增加一些硬件投资。故身份验证方式的安全级别也是信息化安全审计的一个方向。当发现现在所采用的身份验证方式与企业所要求的安全等级不符的话,那么就需要考虑是否要采用新的身份验证方式。
三、备份是否按时执行。
针对一些文件服务器、数据库服务器等等,有一个重要的审计对象就是备份作业。CIO需要不定时的去审计文件服务器的备份情况。毕竟天有不测风云,即使安全措施采取的最好,也难免会存在一些安全漏洞。道高一尺,魔高一丈,这是无法避免的。既然无法避免,CIO就需要考虑,如果在出现故障之后,能否及时恢复应用呢?这就要看日常的备份工作做的好不好。如果做的好的话,那么就可以在最短时间恢复原有的应用。
在对备份作业进行安全审计时,CIO主要需要关注如下几方面内容。
一是现在执行的自动化备份策略是否合理。现在备份基本上都是自动化作业。其备份模式包括差异备份与完全备份。有时候,若每天都进行完全被分,会增加服务器的负担,同时浪费比较多的磁盘空间。所以,当服务器中的数据比较多时,每天都采取完全被备份是不合理的。而且,备份的时间也很有讲究。如是在午后十二点进行备份呢,还是选择在用户关机的时候备份(把用户主机上特定文件夹中的文件备份到文件服务器)。这些内容都会随着企业应用的调整而有所变化。CIO在安全审计时,就需要关注现有的配置是否符合公司现有的实际情况。
二是对备份文件的准确性进行审计。由于备份文件往往是一个压缩包。由于其文件的特殊性,往往很难判断其是否准确,能否在故障时用来恢复原有的数据。所以,在安全审计时,CIO有必要抽取一个比较新的备份文件,或者指定一个时刻,在备用服务器上进行数据恢复测试。看看其在恢复过程中是否会出错。若备份文件出现错误,那么即使备份的频率再高,也是竹篮子打水,一场空。所以,在安全审计过程中,CIO还需要确定一下备份文件是否确实可用。
三就是备份文件的安全性。如果备份文件可以很容易的被人拷走,那么这备份文件就会成为企业信息化安全的定时炸弹,成为泄露企业信息的罪魁祸首。所以,备份文件本身的安全性也是安全审计的重点。如需要考虑利用备份文件还原时是否需要进行密码控制、备份文件是否需要进行异地存放等等安全措施。
当然,安全审计的对象很广,不止上面这三个。笔者这里只是举一些例子,让各位同行在安全审计过程中有一个大致的方向。