單位在經(jīng)歷過了一系列的數(shù)據(jù)丟失之殤、文件被鎖之疫、以及服務(wù)中斷之悖后，IT部門的領(lǐng)導(dǎo)要求對(duì)本單位IT系統(tǒng)進(jìn)行一次徹底的梳理與排查，提出整改目標(biāo)，設(shè)計(jì)安全體系的基線，從而鏟除各類坑點(diǎn)和隱患。

單位IT人員先后開展了訪用戶、鉆機(jī)房、登設(shè)備、查線路、測數(shù)據(jù)等活動(dòng)，經(jīng)歷了半個(gè)月的“摸爬滾打”之后，終于弄清了本單位當(dāng)前所使用的龐大的IT服務(wù)系統(tǒng)，以及各個(gè)環(huán)節(jié)中所涉及到的安全體系結(jié)構(gòu)，并且草擬了一份基線的報(bào)告。下面來具體看看到底列出了哪些內(nèi)容，值得我們在單位的安全運(yùn)維管理中進(jìn)行借鑒的。

體系基線的目標(biāo)：為抵御來自外部的網(wǎng)絡(luò)攻擊和控制內(nèi)部的不當(dāng)變更，單位IT系統(tǒng)安全體系應(yīng)具有多層次的、立體的防護(hù)結(jié)構(gòu)。其總體上可分為邊界安全和內(nèi)部治理，在邏輯上通過硬件、軟件、網(wǎng)絡(luò)、系統(tǒng)和管理，形成五個(gè)層面的深度防護(hù)工事。

第一關(guān)：硬件

1.機(jī)房與數(shù)據(jù)中心

服務(wù)器或數(shù)據(jù)中心機(jī)房應(yīng)安裝機(jī)械或電子鎖，并保持常鎖狀態(tài)。開鎖權(quán)限僅掌握在有限數(shù)量的人員手中；

進(jìn)出機(jī)房都要有紙質(zhì)的或電子的記錄；

機(jī)房應(yīng)配備有架空防靜電地板、7×24小時(shí)空調(diào)、UPS、安全攝像頭、以及智能配線架等；

如果是數(shù)據(jù)中心，則要求具備有基于ITIL的服務(wù)管理，還應(yīng)具有7×24小時(shí)監(jiān)控、雙路供電和雙路上網(wǎng)線路接入，以及適當(dāng)?shù)陌l(fā)電設(shè)備。這些可以參照ISO27011：2008 或 SSAE 16等機(jī)房相關(guān)的標(biāo)準(zhǔn)。

2.用戶端

統(tǒng)一將具有服務(wù)支持（如MS）的單位定制的操作系統(tǒng)鏡像安裝到用戶電腦上；

通過組策略（Group Policy）禁止用戶擅自修改系統(tǒng)設(shè)置、禁止用戶擅自安裝軟件，并且啟用規(guī)定時(shí)間無使用的自動(dòng)鎖屏；

瀏覽器里的代理設(shè)置可以被用戶臨時(shí)修改，但會(huì)在下一次登錄時(shí)自動(dòng)恢復(fù)。不過，用戶無法修改瀏覽器的安全和隱私設(shè)置；

預(yù)安裝防病毒軟件且鎖定，以使用戶無法禁用或終止其守護(hù)進(jìn)程；

用戶不能以本地管理員身份登錄電腦，無寫入或修改系統(tǒng)注冊表的權(quán)限，也無法將電腦退出單位的域或修改加入到其他域；

通過信息資產(chǎn)配置管理工具（如SCCM）對(duì)單位內(nèi)用戶電腦進(jìn)行統(tǒng)一的注冊、更新、修改和信息收集等管理。

用戶端硬盤啟用加密，以保證如筆記本電腦之類的設(shè)備丟失時(shí)硬盤上的文件機(jī)密性。

3.服務(wù)器端

統(tǒng)一將具有服務(wù)支持（如MS等）的操作系統(tǒng)鏡像安裝到服務(wù)器上；

預(yù)安裝企業(yè)版防病毒軟件并實(shí)現(xiàn)集中管理和更新；

根據(jù)標(biāo)準(zhǔn)化服務(wù)器的系統(tǒng)安裝Checklist來進(jìn)行操作并逐步核對(duì)；

及時(shí)測試、審核并給相關(guān)服務(wù)器打上補(bǔ)丁。注意審查更新系統(tǒng)的報(bào)告，以確認(rèn)完成；

服務(wù)器應(yīng)在初始安裝的時(shí)候就予以安全加固；對(duì)于處于非軍事區(qū)（DMZ）的外部服務(wù)器須有更多加固設(shè)置。

對(duì)于單位里所用到的所有服務(wù)器應(yīng)該有一個(gè)全量的列表，此表應(yīng)根據(jù)服務(wù)器的硬件類型、服務(wù)功能和使用范圍進(jìn)行分類。

4.移動(dòng)設(shè)備

移動(dòng)設(shè)備連接到單位郵箱時(shí)必須通過認(rèn)證；

在設(shè)備丟失時(shí)，Helpdesk通過MDM系統(tǒng)可遠(yuǎn)程鎖定或擦除設(shè)備上的數(shù)據(jù)；

啟用設(shè)備自動(dòng)鎖屏等安全策略。

第二關(guān)：軟件

1.一般應(yīng)用程序

針對(duì)不同的應(yīng)用程序，設(shè)置不同的用戶組；

將各種應(yīng)用程序的登錄方式統(tǒng)一為單點(diǎn)登錄（SSO），以實(shí)現(xiàn)用戶賬號(hào)權(quán)限的自動(dòng)匹配；

對(duì)于單位所用到的所有應(yīng)用程序應(yīng)有一個(gè)全量的列表，此表應(yīng)根據(jù)程序功能和使用范圍進(jìn)行分類；

每一種應(yīng)用應(yīng)該在表中具有版本號(hào)、許可證、交付方式、類別、基本描述、以及是否外網(wǎng)可用等特征項(xiàng)；

如有條件，最好能擬出一個(gè)數(shù)據(jù)是如何做本單位的各個(gè)應(yīng)用及系統(tǒng)之間進(jìn)行流轉(zhuǎn)的圖表,以方便對(duì)各個(gè)應(yīng)用的協(xié)同工作狀態(tài)和數(shù)據(jù)的走向有個(gè)宏觀的認(rèn)識(shí)。當(dāng)然，也可以將該圖表放大放置在IT部門或Helpdesk，以便在出現(xiàn)系統(tǒng)或服務(wù)故障時(shí)，能清晰的識(shí)別并標(biāo)注出問題的環(huán)節(jié)。

2.文檔及其管理平臺(tái)

各類工作文檔需存放在指定的共享目錄下、網(wǎng)絡(luò)盤里、或者導(dǎo)入到專門的文檔管理與協(xié)作平臺(tái)，而非電腦的本地磁盤上；

用戶存儲(chǔ)文檔時(shí)，默認(rèn)情況下為公開屬性，如有需要可以添加相關(guān)安全設(shè)置，包括：私有屬性、可以訪問的用戶與組、以及讀/寫/改/刪等權(quán)限；

管理平臺(tái)持續(xù)記錄用戶對(duì)文檔的任何訪問操作，該記錄日志應(yīng)被刪除；

管理平臺(tái)能夠?qū)ε縿h除/轉(zhuǎn)發(fā)/導(dǎo)出等不合規(guī)的操作行為予以報(bào)警。

3.郵件管控

規(guī)范郵件系統(tǒng)網(wǎng)絡(luò)架構(gòu)，厘清郵件出入本系統(tǒng)的邏輯路徑。對(duì)跨國企業(yè)，可按照區(qū)域劃分中轉(zhuǎn)的Hub；

對(duì)出入本系統(tǒng)的郵件配置相應(yīng)的反垃圾郵件、郵件黑（白）名單、郵件加密等服務(wù)；

定期對(duì)郵件系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，比如可以用到MS ExRAP；

如果除了普通郵件客戶端，單位還提供Web版的外網(wǎng)郵件訪問方式，相關(guān)的安全設(shè)置也應(yīng)有所配置，比如可以用到MS ISA；

禁止用戶批量轉(zhuǎn)發(fā)或設(shè)置為自動(dòng)轉(zhuǎn)發(fā)單位郵箱里的郵件；

運(yùn)用反垃圾郵件系統(tǒng)通過掃描各種入站郵件，來防止釣魚和保障內(nèi)網(wǎng)安全；

為保證郵件系統(tǒng)的持續(xù)可用性，可適當(dāng)采用SaaS服務(wù)來保證單位內(nèi)郵件服務(wù)中斷時(shí)，用戶仍可用公網(wǎng)途徑收發(fā)郵件。

第三關(guān)：網(wǎng)絡(luò)

1.網(wǎng)絡(luò)連接

單位上網(wǎng)線路建議采用雙線制，可實(shí)現(xiàn)不同應(yīng)用業(yè)務(wù)從各自線路與外部連接，并實(shí)現(xiàn)互相備份；

對(duì)有多個(gè)分支機(jī)構(gòu)的單位，可以將需要與區(qū)域站點(diǎn)（或總部）協(xié)作的應(yīng)用業(yè)務(wù)都通過一個(gè)WAN網(wǎng)專線進(jìn)出；開啟VPN建立數(shù)據(jù)通信專有通道，以實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的保密性。而另一條線路，提供員工上網(wǎng)以及在WAN出現(xiàn)故障時(shí)切換所使用（如通過BGP的配置）；

運(yùn)用工具發(fā)現(xiàn)并繪制詳細(xì)的網(wǎng)絡(luò)連接拓?fù)浣Y(jié)構(gòu)圖。

網(wǎng)絡(luò)連接設(shè)備（如：防火墻、路由器、交換機(jī)等）都遵循統(tǒng)一的配置模板，各個(gè)設(shè)備的配置都有集中的備份與歸檔；

有詳盡的網(wǎng)絡(luò)設(shè)備恢復(fù)方案與操作步驟的參考文檔。

2.非軍事區(qū)（DMZ）

在活動(dòng)目錄里劃分單獨(dú)的域給DMZ；

僅為外部用戶提供安全套接層（SSL）的方式來訪問DMZ里的Web資源；

將Outlook Web Access/ActiveSync/Citrix/Office Communications Server/VPN Gateway/SharePoint Extranet等服務(wù)放置在DMZ里。

3.用戶上網(wǎng)規(guī)則

所有用戶須持有有效的域賬號(hào)，并通過代理服務(wù)器來訪問互聯(lián)網(wǎng)；

代理服務(wù)器對(duì)出入數(shù)據(jù)包執(zhí)行病毒掃描、請求特征分析、策略判斷、跟蹤與記錄等操作。

4.無線訪問

單位提供統(tǒng)一的無線網(wǎng)絡(luò)ID，并實(shí)現(xiàn)區(qū)域全覆蓋；

通過配置實(shí)現(xiàn)無線網(wǎng)絡(luò)與局域網(wǎng)的互通，域賬號(hào)能在無線網(wǎng)絡(luò)中訪問所有單位資源；非域賬號(hào)登錄到無線網(wǎng)絡(luò)后，僅能向外訪問到互聯(lián)網(wǎng)。

第四關(guān)：系統(tǒng)

1.備份

將備份視為一個(gè)單獨(dú)的系統(tǒng)，列出單位所使用到的備份類型（如FC SAN、IP SAN（iSCSI）還 是 NAS）、硬件設(shè)備、軟件特征、數(shù)據(jù)源及路徑、備份策略、恢復(fù)數(shù)據(jù)點(diǎn)和恢復(fù)時(shí)間等；

對(duì)于有多個(gè)分支機(jī)構(gòu)的單位，還可按地域厘清各個(gè)備份系統(tǒng)之間的聯(lián)系和數(shù)據(jù)流轉(zhuǎn)走向；

制定將備份好的介質(zhì)離線投遞到其他安全位置的相關(guān)策略，并嚴(yán)格執(zhí)行。

2.電話與語音信箱

追蹤打出的電話，以識(shí)別打往未授權(quán)國家與號(hào)碼的國際長途；

以要求用戶輸入規(guī)定的前綴代碼的方式，實(shí)現(xiàn)長途電話的計(jì)費(fèi)；

系統(tǒng)在次月產(chǎn)生上個(gè)月每一門電話的通話清單與費(fèi)用列表；

用戶離職后直接呼叫轉(zhuǎn)移其號(hào)碼到繼任者，并導(dǎo)出其語音信箱后立即從系統(tǒng)中刪除；

對(duì)于有多個(gè)分支機(jī)構(gòu)的單位，可通過使用入站電話重定向（ICR）實(shí)現(xiàn)將出現(xiàn)故障的某個(gè)區(qū)域的所有打入電話路由到他處。

3.遠(yuǎn)程訪問

為實(shí)現(xiàn)員工在辦公區(qū)以外能夠?qū)挝粌?nèi)部資源的訪問，既允許在任何電腦上基于網(wǎng)頁的遠(yuǎn)程桌面與應(yīng)用（如Citrix），也支持具有單位統(tǒng)一系統(tǒng)鏡像的筆記本上的VPN連接；

認(rèn)證方式上采用靈活的支持多種通信方式的雙因素認(rèn)證模式；

為合作伙伴提供非本域的賬號(hào)和受限的VPN遠(yuǎn)程連接方式。

第五關(guān)：管理

1.賬號(hào)、組與密碼

所有人都使用活動(dòng)目錄的域賬號(hào)來登錄單位的服務(wù)器和用戶端電腦；

所有賬號(hào)，在原則上具有相同的訪問級(jí)別，而無任何特殊的訪問權(quán)限；

通過基于角色的訪問控制來實(shí)現(xiàn)基本用戶賬號(hào)最小特權(quán)的管理；

定期對(duì)活動(dòng)目錄進(jìn)行風(fēng)險(xiǎn)評(píng)估，例如可以用到MS ADRAP；

僅授權(quán)單一部門對(duì)域賬號(hào)進(jìn)行統(tǒng)一的集中化管理；

只有IT部門員工才有、且能使用第二個(gè)賬號(hào)來進(jìn)行管理類事物操作。所有這些賬號(hào)都以ADM_開頭以便于跟蹤和記錄；

按職權(quán)分離和須知原則設(shè)定不同活動(dòng)目錄用戶組，以方便跟蹤、記錄和管控；

普通賬號(hào)遵循通用的密碼策略；而對(duì)于ADM賬號(hào)，則采用更嚴(yán)格的密碼策略。

2.信息平臺(tái)

為保持安全團(tuán)隊(duì)內(nèi)部的及時(shí)協(xié)作、以及與外部的高效溝通，應(yīng)設(shè)置一個(gè)統(tǒng)一的內(nèi)網(wǎng)管理平臺(tái)入口（如一個(gè)SharePoint站點(diǎn)）來實(shí)現(xiàn)集中化管理；

平臺(tái)內(nèi)容包括：安全信息的發(fā)布、事件情況的查詢、項(xiàng)目進(jìn)度的更新、參考文件的存儲(chǔ)、負(fù)責(zé)人的公示等；

平臺(tái)應(yīng)能實(shí)現(xiàn)遠(yuǎn)程登錄與運(yùn)維，以提高整體效率；

使用統(tǒng)一的平臺(tái)解決方案實(shí)現(xiàn)對(duì)所有的事件、事故、問題、請求以及變更的管理。Helpdesk和所有IT部門員工都有權(quán)限使用此平臺(tái)并能獲取平臺(tái)推送的消息；

使用統(tǒng)一的平臺(tái)解決方案實(shí)現(xiàn)對(duì)所有項(xiàng)目的進(jìn)度、工時(shí)和時(shí)間的跟蹤與管理。所有的項(xiàng)目經(jīng)理、職能經(jīng)理和高級(jí)工程師都有權(quán)限使用此平臺(tái)并能獲取平臺(tái)推送的消息。一般IT人員僅能Read only該平臺(tái)。

3.網(wǎng)絡(luò)與設(shè)備監(jiān)控

使用安全事件管理產(chǎn)品進(jìn)行日志集中管理與聯(lián)動(dòng)；

監(jiān)控各網(wǎng)絡(luò)設(shè)備、服務(wù)器硬盤使用率與在線狀態(tài)等；

監(jiān)控LAN、WAN、WIFI 和上網(wǎng)線路狀態(tài)；

對(duì)于單位網(wǎng)絡(luò)中所用到的IDS/IPS以及DLP產(chǎn)品提供監(jiān)控與響應(yīng)。

4.應(yīng)急響應(yīng)與審計(jì)

具有既定的應(yīng)急響應(yīng)流程，并定期更新之，且周期性進(jìn)行演練；

定期進(jìn)行服務(wù)器（Web）、網(wǎng)絡(luò)、客戶端、BYOD等類型的滲透測試；

定期（每年一次或兩次）執(zhí)行內(nèi)部審計(jì)和外部審計(jì)；

接受上下游合作商及客戶所主導(dǎo)的各類安全評(píng)審。

5.培訓(xùn)與手冊

定期以電子郵件、海報(bào)或組織員工面對(duì)面開展信息系統(tǒng)基本技能與安全意識(shí)的相關(guān)培訓(xùn)；

制定并定期更新面對(duì)全員發(fā)放的風(fēng)險(xiǎn)意識(shí)管理和速查手冊。