欢迎访问等保测评网!

等保服务热线:18664786404

当前位置:主页 > 等保整改 >

等保整改:某物流系统存在的主要安全问题及整改建议

2020-09-11 16:48
默认标题_公众号封面首图_2020-09-11-0 (1)
 
等级保护整改是等级保护工作的其中一个环节,其主要目的就是通过整改,提高信息系统的安全防护能力,符合等级保护的标准要求。具体来说,等级保护整改又分为管理方面的整改和技术方面的整改,管理方面的整改主要就是落实企业的安全管理制度,确定安全工作的主管领导及相应技术人员,为信息系统安全提供制度保障;技术方面的整改则是针对信息系统中存在的安全隐患和风险,比如将缺失的设备补足,建立并完善安全防护体系。
 
此前,青莲网络曾经为某家物流公司的物流系统做过等级保护,根据差距测评,我们发现了该物流系统存在的主要安全问题,并且给出了相应的整改建议,协助客户落实了整改工作,降低了信息系统安全风险。最终,该物流公司以91.2的高分通过了等级测评,成功拿证。下面是该物流系统存在的主要安全问题及整改建议:
 
安全通信网络:1)未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
整改建议:1)建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
安全区域边界:1)被测系统网络核心业务部署在阿里云上,采用了高级版的阿里云安全中心,未能实现对网络攻击特别是新型网络攻击行为的分析。2)未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
整改建议:1)建议采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;2)建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
安全计算环境(网络):1)阿里云控制台:未对重要主体和客体设置安全标记,未控制主体对有安全标记信息资源的访问。2)阿里云控制台:未限定网络地址范围对通过网络进行管理的管理终端进行限制。3)阿里云控制台:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。
整改建议:1)阿里云控制台:建议对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。2)阿里云控制台:建议设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。3)阿里云控制台:建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
安全管理中心:1)已通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记,对主体进行授权,但未能够配置可信验证策略。
整改建议:1)建议通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略。
 
安全管理制度:1)未定期对安全管理制度的合理性和适用性进行论证和审定。
整改建议:1)组织管理层、决策者和制度修订负责人对安全管理制度定期(例行检查,如每年一次)或不定期(当发生重大变更或紧急事故时进行)进行检查和审定,对发现有误、过时、失效等不符合情况进行修订并重新发布新版本。所制定的安全管理制度应该符合相关法律法规或者行业标准的要求、符合公司网络安全发展战略目标要求、符合公司成本效益要求、符合当前技术发展形势要求。
 
安全管理机构:1)未定期进行包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等全面的安全检查。2)未定期开展全面的安全检查,故不存在相应的检查记录,通报记录等。
整改建议:1)应由网络安全领导层或管理层组织定期进行安全管理评审,检查内容包括检测所采取的安全技术措施是否有效、安全配置和安全策略是否一致、安全管理制度的执行情况等。2)根据相关的安全标准、企业信息安全战略目标制定详细的安全检查列表,详细记录检查情况,形成检查报告,通报结果,归档保存记录,并督促整改。
 
安全管理人员:1)被测单位与录用人员签署了《保密及竞业禁止协议》,但是未与关键岗位人员签署岗位责任协议。2)未制定不同岗位的不同的培训计划。
整改建议:1)与关键岗位的人员单独签署关键岗位责任协议。2)根据每年年初的培训需求调查表,制定年度培训计划,培训内容覆盖网络安全基础知识、岗位安全技能、岗位操作规程等,并按照计划执行,保存培训记录。
 
安全建设管理:1)由网络与信息安全工作领导小组办公室负责保护对象的安全整体规划和安全方案设计,存在《省省回头车系统安全保护设施设计实施方案》,但设计内容未包含含密码技术相关内容。2)未进行上线前的安全性测试。3)未定期监督、评审和审核服务供应商提供的服务。
整改建议:1)应根据等级保护对象的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,设计内容应包含密码技术相关内容,并形成配套文件。2)对系统进行独立的安全性测试,并出具相应测试报告。3)应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
 
在详细整理相关国家规范的基础上,助力企业成功通过等级测评,落实等级保护工作,