《資訊保安技術 資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM正式成為國標對外發布，並已正式實施。美創科技將以DSMM資料安全治理思路為依託，針對各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，形成系列文章。本文作為本系列第八篇文章，將介紹資料儲存安全階段的邏輯儲存安全過程域（PA08）。

 

隨著《中華人民共和國資料安全法(草案)》的公佈，後續DSMM很可能會成為該法案的具體落地標準和衡量指標，對於中國企業而言，以DSMM為資料安全治理思路方案選型，可以更好的實現資料安全治理的制度合規。

 

資料生命週期安全過程域

DSMM將6個生命週期進一步細分，劃分出30個過程域。這30個過程域分別分佈在資料生命週期的6個階段，部分過程域貫穿於整個資料生命週期。

本文作為《資料安全能力成熟度模型》實踐指南系列第八篇文章，將介紹資料儲存安全階段的邏輯儲存安全過程域（PA08）。

 

01 定義

邏輯儲存安全，DSMM官方描述定義為基於組織內部的業務特性和資料儲存安全要求，建立針對資料邏輯儲存、儲存容器等的有效安全控制。

DSMM標準在充分定義級對邏輯儲存安全要求如下：

1)       組織建設

 

Ø  美創科技專家建議組織應設立統一負責資料邏輯儲存安全管理的崗位和人員，負責明確整體的資料邏輯儲存系統安全管理要求，並推進相關要求的實施；

Ø  應明確各資料邏輯儲存系統的安全管理員，負責執行資料邏輯儲存系統、儲存裝置的安全管理和運維工作。

 

2)       制度流程

Ø  應明確資料邏輯儲存管理安全規範和配置規則，明確各類資料儲存系統的賬號許可權管理、訪問控制、日誌管理、加密管理、版本升級等方面的要求；

Ø  內部的資料儲存系統應在上線前遵循統一的配置要求進行有效的安全配置，對使用的外部資料儲存系統也應進行有效的安全配置；

Ø  應明確資料邏輯儲存隔離授權與操作要求，確保具備多使用者資料儲存安全隔離能力。

 

3)       技術工具

Ø  應提供資料儲存系統配置掃描工具，定期對主要資料儲存系統的安全配置進行掃描，以保證符合安全基線要求；

Ø  應利用技術工具監測邏輯儲存系統的資料使用規範性，確保資料儲存符合組織的相關安全要求；

Ø  應具備對個人資訊、重要資料等敏感資料的加密儲存能力。

 

4)       人員能力

負責該項工作的人員應熟悉資料儲存系統架構,並能夠分析出資料儲存面臨的安全風險，從而能夠保證對各類儲存系統的有效安全防護。

 

02 實踐指南

1)       組織建設

美創科技專家建議組織機構在條件允許的情況下應該設立一個資料邏輯儲存安全管理部門並招募相關的人員負責管理公司整體的資料邏輯，包括學習目前普遍的資料邏輯管理方法，結合公司的實際情況，制定資料邏輯安全儲存管理制度，建立資料邏輯儲存隔離與授權操作標準等，包含認證授權、賬號管理、許可權管理、日誌管理、加密管理、版本管理、安全配置、資料隔離等要求點，搭建公司整體的資料邏輯儲存系統，同時執行並維護資料邏輯儲存系統和儲存裝置。

 

2)       人員能力

針對資料邏輯儲存安全管理部門的相關人員，必須具備良好的資料安全風險意識，熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在進行資料邏輯儲存管理的時候主要依據《網路安全法》、《資料安全法》中的相關要求，對公司的資料邏輯儲存做好管理、保護與合規，為公司制定有效的、整體上的資料邏輯儲存管理安全制度和配置規則，明確相應的安全需求並推動相關要求有效的落地執行。除此之外，還需要相關人員熟悉市場上常見的資料儲存系統架構，並且能夠準確根據公司的真實環境與需求，構建公司整體的資料邏輯儲存系統，並且能夠分析出資料邏輯儲存時可能會遇到的安全風險，保障資料邏輯儲存系統的安全性與穩定性。

 

3)       落地執行性

針對資料邏輯儲存安全管理人員能力的實際落地執行性確認，可透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

 

4)       制度流程

Ø   邏輯儲存管理安全規範

① 系統賬號管理

普通賬號管理：

a)       申請人需使用同一而規範的申請表提出使用者賬號建立、修改、刪除、禁用等申請；

b)      在受理申請時，邏輯儲存管理部門根據申請配置許可權，在系統條件具備的情況下，給使用者分配獨有的使用者賬號和許可權。一旦分配好賬號，使用者不得使用他人賬號或者允許他人使用自己的賬號；

c)       當使用者崗位和許可權發生變化時，應主動申請所需邏輯儲存系統過的賬號和許可權；

 

特權賬號和超級使用者賬號管理：

a)       特權賬號指在系統中有專用許可權的賬號，如備份賬號、許可權管理賬號、系統維護賬號等。超級使用者賬號指系統中最高許可權賬號，如administrator、root等管理員賬號。

b)      美創科技專家強烈建議只有經邏輯儲存安全管理部門授權的使用者才可以使用特權賬號和超級使用者賬號，嚴禁共享賬號；

c)       邏輯儲存安全管理部門需監督特權賬號和超級使用者賬號的使用情況並記錄；

d)      儘量避免使用特權賬號和超級使用者賬號的臨時使用，確需使用時必須提交申請及審批流程；臨時使用超級使用者賬號必須有邏輯儲存安全管理部門在場監督，並記錄其工作內容；超級使用者賬號臨時使用完畢後，邏輯儲存安全管理部門需立即更改賬號密碼；

 

賬號許可權審閱：

a)       邏輯儲存管理部門需建立邏輯儲存系統賬號及許可權的文件記錄，記錄使用者賬號和相關資訊，並在賬號變動時及時更新記錄；

b)      使用者離職後，邏輯儲存管理部門需及時禁用或刪除離職人員所使用的賬號；如果離職人員是系統管理員，則及時更改特權賬號或超級使用者口令。

 

賬號口令管理：

a)       使用者賬號口令的發放要嚴格保密，使用者必須及時更改初始口令；

b)      賬號口令最小長度為6位，並要求具有一定的複雜度，賬號口令需定期更改，賬號口令的更新週期不得超過90天；

c)       嚴禁共享個人使用者賬號口令；

d)      超級使用者賬號需透過保密形式由邏輯儲存安全管理部門留存一份；

 

認證鑑權：

a)       邏輯儲存系統透過管理平面認證和業務平面的認證，限制可訪問邏輯儲存系統的維護終端及應用伺服器。當使用者使用儲存系統時，只有認證透過後才能對儲存系統執行管理操作，並對儲存系統上的業務資料進行讀寫操作。

 

② 訪問控制

a)       邏輯儲存安全管理部門需制定邏輯儲存系統的訪問規則，所有使用的使用者都必須按規定執行，以確保邏輯儲存裝置和業務資料的安全；

b)      對邏輯儲存系統進行設定，保證在進入系統前必須執行登入操作，並且記錄登入成功與失敗的日誌；

c)       邏輯儲存系統的管理員必須確保使用者的許可權被限定在許可的範圍內，同時能夠訪問到有權訪問的資訊；

d)      訪問控制許可權設定的基本規則是除明確允許執行的情況外，其餘必須禁止；

e)       訪問控制的規則和許可權應結合實際情況，並記錄在案；

 

③ 病毒和補丁管理

a)       邏輯儲存安全管理部門應具備較強的病毒防範意識，定期進行病毒檢測，發現病毒立即處理並通知上級領導部門或專職人員；

b)      採用國家許可的正版防病毒軟體並及時更新軟體版本；

c)       邏輯儲存系統筆記及時升級或安裝安全補丁，彌補系統漏洞；必須為邏輯儲存伺服器做好病毒及木馬的實時監測，及時升級病毒庫；

d)      未經邏輯安全管理部門許可，不得在邏輯儲存系統上安裝新軟體，若確為需要安裝，安裝前應進行病毒理性檢查；

e)       e.經遠端通訊傳送的程式或資料，必須經過檢測確認無病毒後方可使用；

 

④ 日誌管理

a)       定期檢查邏輯儲存系統上的安全日誌進行檢查，對錯誤、異常、警告等日誌進行分析判斷，並將判讀結果進行有效解決處理並記錄存檔；

b)      邏輯儲存系統上的日誌要定期備份，以便幫助使用者瞭解在與安全相關的事物中所涉及到的操作、流程以及事件的整體資訊；

 

⑤ 儲存檢查

a)       邏輯儲存安全管理部門應定期檢查邏輯儲存系統的儲存情況進行檢查並記錄，如果發現儲存容量超過70%以上，應及時刪除不必要的資料騰出磁碟空間，必要時申報新的儲存；

 

⑥ 故障管理

a)       邏輯儲存系統的故障包括：軟體故障、硬體故障、入侵與攻擊，以及其他不可預料的未知故障等。

b)      當邏輯儲存系統出現故障時，由邏輯儲存安全管理部門督促和配合廠商工作人員儘快維修，並對故障現象及解決全過程進行詳細記錄；

c)       邏輯儲存系統需外出維修時，邏輯儲存安全管理部門必須刪除系統中的敏感資料；

d)      對於不能儘快處理的故障，邏輯儲存安全管理部門應立即通知上級領導，並保護好故障現場；

 

Ø   邏輯儲存安全配置規則

邏輯儲存系統在上線前應遵循統一的配置要求進行有效的安全配置，同時採用配置掃描工具和漏洞掃描系統對資料儲存系統進行定期掃描，儘可能地消除或降低邏輯儲存系統的安全隱患。關於邏輯儲存的安全配置規則如下，各邏輯儲存安全管理部門可按照實際需求酌情遵從。

① 賬號管理與授權

a)       刪除或鎖定可能無用的賬戶；

b)      按照使用者角色分配不同許可權的賬號；

c)       口令策略設定不符合複雜度要求；

d)      設定不能重複的口令；

e)       不實用系統預設使用者名稱；

f)        口令生存期不得長於90天；

g)      設定連續認證失敗次數；

h)      遠端系統強制關機的許可權設定；

i)        關閉系統的許可權設定；

j)        取得檔案或其他物件的所有權設定；

k)       將從本地登入設定為指定授權使用者；

l)        將從網路訪問設定為指定授權使用者；

 

② 日誌配置要求

a)       稽核策略設定為成功失敗都要稽核；

b)      設定日誌檢視器大小；

 

③IP 協議安全要求

a)       開啟TCP/IP篩選；

b)      啟用防火牆；

c)       啟用SYN攻擊保護；

 

④ 服務配置要求

a)       啟用NTP服務；

b)      關閉不必要的服務；

c)       關閉不必要的啟動項；

d)      關閉自動播放功能；

e)       稽核HOST檔案的可疑條目；

f)        關閉預設共享；

g)      非EVERYONE的授權共享；

h)      SNMP COMMUNITY STRING設定；

i)        刪除可匿名訪問共享；

j)        關閉遠端登錄檔；

k)       對於遠端登入的賬號，設定不活動斷開時間為1小時；

l)        IIS服務補丁更新；

 

⑤ 其他配置要求

a)       安裝防病毒軟體；

b)      配置WSUS補丁更新伺服器；

c)       SERVER PACK補丁更新；

d)      HOTFIX補丁更新；

e)       設定帶密碼的螢幕保護；

f)        互動式登入不顯示上次登入使用者名稱。

 

5)       技術工具簡述

Ø   技術工具簡述

資料在儲存過程中，除了常見的物理介質問題所導致的資料安全問題，還對儲存容器和儲存架構提出了更高的要求，一般來說，儲存資料的容器主要是伺服器，所以這就要求加強伺服器本身的安全措施。從伺服器看，一是需要加強常規的安全配置，這方面可以透過相關的安全基線或安全配置檢測工具進行定期排查，檢查項包括認證鑑權、訪問控制等，另一方面需要加強儲存系統的日誌審計，採集儲存系統的操作日誌，識別訪問賬號和鑑別許可權，檢測資料使用規範性和合理性，實時監測以儘快發現相關問題。從而建立起針對資料邏輯儲存、儲存容器的有效安全控制。

Ø   技術工具的方法和原理

①安全基線核查

所謂安全基線，是為了明確企業網路環境中相關裝置與系統達到最基本的防護能力而制定的一系列安全配置基準。目前安全配置基線主要包含五大塊內容：服務包與安全升級（包括服務包、安全更新相關的配置）、審計與賬戶策略（包括稽核策略和賬戶策略相關的配置）、額外的安全保護（包括網路訪問、資料執行保護、安全選項及若干登錄檔鍵值相關的配置）、安全設定（包括使用者許可權分配、檔案許可、系統服務相關的配置）、管理模版（包括遠端系統呼叫、Windows防火牆、網路連線相關的配置）。

 

②日誌監控

日誌監控是實現邏輯儲存安全的重要一部分，透過對儲存系統的操作日誌進行監控，識別訪問賬號和鑑別許可權，從而檢測資料使用的規範性和合理性。日誌監控系統的實現主要有以下幾部分：日誌採集中心、日誌儲存中心、日誌審計中心

日誌採集負責接收各個邏輯儲存系統的日誌記錄，並且按照統一的日誌格式進行整理解析，然後交給日誌儲存中心。

日誌採集流程

 

日誌採集的範圍應儘可能的覆蓋所有的網路裝置、作業系統、資料庫以及各個應用系統伺服器的日誌記錄，主要包含網路日誌採集和本地日誌採集等。

 

日誌儲存中心需要把採集到的日誌進行持久化的操作和對儲存在持久化的儲存介質中的資料進行相關的檢索查詢。常見的儲存介質有磁碟、光碟、磁帶等，主要的儲存介質主要是磁碟。資料的儲存系統包括檔案系統的資料儲存和資料庫形式的資料儲存，根據選型，日誌儲存中心主要實現三塊功能：日誌持久化、日誌查詢、日誌備份。

 

日誌審計中心是日誌監控系統中非常重要的功能，透過該功能，及時的對系統進行審計，實現對越權訪問控制等敏感操作進行預警，並將異常情況反饋給系統管理員或相關使用者，日誌審計中心主要應具備以下功能：審計規則庫管理、審計報表自動生成功能、審計查詢功能、時間週期報表功能、審計相關資訊的配置。

 

如下圖為日誌審計中心的基本流程圖：

 

Ø   技術工具工作流程和目標

①安全基線核查

安全基線核查工具應實現以下目標：

a)       知識庫模組：需要廠家自定義的知識庫基礎模版，同時可支援使用者自定義相關知識庫

b)      遠端連線登入或本地Agent: 透過本地Agent或者遠端連線登入的方式進入需要核查的機器

c)       任務管理模組：透過使用者自由選擇，選擇需要檢查的策略及檢查時間

d)      知識庫解析及核查指令碼執行：解析知識庫模組並呼叫相關核查指令碼進行安全基線檢查

e)       安全度量：根據核查指令碼執行結果，對被檢查機器進行打分評估及輸出相關安全建議

f)        報告輸出：輸出本次安全基線核查結果，主要應包含此次安全核查的總體情況及存在問題的專案

 

②日誌監控

日誌監控系統應實現以下目標：

a)       日誌採集：收集各類日誌並傳送給接收伺服器；

b)      日誌接收：日誌接收伺服器接收日誌；

c)       日誌解析：按照標準格式對各類別日誌進行標準化，並按日誌型別進行分類；

d)      日誌儲存：將日誌解析後的日誌儲存至特定的儲存系統中；

e)       審計規則庫：定義敏感操作相關的行為，將日誌儲存系統中的日誌與審計規則庫進行匹配，審計規則庫支援自定義新增。若匹配到特定規則後，進行告警或攔截等預定義的響應行為。

 

美創科技對於資料儲存安全階段的邏輯儲存安全過程域的實踐指南就展開至此，《資料安全能力成熟度模型》實踐指南系列持續更新中，歡迎持續關注。