《数据安全能力成熟度模型》过程域08:逻辑存储安全

2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。

本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第八篇文章,将介绍数据存储安全阶段的逻辑存储安全过程域(PA08)。

一、定义

逻辑存储安全,DSMM官方描述定义为基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制。
DSMM标准在充分定义级对逻辑存储安全要求如下:
(1)组织建设
●建议组织应设立统一负责数据逻辑存储安全管理的岗位和人员,负责明确整体的数据逻辑存储系统安全管理要求,并推进相关要求的实施;
●应明确各数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全管理和运维工作。
(2)制度流程
●应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求;
●内部的数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置;
●应明确数据逻辑存储隔离授权与操作要求,确保具备多用户数据存储安全隔离能力。
(3)技术工具
●应提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保证符合安全基线要求;
●应利用技术工具监测逻辑存储系统的数据使用规范性,确保数据存储符合组织的相关安全要求;
●应具备对个人信息、重要数据等敏感数据的加密存储能力。
(4)人员能力
负责该项工作的人员应熟悉数据存储系统架构,并能够分析出数据存储面临的安全风险,从而能够保证对各类存储系统的有效安全防护。
二、实践指南
(1)组织建设
组织机构在条件允许的情况下应该设立一个数据逻辑存储安全管理部门并招募相关的人员负责管理公司整体的数据逻辑,包括学习目前普遍的数据逻辑管理方法,结合公司的实际情况,制定数据逻辑安全存储管理制度,建立数据逻辑存储隔离与授权操作标准等,包含认证授权、账号管理、权限管理、日志管理、加密管理、版本管理、安全配置、数据隔离等要求点,搭建公司整体的数据逻辑存储系统,同时执行并维护数据逻辑存储系统和存储设备。
(2)人员能力
针对数据逻辑存储安全管理部门的相关人员,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行数据逻辑存储管理的时候主要依据《网络安全法》、《数据安全法》中的相关要求,对公司的数据逻辑存储做好管理、保护与合规,为公司制定有效的、整体上的数据逻辑存储管理安全制度和配置规则,明确相应的安全需求并推动相关要求有效的落地执行。除此之外,还需要相关人员熟悉市场上常见的数据存储系统架构,并且能够准确根据公司的真实环境与需求,构建公司整体的数据逻辑存储系统,并且能够分析出数据逻辑存储时可能会遇到的安全风险,保障数据逻辑存储系统的安全性与稳定性。
(3)落地执行性确认
针对数据逻辑存储安全管理人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
(4)制度流程
●逻辑存储管理安全规范
①系统账号管理
普通账号管理:
a) 申请人需使用同一而规范的申请表提出用户账号创建、修改、删除、禁用等申请;
b) 在受理申请时,逻辑存储管理部门根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号和权限。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号;
c) 当用户岗位和权限发生变化时,应主动申请所需逻辑存储系统过的账号和权限;
特权账号和超级用户账号管理:
a) 特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator、root等管理员账号。
b) 强烈建议只有经逻辑存储安全管理部门授权的用户才可以使用特权账号和超级用户账号,严禁共享账号;
c) 逻辑存储安全管理部门需监督特权账号和超级用户账号的使用情况并记录;
d) 尽量避免使用特权账号和超级用户账号的临时使用,确需使用时必须提交申请及审批流程;临时使用超级用户账号必须有逻辑存储安全管理部门在场监督,并记录其工作内容;超级用户账号临时使用完毕后,逻辑存储安全管理部门需立即更改账号密码;
账号权限审阅:
a) 逻辑存储管理部门需建立逻辑存储系统账号及权限的文档记录,记录用户账号和相关信息,并在账号变动时及时更新记录;
b) 用户离职后,逻辑存储管理部门需及时禁用或删除离职人员所使用的账号;如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
账号口令管理:
a) 用户账号口令的发放要严格保密,用户必须及时更改初始口令;
b) 账号口令最小长度为6位,并要求具有一定的复杂度,账号口令需定期更改,账号口令的更新周期不得超过90天;
c) 严禁共享个人用户账号口令;
d) 超级用户账号需通过保密形式由逻辑存储安全管理部门留存一份;
认证鉴权:
a) 逻辑存储系统通过管理平面认证和业务平面的认证,限制可访问逻辑存储系统的维护终端及应用服务器。当用户使用存储系统时,只有认证通过后才能对存储系统执行管理操作,并对存储系统上的业务数据进行读写操作。
②访问控制
a) 逻辑存储安全管理部门需制定逻辑存储系统的访问规则,所有使用的用户都必须按规定执行,以确保逻辑存储设备和业务数据的安全;
b) 对逻辑存储系统进行设置,保证在进入系统前必须执行登录操作,并且记录登录成功与失败的日志;
c) 逻辑存储系统的管理员必须确保用户的权限被限定在许可的范围内,同时能够访问到有权访问的信息;
d) 访问控制权限设置的基本规则是除明确允许执行的情况外,其余必须禁止;
e) 访问控制的规则和权限应结合实际情况,并记录在案;
③病毒和补丁管理
a) 逻辑存储安全管理部门应具备较强的病毒防范意识,定期进行病毒检测,发现病毒立即处理并通知上级领导部门或专职人员;
b) 采用国家许可的正版防病毒软件并及时更新软件版本;
c) 逻辑存储系统笔记及时升级或安装安全补丁,弥补系统漏洞;必须为逻辑存储服务器做好病毒及木马的实时监测,及时升级病毒库;
d) 未经逻辑安全管理部门许可,不得在逻辑存储系统上安装新软件,若确为需要安装,安装前应进行病毒理性检查;
e) e.经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用;
④日志管理
a) 定期检查逻辑存储系统上的安全日志进行检查,对错误、异常、警告等日志进行分析判断,并将判读结果进行有效解决处理并记录存档;
b) 逻辑存储系统上的日志要定期备份,以便帮助用户了解在与安全相关的事物中所涉及到的操作、流程以及事件的整体信息;
⑤存储检查
a) 逻辑存储安全管理部门应定期检查逻辑存储系统的存储情况进行检查并记录,如果发现存储容量超过70%以上,应及时删除不必要的数据腾出磁盘空间,必要时申报新的存储;
⑥故障管理
a) 逻辑存储系统的故障包括:软件故障、硬件故障、入侵与攻击,以及其他不可预料的未知故障等。
b) 当逻辑存储系统出现故障时,由逻辑存储安全管理部门督促和配合厂商工作人员尽快维修,并对故障现象及解决全过程进行详细记录;
c) 逻辑存储系统需外出维修时,逻辑存储安全管理部门必须删除系统中的敏感数据;
d) 对于不能尽快处理的故障,逻辑存储安全管理部门应立即通知上级领导,并保护好故障现场;
●逻辑存储安全配置规则
逻辑存储系统在上线前应遵循统一的配置要求进行有效的安全配置,同时采用配置扫描工具和漏洞扫描系统对数据存储系统进行定期扫描,尽可能地消除或降低逻辑存储系统的安全隐患。关于逻辑存储的安全配置规则如下,各逻辑存储安全管理部门可按照实际需求酌情遵从。
①账号管理与授权
a) 删除或锁定可能无用的账户;
b) 按照用户角色分配不同权限的账号;
c) 口令策略设置不符合复杂度要求;
d) 设定不能重复的口令;
e) 不实用系统默认用户名;
f) 口令生存期不得长于90天;
g) 设定连续认证失败次数;
h) 远端系统强制关机的权限设置;
i) 关闭系统的权限设置;
j) 取得文件或其他对象的所有权设置;
k) 将从本地登录设置为指定授权用户;
l) 将从网络访问设置为指定授权用户;
②日志配置要求
a) 审核策略设置为成功失败都要审核;
b) 设置日志查看器大小;
③IP协议安全要求
a) 开启TCP/IP筛选;
b) 启用防火墙;
c) 启用SYN攻击保护;
④服务配置要求
a) 启用NTP服务;
b) 关闭不必要的服务;
c) 关闭不必要的启动项;
d) 关闭自动播放功能;
e) 审核HOST文件的可疑条目;
f) 关闭默认共享;
g) 非EVERYONE的授权共享;
h) SNMP COMMUNITY STRING设置;
i) 删除可匿名访问共享;
j) 关闭远程注册表;
k) 对于远程登录的账号,设置不活动断开时间为1小时;
l) IIS服务补丁更新;
⑤其他配置要求
a) 安装防病毒软件;
b) 配置WSUS补丁更新服务器;
c) SERVER PACK补丁更新;
d) HOTFIX补丁更新;
e) 设置带密码的屏幕保护;
f) 交互式登录不显示上次登录用户名。
5) 技术工具简述
●技术工具简述
数据在存储过程中,除了常见的物理介质问题所导致的数据安全问题,还对存储容器和存储架构提出了更高的要求,一般来说,存储数据的容器主要是服务器,所以这就要求加强服务器本身的安全措施。从服务器看,一是需要加强常规的安全配置,这方面可以通过相关的安全基线或安全配置检测工具进行定期排查,检查项包括认证鉴权、访问控制等,另一方面需要加强存储系统的日志审计,采集存储系统的操作日志,识别访问账号和鉴别权限,检测数据使用规范性和合理性,实时监测以尽快发现相关问题。从而建立起针对数据逻辑存储、存储容器的有效安全控制。
●技术工具的方法和原理
①安全基线核查
所谓安全基线,是为了明确企业网络环境中相关设备与系统达到最基本的防护能力而制定的一系列安全配置基准。目前安全配置基线主要包含五大块内容:服务包与安全升级(包括服务包、安全更新相关的配置)、审计与账户策略(包括审核策略和账户策略相关的配置)、额外的安全保护(包括网络访问、数据执行保护、安全选项及若干注册表键值相关的配置)、安全设置(包括用户权限分配、文件许可、系统服务相关的配置)、管理模版(包括远程系统调用、Windows防火墙、网络连接相关的配置)。
②日志监控
日志监控是实现逻辑存储安全的重要一部分,通过对存储系统的操作日志进行监控,识别访问账号和鉴别权限,从而检测数据使用的规范性和合理性。日志监控系统的实现主要有以下几部分:日志采集中心、日志存储中心、日志审计中心
日志采集负责接收各个逻辑存储系统的日志记录,并且按照统一的日志格式进行整理解析,然后交给日志存储中心。
日志采集流程
日志采集的范围应尽可能的覆盖所有的网络设备、操作系统、数据库以及各个应用系统服务器的日志记录,主要包含网络日志采集和本地日志采集等。
日志存储中心需要把采集到的日志进行持久化的操作和对存储在持久化的存储介质中的数据进行相关的检索查询。常见的存储介质有磁盘、光盘、磁带等,主要的存储介质主要是磁盘。数据的存储系统包括文件系统的数据存储和数据库形式的数据存储,根据选型,日志存储中心主要实现三块功能:日志持久化、日志查询、日志备份。
日志审计中心是日志监控系统中非常重要的功能,通过该功能,及时的对系统进行审计,实现对越权访问控制等敏感操作进行预警,并将异常情况反馈给系统管理员或相关用户,日志审计中心主要应具备以下功能:审计规则库管理、审计报表自动生成功能、审计查询功能、时间周期报表功能、审计相关信息的配置。
●技术工具工作流程和目标
①安全基线核查
安全基线核查工具应实现以下目标:
a) 知识库模块:需要厂家自定义的知识库基础模版,同时可支持用户自定义相关知识库
b) 远程连接登录或本地Agent: 通过本地Agent或者远程连接登录的方式进入需要核查的机器
c) 任务管理模块:通过用户自由选择,选择需要检查的策略及检查时间
d) 知识库解析及核查脚本执行:解析知识库模块并调用相关核查脚本进行安全基线检查
e) 安全度量:根据核查脚本执行结果,对被检查机器进行打分评估及输出相关安全建议
f) 报告输出:输出本次安全基线核查结果,主要应包含此次安全核查的总体情况及存在问题的项目
②日志监控
日志监控系统应实现以下目标:
a) 日志采集:收集各类日志并传送给接收服务器;
b) 日志接收:日志接收服务器接收日志;
c) 日志解析:按照标准格式对各类别日志进行标准化,并按日志类型进行分类;
d) 日志存储:将日志解析后的日志保存至特定的存储系统中;
e) 审计规则库:定义敏感操作相关的行为,将日志存储系统中的日志与审计规则库进行匹配,审计规则库支持自定义添加。若匹配到特定规则后,进行告警或拦截等预定义的响应行为。