作者简介:许青藤,中通信息安全合规工程师。在信息安全审计、信息安全合规、项目管理及数据安全方面进行潜心研究。低调又可爱的正面角色,亿万用户信息安全的守门员。欢迎同行交流,微信号:itobacco。
背景
伴随着淘宝、京东、唯品会、苏宁、拼多多等电子商务的迅猛发展,现代物流行业也从粗放经营迅速发展到信息化运营的阶段;而随着中通快递的信息化、智能化发展,信息系统的安全性越发重要,其必要性体现在各个方面:
系统本身具有一定的脆弱性,信息安全漏洞尤其是0day漏洞易被利用攻击;
公司员工信息安全意识较为薄弱,人员流动性大,非法人员潜入公司进行恶意操作(窃取用户信息等);
信息安全事故一旦发生具有一定的不可控性,其影响较恶劣、范围较广、排查较困难。
尤其是美国2002年颁布了SOX法案,规范了上市公司在计算机信息系统的安全性和可审计性;2009年7月《企业内部基本控制规范》以及2017年《网络安全法》等实施的法规文件中都有明确要求对信息系统进行审计与控制——监管的要求也使得信息安全审计在信息安全中有其独特的地位。
中通作为一家美股上市公司,在企业自身对信息安全重视和监管的严格要求下进行了一系列的信息安全审计实践:信息系统风险事前防范、事中控制、事后审计。本文将介绍以下几点内容:
介绍信息安全审计的概念及在日常工作中,信息安全审计工作该如何开展;
中通在实际实践中遇到的难点如何解决;
中通未来信安审计的发展方向;
中通信息安全总结及新的挑战。
信息安全审计的概念及工作方法
“信息安全审计是保障信息安全而诞生的审计形式,通过对信息系统风险进行事前防范、事中控制、事后审计,来达到保障系统无漏洞、信息无泄露的目标。信息安全审计的具体内容包括:
(1)信息安全审计的重点应是根据系统提供的运行统计日志,及时发现系统运行的异常,排除非法访问、数据库以及数据平台被入侵的潜在风险,以保障硬件、软件和数据存储的安全性。
(2)信息安全审计运用计算机辅助审计工具对数据进行测试和检查,为信息系统管理员定期提供有价值的系统使用日志,以帮助管理员尽可能早地发现系统漏洞。
(3)通过审计跟踪,建立适配的责任追究机制,对内网人员以及外部入侵者的恶意行为进行警告和追责。”
很多同事会本能地对审计工作有抵触情绪:认为审计就是找麻烦的;只需要领导签字就可以过关;官僚,影响工作效率耽误工作时间——这些刻板印象的形成既是误解,也是工作职责冲突所导致的矛盾。
审计的目的是什么?是帮助业务部门更快更简单地发现信息安全问题?是希望系统地发现风险,反馈给业务部门要求整改?是专注于某个信息安全专项研究,进行全方位的纠错执行?
笔者以为,审计的真正目的不仅是发现问题、解决问题,更是反馈、闭环并参与解决,从而使业务部门能更好地进行下一个循环中去。而这个过程是一个逐渐上升,越来越安全,越来越全面,越来越向上的一个过程——就是一个PDCA环。
图1 PDCA
在PDCA中发现问题,改进问题,引导业务安全健康发展到新阶段是信息安全审计的重要目标之一,下面笔者将结合实践介绍两个帮助高效管理信息安全审计的小工具:
项目启动会
在项目启动过程中有一个重要的步骤——项目启动会。
在每年集中审计季开始或者年初审计立项时,就可以展开项目启动会,主要意义:
进行审计目的说明,加强各方理解;
对审计方法进行阐释,防止在审计证据获取过程中有“为什么需要这个证据”的质疑;
邀请高层及项目干系人,得到干系人的支持,尤其是高层的支持;
告知项目重要节点,各个“里程碑”事件以加强时间意识。
综上,项目启动会既是一个加强审计干系人联系、沟通的方式,也是一个可以很好的“定规则”的契机。
中通每年都会有3次左右外审入场信息系统审计工作。一般来讲,外审的审计范围是根据内控部门的控制矩阵进行的,而在信息系统架构、流程变化不大的情况下,控制矩阵也是相对稳定的——外审的审计流程、所需要的审计资料其实每年变化都不大。这是一个很有利的条件,稳定的审计流程可以减少沟通成本,信息对称度也较为优良;在这种情况下,我司只需要在当期审计开始前做相应的准备即可。
笔者在信息系统审计项目启动会所做的准备:
由于我司的审计配合人员变动较小,审计方合作多年,资料获取较为稳定,项目启动会不需要在每年都进行,更多的是采取即时通讯、邮件通知、wiki公示的形式进行启动宣布。
项目启动会更加有仪式感,也是很好的沟通交流,提高同事审计认同的重要渠道,作为PDCA里D前最重要的一环,大家可以适度引入到重大审计场景下。
里程碑
除了项目启动会以外,刚才提到的“里程碑”也是很好的项目管理方式。里程碑及其他计划的设定可以参考以下几个方面:
审计是长期规划还是短期规划?是针对信息系统的全面、系统化审计,还是为了防范某特定风险进行的集中审计;
项目开始时间是怎样的?总共需要用时多久?需要多少人力资源?需要和哪些部门联动;
项目的关键节点,如:审计证据获取最后时间,审计初稿时间,问题反馈沟通时间,审计定稿时间,高层反馈时间,问题整改时间,问题复核时间等等;
是否需要设定“缓冲(buffer)”时间?尤其是审计证据获取时间问题,更需要考虑审计相关方近期公司是否有重大项目上线。如果在干系人有重大工作可能无法全面顾及审计时,是否可以找到相对了解的同事代为准备审计证据。
没有100%的审计时间,只有100%的审计设定时间。
在审计过程中,可能会遇到各种突发事件:需要访谈的对象休长假无法进行访谈;说好的审计证据时间但到期后数据可能还没有跑好等等。这时候就可以看到“缓冲”时间的重要性,“打好提前量儿”。当然,除了在规划阶段就设定好一定的缓冲时间以外,还需要审计人员灵活处理,在不影响审计范围的情况下,变更一些审计证据的获取或者审计的方式。
在中通,笔者一般会提前一周左右以邮件或其他比较正式的方式将“资料获取清单”给到审计相关方,并私聊以作提醒——为审计相关方提供充分且弹性的时间以准备资料。另外,因为证据准备有难有易,设定不同的证据获取时间——如平时一直有做留底只需要简单整理的资料需求时间较快;需要从数据库中拉取或者跑脚本的就给足时间——也是很灵活的buffer设置方式,这样准备较快的资料可以先行审核,也可以让复杂资料有较为充裕的准备时间。
程序员时间宝贵,是当代信息产业重要的劳动参与者,且工作脑力强度大,往往需要大块时间进行代码编程,但往往在审计过程中又是不可或缺的一大环,如何巧妙地利用Buffer为干系人提高工作效率是个很有趣的课题,这更多需要审计人员从人文关怀及个人沟通技巧中提炼出经验,是一项“技术活”。
中通信息安全审计中的难点
如果把PDCA环比作审计这艘帆船的船骨,那下面的内容就是这艘帆船的木板。帆船漏不漏水,有没有沉底的风险就都看船骨——细节决定一切。只注重大框架下的流程、规范固然可以规避一定的信息安全问题,但往往太过粗糙,我们仍需着眼于小处,看好细节。
首先,简单介绍下中通外审的模式,其基本定义及工作流程如下:
风险导向型审计:风险导向型审计是指注册会计师通过对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加审计程序将剩余风险降低到可接受水平。
图2 外审基于风险的审计流程
内部审计区别于上面较为完整的外部审计流程。这是由两方面原因造成的:
1. 内部审计信息相对完善,对自我控制及当前情况有较为清晰的了解,因此可以省略第一、第二步
2. 合规性、实质性测试往往不需要频繁进行,定期审计(季度、半年度甚至年度)即可,因此第三步也并不会时常接触到——缺少前三步的基础无法进行第四步
我司的信息安全内审最主要还是评估风险、风险预处理、处理风险形成闭环。
评估风险:应根据风险承受标准和组织相关的目标进行识别、量化风险并确定风险的优先顺序。除了定期进行风险评估外,也应该在发生重大变化时或新系统新产品启用时进行初识风险评估。中通每个月都会进行1次内部信息安全审计,内容包括机房管理、变更管理、帐号管理、堡垒机管理、应用日志检查、特定权限管理等等内容;
处理风险:应对风险的态度主要有“接受”“规避”“转移”“减轻”。在处理风险前,首先要确定管理层对于不同风险的态度问题。如,机房温度比正常范围低1度和比正常范围高10度所采取的处理风险的态度是完全不同的。在处理风险时,除了考虑风险态度以外,还需要考虑国内外法规要求、组织及目标、运营的要求和限制、成本效益等等。
当前一直困扰笔者的重大风险主要有两个:离职帐号风险及权限授权风险。
离职帐号风险处理
风险发生的原因:
1. 中通直营公司的办公地点、办公室星罗棋布,分布在我国大小各个地方
2. 中通企业性质又决定了其人员流动性大、人员文化素养一般
3. 人事系统和中天帐号分离甚至帐号与人员不是一一对应关系
这些都是离职人员帐号不能及时清理的主要原因。
最初实践:
1. 第一版方案:我们采用了线上离职的方案:员工离职时进行线上OA申请,且此申请必经过IT部门;在IT部门确认后,帐号自动停用。
- 优点:只要进行线上申请,就可以自动进行帐号禁用,减少人工操作失误的可能;
- 缺点:由于部分人员没有OA帐号需要人事代为申请,这样做会一定程度上降低了人事部门的工作效率。
经过这个方法,虽然降低了一定的离职人员的帐号清理问题,但是效果比较有限。
2. 第二版方案:我们采用高频率定期检查离职人员帐号清理问题。每月三至四次人工检查离职人员帐号清理情况,将未及时清理的帐号进行清理通知。
- 优点:这样降低了离职人员帐号未禁用情况被发现的时间,降低帐号违规操作的风险;
- 缺点:问题的核心仍然存在——离职状态和帐号状态没有同步。
最终解决方案:
目前,我们已经上线新的方案——人事系统和中天帐号直接对接,当离职人员的状态确认后自动进行帐号停用。这一方案可以从根本上解决离职人员帐号未禁用的问题,同时也大大节约了IT、人事同事的工作时间。
帐号授权风险
帐号授权有两大基本原则:“SOD”“权限最小化”。
SOD(Separation of Duty,职责分离)原则:职责分离是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。基本要求是,业务活动的核准、记录、经办及财物的保管应当尽可能做到相互独立,分别由专人负责,如果不能做到完全分离,也必须通过其他适当的控制程序来弥补;
权限最小化:最小化原则是指对所有用户都只设置确实需要的权限,决不增加可有可无的权限。这样做的目的是最大限度的减小单个用户帐号被盗用所带来的损失。这里的用户包括操作系统用户、数据库用户、以及各种应用系统的用户。
这两大基本原则基本可以解决80%的权限分配问题。职责分离原则被广泛地应用到各个流程及系统权限分配中。类似于普通采用的“运维-开发-测试”职责分离的情况,各个权限中有厉害关系的部分也应当分离出来,做到“两人四眼”,如图:
图3 SOD原则:权限互斥的例子
在物流公司,有很多地方需要进行编辑修改,比如油费计价、班车时间、中转费规则等等,这些数据是物流公司财务费用的基本标准,如果单单一个人既能修改价格也无需审核即可进行发布,无疑会给别有用心之人钻上空子。在信息系统设计上,就需要完整地注意这些方面,利用权限的设计给系统上一把锁。
中通未来信安审计发展方向
审计发展至今,已经经过多次革新,当前还出现了CAAT(计算机辅助审计技术)技术。中通的信息安全审计也在逐步进化。
当前中通的信息安全审计还存在人工严重、需要多部门联动等等可优化的问题,在未来,我们准备进行更加自动化的审计系统研发。
图4 自动化审计系统涵盖的内容设计
我们主要将基于3个场景做不同的审计设计:
员工行为审计
在员工日常工作或离职时,可能会发生一定威胁,比如网盘存储机密资料、代码拖拽、内部邮件外发等等违规行为。对各个方面的监控很有必要,我们准备从以下几点着手:
- GitLab审计:中通目前使用GitLab作为代码管理工具,我们会对员工的访问、拉取、同步记录进行审计;
- 邮箱审计:我们将审计员工的邮件网关记录,是否包含核心数据泄露的存在,是否将机密信息外发;
- 移动介质审计:私人移动介质禁止接入办公终端,只有公司授权的移动介质才能进行办公终端接入。
敏感信息周期审计
我们将对各个系统中存在的用户敏感信息进行梳理判定,无论是处于创建、储存、使用、共享、归档、销毁的哪个阶段,都会根据不同密级制定不同的保护政策,对用户的关键敏感信息(手机号、身份证号、地址等)进行严格脱敏并严格审计信息调用情况。
数据权限审计:对拥有能读取用户敏感信息的权限进行多层级授权,定期对此类权限进行全盘复核;
数据库审计:对数据库敏感信息进行自动识别、打标签,并对SQL查询、访问用户信息时长、操作行为进行审计;
应用系统信息读取审计:对用户在应用系统中的敏感信息读取进行严格的日志记录、审计记录,做好可溯源工作。
常规外审需求自动化审计
除了以上模块化的审计内容,由于中通每年需要接受外部审计师的资料、访谈需求,在未来,我们也将重点放在日常工作中资料的留存上——比如我们存在一个每日定时巡检机房的任务,需要填写巡检报告,这就完全可以通过自动化的系统进行登记、存档,而不需要进行纸质单填写并拍照。类似这样常规又稳定的需求都可以做成一个个小的模块,以降低审计需求对同事的依赖。
总结与展望
中通信息安全审计工作更多偏运营性质,这主要体现在前文中强调的:“审计的真正目的不仅是发现问题、解决问题,更是反馈、闭环并参与解决,从而使业务部门能更好地进行下一个任务中去”。
得益于较为充分的沟通与大多数同事的支持理解,信息安全审计工作自开始以来一直保持着优良的完成效率。我们的月审报告长期保持0逾期率,帮助各个部门发现、解决问题20余次,配合外审部门3年无任何重大事故出现。
但在未来,我们有更多期望:
自动化审计,智能高效。开发自动化审计平台可以减少人力资源的投入,降低初级工作所需要的工作,可以让审计人员更直观的确定问题;
安业联动,和谐双赢。在业务构建过程中如果信息安全能进行适当参与,为后面的审计准备做好提前准备,如系统设计时即进行日志格式确定以便后续直接推送到自动化审计平台,可以节省更多的后续协调成本;
扩大范围,精准有力。在当前的控制矩阵背景下,仍存在很多审计提高的空间。接下来,我们将对用户数据隐私安全做出更加全面的审计,帮助公司提高其数据安全能力。
团队介绍
中通信息安全团队是一个年轻、向上、踏实以及为梦想而奋斗的大家庭,我们的目标是构建一个基于海量数据的全自动信息安全智能感知响应系统及管理运营平台。我们致力于支撑中通快递集团生态链全线业务(快递、快运、电商、传媒、金融、航空等)的安全发展。我们的技术栈紧跟业界发展,前有 React、Vue,后到 Golang、Hadoop、Spark、TiDB、AI 等。全球日均件量最大快递公司的数据规模也将是一个非常大的挑战。我们关注的方向除了国内一线互联网公司外,也关注 Google、Facebook、Amazon 等在基础安全、数据安全等方面的实践。
声明:本文来自中通安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
