推荐机构:中国信息安全认证中心
认证类型:信息安全管理体系
认证人员:王崇斌
XX数据服务有限公司是一家专门为电力行业客户提供IDCIT运营外包服务、系统集成和业务应用系统开发的专业公司。为加强信息安全管理,保护客户信息及公司敏感信息,尤其是拥有自主产权的软件代码,XX数据服务有限公司依据GB/T22080-2008标准要求,建立覆盖全公司各业务部门的信息安全管理体系。
此次审核主要是信息安全体系的建立、实施,特别是信息安全控制措施的落实情况。
在审核运维部门和行政部门时,发现相关人员对时钟同步的概念理解不到位,导致对时钟同步控制措施没有很好落地。
受审核方的适应性声明(SOA)选择了A.10.10.6“时钟同步”这一控制项,控制措施引用文件为《通信与操作管理程序》。审核过程中首先查看《通信与操作管理程序》关于时钟同步相关内容的描述,发现文件明确提出“组织内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步 ”,但未明确与时钟源保持同步的具体方法或规程。遂访谈运维部相关人员关于进行时钟同步的原因及具体实施方法,访谈人员对“计算机或通信设备大多有能力运行实时时钟,但这些时钟可能随时间漂移,所以应有一个核查和校准时钟发生较大变化的规程。”这一原因理解都很到位。但对于如何同步,同步的范围不很清楚,于是审核组决定抽样信息处理设备,查看是否按要求进行了时钟同步的设置。
1、首先根据访谈得知公司有一台NTP服务器(IP:10.10.**.11),公司其他信息处理设施的时钟都与应NTP服务器同步。登陆NTP服务器,确认其工作状态正常。
2、抽查与时钟同步关联极大的集中日志服务器(IP:192.168.**.13),登录该服务器(LINUX操作系统),发现其系统显示时间与NTP服务
器时间相差15分钟左右,初步判断其时钟同步无效或未进行时钟同步;遂访谈现场人员,了解该服务器与NTP的同步方式,访谈人员说通过系统配置自动与NTP同步时钟;查看配置文件,并未发现与NTP同步的相关指令行,且现场不能提供人工核查校准时钟的记录。判定日志服务器未按要求与NTP同步。
3、抽查网络设备-研发交换机(IP:192.168.**.2),登录该交换机发现其系统显示时间与NTP服务器时间相差28小时左右,经历步骤2类似过程,判定研发交换机未按要求与NTP同步。
4、扩大抽样查门禁服务器(IP:192.168.*.11),登录该服务器(WINDOWS操作系统),发现其系统显示时间与NTP服务器时间相差10分钟左右,检查其未进行时钟自动同步的设置(查系统注册表或任务栏的时间设置框),且不能提供人工进行时钟检查校准记录,判定门禁服务器未按要求与NTP同步。
5、汇总上述发现,审核组与体系负责人及运维部相关人员沟通,受审核方一致认为针对A.10.10.6控制项的控制措施在实际操作中未落地,存在较大风险和安全隐患,审核组对此开具不符合项,受审核方无任何疑义。
GB/T22080-2008 附录A 控制项A.10.10.6“时钟同步”要求“组织内或统一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步”。原因是由于计算机或通信设备大多有能力运行实时时钟,但这些时钟可能随时间漂移,所以应有一个核查和校准时钟发生较大变化的规程。而正确设置计算机时钟对于确保审计记录的准确性非常重要,审计日志可用于调查或作为法律、纪律处理的证据,不准确的审计日志可能妨碍这种调查,并损害这种证据的可信性。所以信息处理设施保持时钟同步对一个组织来说至关重要。
标准对如何进行时钟同步并未统一要求,组织可以根据自身实际情况制定具体实施措施。通常一个组织如果拥有自己的NTP服务器,并要求所有信息处理设备同步到NTP服务器,可以用网络时间协议以自动同步方式保持所有服务器或网络设备与NTP主时钟同步;也可以人工定期检查校准的方式保持单独的设备(通常包括监控或门禁服务器)与 NTP主时钟同步。
通过访谈了解到受审核方出现该问题的原因:
1、尽管部署了NTP服务器,也要求所有信息处理设施与NTP同步,但由于各部门对设备上是否都运行的网络时间协议不清楚,且实现方法要求不明确,因此该措施没有落地实施。
2、相关人员对时钟同步的重要性没有引起足够重视,尤其对日志服务器的时钟同步没上升到足够高度。
3、控制措施实施后的有效性检查没有落实,导致上述控制措施长期没有落地。
基于以上事实和沟通,受审核组织领导对我们发现的问题欣然接受,并表示此次审核人员指出的问题工作中没有关注到,但却存在很大的安全隐患和风险,一定认真整改。现场审核后,受审核组织对提出的不符合项均进行原因分析并制定了纠正措施,并举一反三,排查所有信息处理设施,取得了良好的管理成效。
整改要求:1、现场明确所有信息处理设施均采取自动同步方式(包括门禁服务器)。
2、明确具体方法,例如对于WINDOWS操作系统设备在调整日期时间对话框中选择 “internet时间”,然后选择同步设置,如图一所示。
3、全面排查信息处理设施,并提供整改记录及检查记录。取得成效:
大大提高了全体员工对时钟同步重要性的认识,提高了人员的安全意识;同时对时钟同步如何在组织内的实施和检查有了很深刻的理解;通过整改保证了日志审计的准确性和有效性,规避了相关的风险。
图一
我们的体会:不符合指出的问题内容越专业,给组织改进的效果越明显。
ISO认证、咨询辅导或培训课程,请咨询在线客服或致电400-886-2040,我们将转接至相关主办单位跟进办理!
免责声明:
1、本站文章均转自网络或本站会员发布,本网站文章均注明出处,并不意味着赞同其观点或者已证实内容的真实性;
2、本站对上述所有内容,不提供明示或暗示的担保;
3、本站对上述文章内容、图片、作品等,除根据相关人对其提出确有证据的警告或异议作“移除”处理外,不承担其它任何责任。