安全資訊

12 月 1 日，等級保護 2.0 標準正式實(shí)施，不過(guò)因為是在年底，大多數企業(yè)等級測評工作已經(jīng)完成，所以重頭戲應該在明年，這也是國家給企業(yè)充足的學(xué)習和整改時(shí)間。那么，在這個(gè)空檔期，來(lái)和大家聊聊等級保護 2.0 測評時(shí)有哪些需要關(guān)心的重點(diǎn)吧。

有關(guān)新老標準的變化，可以參考之前文章或三所的解讀，不再重復，這里說(shuō)說(shuō)比較接地氣的東西吧。

這里總結了一下，針對通用安全部分，三級和四級系統共有 45 條新增以及容易被忽略的要求向，如下表所示：

下面將會(huì )針對這些要求項逐條進(jìn)行說(shuō)明。

技術(shù)部分

安全物理環(huán)境

1.機房出入口應配置電子門(mén)禁系統，控制、鑒別和記錄進(jìn)入的人員

按照以前的標準，門(mén)禁系統可以不是電子系統，可以通過(guò)流程和人來(lái)管控，但在新的標準中要求必須是電子門(mén)禁系統，即使流程管控再?lài)栏褚彩遣环弦蟮摹?

2.重要區域應配置第二道電子門(mén)禁系統，控制、鑒別和記錄進(jìn)入的人員（四級）

針對四級系統的要求，通常機房中會(huì )按照區域進(jìn)行劃分，但是對于重要區域的二道門(mén)禁，一般機房目前并無(wú)配置，因此這點(diǎn)要注意，盡快安裝配備相應設施。

3.應采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等

本項其實(shí)不算大事，但是也是容易忽略的問(wèn)題。往往進(jìn)了機房習慣性的上機就開(kāi)始操作，不做除電。這里可以在每排機柜上配備一個(gè)防靜電手環(huán)，在機房制度中新增一條關(guān)于靜電消除的操作規范要求，基本可以符合。

4.應設置冗余或并行的電力電纜線(xiàn)路為計算機系統供電

要求三級及以上系統所在的機房要具備雙路并行電力線(xiàn)路，來(lái)自不同供電站的電纜，目前大多數自建機房應該是不符合要求，大型 IDC 和云機房通常都有相關(guān)設計。不過(guò)介于整改比較困難，應該不會(huì )作為否決項，只是扣分而已。

5.應提供應急供電設施（四級）

針對四級系統的電力要求，基于三級要求，還要額外配備發(fā)電機，以應對市政停電情況。標準中并未提到雙發(fā)電機的要求，但是介于冗余性考慮，有條件的可以配備。如果是大型數據中心，要配置多少臺就要看實(shí)際規模了，一般是在 10-20 臺的機組，采用 2N 或 N+1 的配置模式。這不是我們需要關(guān)心的，所以看看就好。

安全通信網(wǎng)絡(luò )

1.應在通信前基于密碼技術(shù)對通信的雙方進(jìn)行驗證或認證（四級）

通常默認情況，我們 SSL/TLS 的認證是單向的，即只對服務(wù)端認證，那么對于四級系統，新標準要求必須開(kāi)啟雙向認證，即同時(shí)對客戶(hù)端也要進(jìn)行認證。這里額外說(shuō)明一下，根據公安三所專(zhuān)家的解讀，通信加密所采用的算法應該基于國密算法（SM1、SM2、SM4、SM9 等），而非國際通用加密算法，不過(guò)介于目前大多企業(yè)采用的設備不支持國密算法，另一方面國密算法的推廣和應用也在逐步完善，因此個(gè)人認為此項也非否決項，只是扣分項，不過(guò)未來(lái)可能會(huì )變?yōu)閺娭埔?。（有關(guān)雙向認證的細節，可參考本人之前發(fā)表的等保 2.0 個(gè)人解讀安全通信網(wǎng)絡(luò )部分）

安全區域邊界

1.應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制（入侵檢測）

2.應能夠對內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制（行為管理）

此處兩條是東西向的訪(fǎng)問(wèn)檢測與限制，目前通過(guò) IDPS 以及行為管理設備基本可以滿(mǎn)足相應要求，測評時(shí)可能會(huì )查看策略啟用效果以及檢測和阻斷記錄，需要注意。

3.應限制無(wú)線(xiàn)網(wǎng)絡(luò )的使用，保證無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界設備接入內部網(wǎng)絡(luò )

首次在標準中提到有關(guān)無(wú)線(xiàn)網(wǎng)絡(luò )安全的要求，這里要求比較基礎，只要各無(wú)線(xiàn) AP 或無(wú)線(xiàn)路由均通過(guò) AD 進(jìn)行管理和控制即符合。

4.應能夠在發(fā)現非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為或內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為時(shí)，對其進(jìn)行有效阻斷

這部分在等保 1.0 中也有過(guò)相關(guān)要求描述，但沒(méi)有如此具體，該項要求完全從技術(shù)上解決目前基本不太可能（當然，如果企業(yè)具備將附近基站的數據和語(yǔ)音分離的權限，那么這想倒是可以從技術(shù)上來(lái)搞定），通常是管理為主，技術(shù)為輔的方式來(lái)控制。畢竟個(gè)人熱點(diǎn)和無(wú)線(xiàn)網(wǎng)卡等應用，很難及時(shí)發(fā)現。建議重點(diǎn)在制度上入手，形成意識、管理、流程上的多方面管控，以此達到要求。

5.應刪除多余或無(wú)效的訪(fǎng)問(wèn)控制規則，優(yōu)化訪(fǎng)問(wèn)控制列表，并保證訪(fǎng)問(wèn)控制規則數量最小化

新要求，重點(diǎn)是要定期優(yōu)化和清理 ACL 以及策略路由等配置，測評時(shí)會(huì )查看當前安全策略配置以及規則優(yōu)化和清理的記錄。

6.應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為

這里是對策略進(jìn)行雙向（in/out）應用，強調東西雙向控制。

7.應采取技術(shù)措施對網(wǎng)絡(luò )行為進(jìn)行分析，實(shí)現對網(wǎng)絡(luò )攻擊特別是新型網(wǎng)絡(luò )攻擊行為的分析

強調對于 APT 和 0day 一類(lèi)的攻擊檢測和防護能力，介于目前態(tài)勢感知和威脅平臺的水平，實(shí)現起來(lái)很難，而且不是每家都有這么強實(shí)力的安全團隊。所以，如果你又某某家的態(tài)勢感知產(chǎn)品，通常測評中心不會(huì )為難你。對于新型攻擊，可以從人的角度（應急團隊、安全團隊）來(lái)強化管控和預警能力。

8.應能對遠程訪(fǎng)問(wèn)的用戶(hù)行為、訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨進(jìn)行行為審計和數據分析

即對外接口的用戶(hù)行為以及內部訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)進(jìn)行單獨審計，如果在同一套審計平臺中可以建立不同的審計任務(wù)，那么是可以滿(mǎn)足要求的。如果不行，可能就要搭建兩套審計平臺來(lái)實(shí)現。不過(guò)也不是必須要達到的，屬于扣分項。

安全計算環(huán)境

1.應能發(fā)現可能存在的已知漏洞，并在經(jīng)過(guò)充分測試評估后，及時(shí)修補漏洞

定期漏洞掃描工作，這次不是只掃描就 OK 了，對于發(fā)現的漏洞要進(jìn)行驗證，確認漏洞的真實(shí)性，然后對于真實(shí)漏洞進(jìn)行整改。很刺激對吧，要驗證了哦。

2.應能夠檢測到對重要節點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴重入侵事件時(shí)提供報警

這明顯說(shuō)的就是 IDPS 嘛，同行 NGFW 也具備同樣能力。什么？你們沒(méi)有防火墻，抱歉，我只能幫你到這里了，自求多福吧。這條可以直接否了你的本次測評。

3.應提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò )將重要數據實(shí)時(shí)備份至備份場(chǎng)地

在老標準的基礎上，等保 2.0 標準明確提出實(shí)時(shí)備份至異地，不過(guò)好在是對于重要數據，這點(diǎn)各家根據實(shí)際情況來(lái)權衡吧。沒(méi)有的話(huà)肯定是 GG 了，有的話(huà)看情況，不能做到實(shí)時(shí)，但是有異地備份，這算是基本符合，不會(huì )被判定否決，可以后期列入整改計劃，逐漸完善。

中小企業(yè)或者云上系統，可以把這鍋甩給云供應商；大型企業(yè)和自建機房/私有云的公司，建議盡可能完善，不求有功，但求無(wú)過(guò)。其實(shí)基本上等同于雙活，只是沒(méi)提切換延時(shí)的要求。

4.應僅采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息

5.應禁止未授權訪(fǎng)問(wèn)和非法使用用戶(hù)個(gè)人信息

這兩條都是關(guān)于個(gè)人信息保護的要求，基本就如字面意思。稍微解釋一下，一方面是采集個(gè)人信息時(shí)，只能采集所需的必要信息，對于這類(lèi)信息你可以收集，但是若未授權不得隨意訪(fǎng)問(wèn)和修改信息，也就是說(shuō)，信息可以放在你們這，但是我不同意，你就不能看，除非協(xié)助公安和相關(guān)部門(mén)處理特殊事宜時(shí)的強制配合。

另一方面，信息收集過(guò)來(lái)后，不可以隨便向其收集發(fā)送各種推銷(xiāo)、廣告以及惡意鏈接，這些操作都不可以。也就是說(shuō)，對于一些常規流氓操作進(jìn)行了約束和控制，雖然不知道效果如何，但起碼提出了相應要求。這方面，對于那些需要采集個(gè)人信息的系統，是比較難搞的一項要求?？考夹g(shù)展示基本不大可能，所以就要盡可能的解釋?zhuān)瑥墓芾碇贫?、操作規范、員工培訓、懲罰制度、保密協(xié)議、流程管控方面來(lái)說(shuō)明，你們做得如何好，基本這樣就差不多了。但是，未來(lái)幾年，數據安全是趨勢，信息安全和隱私保護都在立法階段，后續的監控也會(huì )越來(lái)越嚴，因此建議還是要從實(shí)際出發(fā)，不要只考慮眼前的測評，多想想以后怎么跟監管解釋吧。

安全管理中心

1.應對分散在各個(gè)設備上的審計數據進(jìn)行收集匯總和集中分析，并保證審計記錄的留存時(shí)間符合法律法規要求

2.應能對網(wǎng)絡(luò )中發(fā)生的各類(lèi)安全事件進(jìn)行識別、報警和分析

這兩條要求是對日志留存的要求，等保 2.0 標準不再對日志留存時(shí)間進(jìn)行要求了，但是對于全流量以及安全事件日志必須留存。那么是不是可以不用再存放 6 個(gè)月了呢？

請看這里：

網(wǎng)絡(luò )安全法第二十一條：

（三）采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月。

大家懂了吧，所以以前怎么干的，還怎么干。

管理部分

安全管理制度

1.應制定網(wǎng)絡(luò )安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等

2.應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系

3.應定期對安全管理制度的合理性和適用性進(jìn)行論證和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂

這三條要求中，等保 2.0 標準均有所變化，尤其最后一條，要對合理性和適用性進(jìn)行論證，那些模板的東西已經(jīng)沒(méi)用了。

那么怎么來(lái)改呢？方針和策略一般公司都會(huì )有，如果沒(méi)有的話(huà)，盡快制定 2020 的 IT 和安全規劃，目標和策略其實(shí)可以很簡(jiǎn)單，好比阿里的三句話(huà)策略。但是要貼合實(shí)際，不要胡扯。

那么策略、制度、規程、表單（ISO 27001 的四級文檔）就會(huì )配套進(jìn)行修訂，形成一套體系，如果已通過(guò) ISO 27001 認證的，可以以此來(lái)證明自己已有安全管理制度體系。沒(méi)有的，要盡快建立一套貼合業(yè)務(wù)和 IT 現狀的制度，可以簡(jiǎn)單點(diǎn)，只要能落地就好。

最后，關(guān)于合理性和適用性，一般是對于制度和流程的落地試點(diǎn)情況。體系比較完善的企業(yè)，在制度發(fā)布或修訂時(shí)會(huì )進(jìn)行內部評審，通過(guò)后才可正式發(fā)布。沒(méi)有相關(guān)流程的企業(yè)，可以將此作為缺失的環(huán)節，在后續制度體系中增加或完善相應管理。

安全管理機構

1.應成立指導和管理網(wǎng)絡(luò )安全工作的委員會(huì )或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權

這點(diǎn)很多公司都沒(méi)做好，主要體現在兩個(gè)方面。一是，領(lǐng)導小組架構和職責很明確，但是崗位責任人是職位（如總經(jīng)理、安全部總監）而不是人名，這樣就無(wú)法做到責任落實(shí)，不符合領(lǐng)導小組的初衷；二是，組長(cháng)的任命是空口說(shuō)的，沒(méi)有正式的任命函或董事會(huì )級別的正式通知。這兩點(diǎn)如果都能做好，基本就沒(méi)太大問(wèn)題了。

2.應針對系統變更、重要操作、物理訪(fǎng)問(wèn)和系統接入等事項執行審批過(guò)程，對重要活動(dòng)建立逐級審批制度

老生常談的事情，凡是和安全相關(guān)的過(guò)程記錄都要留存（紙質(zhì)或電子記錄均可），這種東西一般不太好憑空去造，所以還是建議踏踏實(shí)實(shí)的去建流程，落實(shí)制度。流程可以不夠全面，但是一定要能落地，能運行起來(lái)。

3.應定期進(jìn)行全面安全檢查，檢查內容包括現有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等

等保 2.0 標準強制要求，定期進(jìn)行全面安全檢查，不只是技術(shù)層面，也包括制度層面。通管局、工信部的安全檢查是監管，不屬于要求中提到的檢查，要各企業(yè)自行組織開(kāi)展，并形成報告、對發(fā)現的問(wèn)題整改、復測整改情況等。今年沒(méi)做，明年要至少進(jìn)行一次檢查工作，類(lèi)似銀保監的安全自查評估。

4.應制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進(jìn)行通報

結合前一項要求，除了自評估安全檢查，還要制定檢查表，檢查過(guò)程的現狀調研和檢查結果記錄表單也要匯總保留。有點(diǎn)類(lèi)似于風(fēng)險評估，包括資產(chǎn)、威脅、脆弱性。這里提一句，某些廠(chǎng)商坑爹的評估也稱(chēng)為風(fēng)險評估，希望各位多去看看 GB/T 20984，好好了解下什么叫風(fēng)評，不要隨便測測出個(gè)報告就叫風(fēng)評。

安全管理人員

1.應定期對不同崗位的人員進(jìn)行技能考核

首次提出針對技能進(jìn)行考核，也就是針對不同崗位（運維、安全、開(kāi)發(fā)、測試等），進(jìn)行相關(guān)技能培訓與考核?？梢圆挥冕槍γ恳粋€(gè) IT 相關(guān)崗位，但是要有一定的覆蓋度，比如今年我們主要側重運維和安全，明年主要側重開(kāi)發(fā)和測試，同時(shí)在制度和培訓考核計劃中也要有體現。

安全建設管理

1.應組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對定級結果的合理性和正確性進(jìn)行論證和審定

2.應組織相關(guān)部門(mén)和有關(guān)安全專(zhuān)家對安全整體規劃及其配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過(guò)批準后才能正式實(shí)施

等保 2.0 標準開(kāi)始，不再提倡自主定級，改為由專(zhuān)家進(jìn)行定級。一般就是由測評機構或者知名安全廠(chǎng)商來(lái)進(jìn)行定級，出具定級報告，其中包括評審和論證環(huán)節?？梢允菚?huì )議記錄，也可以是最終的評審報告或定級報告。

3.應根據保護對象的安全保護等級及與其他級別保護對象的關(guān)系進(jìn)行安全整體規劃和安全方案設計，設計內容應包含密碼技術(shù)相關(guān)內容，并形成配套文件

本項要求其實(shí)是對三同步的要求，即同步規劃、同步建設、同步使用。本項不再多說(shuō)，已經(jīng)很熟悉了。

（1）同步規劃

在業(yè)務(wù)規劃的階段，應當同步納入安全要求，引入安全措施。如同步建立信息資產(chǎn)管理情況檢查機制，指定專(zhuān)人負責信息資產(chǎn)管理，對信息資產(chǎn)進(jìn)行統一編號、統一標識、 統一發(fā)放，并及時(shí)記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。

（2）同步建設

在項目建設階段，通過(guò)合同條款落實(shí)設備供應商、廠(chǎng)商和其他合作方的責任，保證相關(guān)安全技術(shù)措施的順利準時(shí)建設。保證項目上線(xiàn)時(shí)，安全措施的驗收和工程驗收同步，外包開(kāi)發(fā)的系統需要進(jìn)行上線(xiàn)前安全檢測，確保只有符合安全要求的系統才能上線(xiàn)。

（3）同步使用

安全驗收后的日常運營(yíng)維護中，應當保持系統處于持續安全防護水平，且運營(yíng)者每年對關(guān)鍵信息基礎設施需要進(jìn)行一次安全檢測評估。

4.應制定代碼編寫(xiě)安全規范，要求開(kāi)發(fā)人員參照規范編寫(xiě)代碼

5.應在軟件開(kāi)發(fā)過(guò)程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測

等保 2.0 標準首次提出安全開(kāi)發(fā)流程的要求，可以理解為 SDL 體系。這里明確指出在編碼階段和測試階段的安全性要求，均為上線(xiàn)前安全管控。以上兩條是針對自研軟件。

如果沒(méi)有建立 SDL 流程的企業(yè)，可以先解決安全編碼部分的問(wèn)題，編碼規范應該都會(huì )有的。上線(xiàn)前的安全測試，這塊內容目前大多都會(huì )去做，如果沒(méi)做，那我敬你是個(gè)好漢。

6.應在軟件交付前檢測其中可能存在的惡意代碼

7.應保證開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)和隱蔽信道

這兩條是對外包軟件安全的要求，也是首次提出要外包開(kāi)發(fā)商提供上線(xiàn)前安全測試報告、代碼審計報告以及源代碼。這下甲方開(kāi)心壞了吧，可以更理直氣壯的懟乙方了，雖然以前一直都是。但是介于剛剛實(shí)施這么靠譜的要求，很多乙方是不接受的，一開(kāi)始可以雙方一起來(lái)進(jìn)行安全測試；代碼審計一般不會(huì )要求嚴格意義的代碼審計報告，可以用掃描加人工驗證的方式來(lái)進(jìn)行；而對于源代碼，很對乙方是說(shuō)死不給的，可以先提交一部分源碼。但這些都是應對本次測評的準備，從長(cháng)遠來(lái)看，以后對于外包開(kāi)發(fā)要求會(huì )規范化，標準化，強制化。SDL 體系建立會(huì )成為趨勢。

8.應通過(guò)第三方工程監理控制項目的實(shí)施過(guò)程

那么，除了以上這些，乙方覺(jué)得沒(méi)事了么，呵呵。

明年開(kāi)始，外包項目需要聘請第三方監理，對整個(gè)項目過(guò)程質(zhì)量進(jìn)行把控和監督，并實(shí)時(shí)匯報和協(xié)調。也就是說(shuō)，除了甲方懟你，以后還有一個(gè)第三方監理也要懟你，爽不爽？

9.應進(jìn)行上線(xiàn)前的安全性測試，并出具安全測試報告, 安全測試報告應包含密碼應用安全性測試相關(guān)內容

乙方的兄弟，你先別吐血，還沒(méi)說(shuō)完呢，這回不是你自己，甲方也要一樣受苦，是不是好受一些了？這條要求也是首次提出，要求系統上線(xiàn)前的安全測試中應包含密碼應用安全性測試。

那么，這個(gè)密碼應用安全性測試又是個(gè)什么玩意呢。這是我在查閱了相關(guān)制度和材料得出的結果：

商用密碼應用安全性評估

指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統密碼應用的合規性、正確性、有效性進(jìn)行評估。按照商用密碼應用安全性評估管理的要求，在系統規劃階段，可組織專(zhuān)家或委托測評機構進(jìn)行評估；在系統建設完成后以及運行階段，由測評機構進(jìn)行評估。

哪些系統要做密評

《密碼法》（《密碼法草案》已于 2019 年 6 月 10 日經(jīng)國務(wù)院常務(wù)會(huì )議討論通過(guò)）要求「國家對關(guān)鍵信息基礎設施的密碼應用安全性進(jìn)行分類(lèi)分級評估，按照國家安全審查的要求對影響或者可能影響國家安全的密碼產(chǎn)品、密碼相關(guān)服務(wù)和密碼保障系統進(jìn)行安全審查」?！缎畔踩燃壉Ｗo商用密碼管理辦法》規定：「國家密碼管理局和省、自治區、直轄市密碼管理機構對第三級及以上信息系統使用商用密碼的情況進(jìn)行檢查」。在國家密碼管理局印發(fā)的《信息安全等級保護商用密碼管理辦法實(shí)施意見(jiàn)》中規定「第三級及以上信息系統的商用密碼應用系統，應當通過(guò)國家密碼管理部門(mén)指定測評機構的密碼測評后方可投入運行」。這些制度明確了信息安全等級保護第三級及以上信息系統的商用密碼應用和測評要求。此外，在新版《網(wǎng)絡(luò )安全等級保護條例》（征求意見(jiàn)稿）明確要求在規劃、建設、運行階段開(kāi)展密碼應用安全性評估。

密評關(guān)注哪些方面

為規范商用密碼應用安全性評估工作，國家密碼管理局制定了《商用密碼應用安全性評估管理辦法》、《商用密碼應用安全性測評機構管理辦法》等有關(guān)規定，對測評機構、網(wǎng)絡(luò )運營(yíng)者、管理部分三類(lèi)對象提出了要求，對評估程序、評估方法、監督管理等進(jìn)行了明確。同時(shí)，組織編制了《信息系統密碼應用基本要求》《信息系統密碼測評要求》等標準，及《商用密碼應用安全性評估測評過(guò)程指南（試行）》《商用密碼應用安全性評估測評作業(yè)指導書(shū)（試行）》等指導性文件，指導測評機構規范有序開(kāi)展評估工作。其中，《信息系統密碼應用基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全、密鑰管理以及安全管理六個(gè)方面提出密碼應用安全性評估指標。

密評工作當前的進(jìn)展

現階段，商用密碼應用安全性評估試點(diǎn)工作正在有序開(kāi)展。經(jīng)過(guò)層層評審，截止 2018 年 6 月第一批共有 10 家測評機構符合測評機構能力要求，具備獨立承擔并規范開(kāi)展試點(diǎn)測評任務(wù)的能力。中科院 DCS 中心作為首批通過(guò)的優(yōu)秀測評機構，正在積極參與密碼應用安全性評估的各項試點(diǎn)工作，為我國密碼事業(yè)的發(fā)展貢獻自己的力量。

個(gè)人感覺(jué)，這項要求類(lèi)似可信計算，在標準實(shí)施初期不做強制要求，以鼓勵方式建議企業(yè)開(kāi)展，但在后期隨著(zhù)技術(shù)和要求的成熟，會(huì )逐漸成為強制要求項。所以，明年各位可以不用太擔心，先了解一下就好。

安全運維管理

1.應編制并保存與保護對象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門(mén)、重要程度和所處位置等內容

2.應根據資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標識管理，根據資產(chǎn)的價(jià)值選擇相應的管理措施

對于資產(chǎn)的管理要求，當前大多數企業(yè)擁有自己的管控平臺，對于 IT 資產(chǎn)進(jìn)行統一管理。主要就是資產(chǎn)梳理和分級分類(lèi)。如果沒(méi)有這類(lèi)平臺，可以用堡壘機臨時(shí)替代一下，起碼這里不會(huì )被扣成零分。

3.應對信息分類(lèi)與標識方法做出規定，并對信息的使用、傳輸和存儲等進(jìn)行規范化管理

這里是對數據治理提出要求，在管理制度中明確對于信息資產(chǎn)的分類(lèi)和標識依據和規范。目前大多企業(yè)屬于空白領(lǐng)域，明年有關(guān)數據安全和數據治理會(huì )很熱門(mén)，因為明年 3 月 DSMM 會(huì )正式發(fā)布。本項要求其實(shí)不用很在意，明年測評時(shí)除了一些大廠(chǎng)，大家基本同一起跑線(xiàn)，你沒(méi)做我也沒(méi)做，沒(méi)關(guān)系，列入后續的工作計劃中。

4.應采取必要的措施識別安全漏洞和隱患，對發(fā)現的安全漏洞和隱患及時(shí)進(jìn)行修補或評估可能的影響后進(jìn)行修補

這里的要求同前邊安全管理中心的全面安全檢查可以結合到一起來(lái)看，因為最終目的相一致，過(guò)程也相似。

5.應嚴格控制遠程運維的開(kāi)通，經(jīng)過(guò)審批后才可開(kāi)通遠程運維接口或通道，操作過(guò)程中應保留不可更改的審計日志，操作結束后立即關(guān)閉接口或通道

等保 2.0 標準首次提出對于遠程運維的要求，原則上不開(kāi)通遠程運維接口。注意，這里是說(shuō)遠程運維，而不是遠程用戶(hù)接入。通常運維人員一般都應該在機房或辦公環(huán)境內操作，除非特殊情況，會(huì )進(jìn)行遠程運維操作，按照要求以后此類(lèi)操作要事先審批，通過(guò)后開(kāi)通臨時(shí)接口，操作完成后關(guān)閉接口。

如果沒(méi)有遠程運維需求的企業(yè)，這點(diǎn)不用關(guān)心。有些企業(yè)受業(yè)務(wù)所限，必須遠程操作，那么就要按照要求把相關(guān)制度規定，流程，審批記錄，操作記錄，接口關(guān)閉記錄都留存好，以備現場(chǎng)檢查。

6.對造成系統中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序（信息泄露應急預案）

7.應定期對系統相關(guān)的人員進(jìn)行應急預案培訓，并進(jìn)行應急預案的演練（出演練外，要組織應急預案的專(zhuān)項培訓）

這兩條放在一起來(lái)說(shuō)，都是新要求。先說(shuō)第一條關(guān)于信息泄露重大安全事件，要建立獨立處理和報告程序，不能同 BCP 程序一樣。個(gè)人觀(guān)點(diǎn)，可能除了應急處理外，大公司（阿里、騰訊）還要考慮對外公告和說(shuō)明情況的流程。這部分，因為沒(méi)有先例，所以不知道什么樣的流程算標準方案。建議各家可以交流討論下，也可以借鑒一下國外的預案。

第二條比較好理解，也是新要求，說(shuō)的是要針對應急預案每年進(jìn)行培訓，不是演練，是培訓哦！測評時(shí)會(huì )查看培訓的 PPT，以及培訓簽到記錄（可以是電子記錄）和培訓計劃。

最后

OK，以上是我認為等級保護 2.0 中新增的一些重點(diǎn)以及測評時(shí)要注意的內容，希望對各位能有所幫助。最后，祝賀等級保護 2.0 制度順利實(shí)施，也預祝各位能早日通過(guò)新標準下的測評。文章只代表個(gè)人觀(guān)點(diǎn)，僅供參考。