安全資訊

隨著(zhù)網(wǎng)絡(luò )威脅不斷復雜化和組織化，網(wǎng)絡(luò )攻防的“軍備競賽”持續升級，新冠疫情帶來(lái)新的網(wǎng)絡(luò )威脅，作為網(wǎng)絡(luò )安全的“弱勢群體”，安全意識、管理、人才、資金捉襟見(jiàn)肘的中小企業(yè)也正面臨越來(lái)越嚴峻的“安全鴻溝”問(wèn)題。

圍繞等保合規建設實(shí)現安全管理體系化，是當下中國中小企業(yè)全面提升安全防護能力的必要路徑和契機。對于中小企業(yè)來(lái)說(shuō)，最常見(jiàn)的誤區是：把等保測評當成“應試”和負擔。事實(shí)上等保不是考試，不是為了應付，而是通過(guò)等保發(fā)現問(wèn)題解決問(wèn)題，提高信息系統的安全防護能力。此外，等保只是網(wǎng)絡(luò )安全的手段而不是目的，是起點(diǎn)而不是終點(diǎn)。與安全能力“三同步”建設和投資策略匹配的“合規”，才是高效實(shí)現“持續安全”和“動(dòng)態(tài)安全”的基礎。

我們邀請到了行業(yè)資深從業(yè)者，就中小企業(yè)等保合規的“痛點(diǎn)”、“難點(diǎn)”和“要點(diǎn)”，給出了深入淺出，簡(jiǎn)明扼要的分析和建議，也是中小企業(yè)網(wǎng)絡(luò )安全建設不可錯過(guò)的“快速指南”：

一、痛點(diǎn)：自主開(kāi)展等保合規建設的意義

自2017年6月1日《中華人民共和國網(wǎng)絡(luò )安全法》發(fā)布以來(lái)，各政企單位等保測評如火如荼的開(kāi)展。那么為什么要開(kāi)展等級保護工作呢？主要有以下幾個(gè)原因:

第一、滿(mǎn)足國家相關(guān)法律法規和制度的要求。等級保護是我國網(wǎng)絡(luò )安全的基本政策，網(wǎng)絡(luò )安全法規定了我國實(shí)行網(wǎng)絡(luò )安全等級保護制度，網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。單位未開(kāi)展網(wǎng)絡(luò )安全等級保護的，發(fā)生網(wǎng)絡(luò )安全事故或受到監管機構檢查，單位處一萬(wàn)以上十萬(wàn)以下罰款，責任人處五千以上五萬(wàn)以下罰款。目前國內各地公安部門(mén)、網(wǎng)信部門(mén)依據《網(wǎng)絡(luò )安全法》對相關(guān)單位進(jìn)行處罰的案例已有多起。

第二、項目管理可控。自主開(kāi)展等級保護工作而非由監管機構檢查后責令整改，對單位來(lái)說(shuō)能掌握更多的主動(dòng)權，時(shí)間上也相對充裕許多，在項目管理的角度上來(lái)講，時(shí)間管理、質(zhì)量管理及成本管理更加可控。

第三、安全管理體系化，防護能力提升。通過(guò)等級保護工作，發(fā)現單位信息系統與國家安全標準之間存在的差距，對系統資產(chǎn)的梳理、系統存在的風(fēng)險點(diǎn)、制度流程的缺陷會(huì )有一個(gè)更加清晰的認識，查明目前系統存在的安全隱患和不足，通過(guò)安全整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風(fēng)險，在相關(guān)管理流程上會(huì )更體系化。

二、難點(diǎn)：等保測評的問(wèn)題及解決方案

中小企業(yè)在開(kāi)展等級保護測評，多多少少都會(huì )出現些問(wèn)題，筆者結合自身工作經(jīng)歷，對所遇的主要問(wèn)題進(jìn)行了一個(gè)歸納。

1、管理層缺乏意識。單位管理層在網(wǎng)絡(luò )安全方面缺乏意識，認為業(yè)務(wù)系統能正常運行，并未出現故障，網(wǎng)絡(luò )安全等級保護的建設沒(méi)有開(kāi)展的必要。又或者認為業(yè)務(wù)系統在內網(wǎng)運行，未開(kāi)放互聯(lián)網(wǎng)訪(fǎng)問(wèn)，可不開(kāi)展網(wǎng)絡(luò )安全等級保護建設。

2、資產(chǎn)管理混亂。管理人員對信息系統的資產(chǎn)管理缺乏完整的交接，沒(méi)有清晰全面的資產(chǎn)清單，造成資產(chǎn)管理的混亂。

3、缺乏專(zhuān)業(yè)人員。單位未配備專(zhuān)業(yè)的信息安全管理人員，單位內部可能相關(guān)IT管理人員就1至2個(gè)，負責網(wǎng)絡(luò )管理及桌面運維，說(shuō)起網(wǎng)絡(luò )安全等級保護，可能是一頭霧水，對網(wǎng)絡(luò )安全等級保護如何開(kāi)展沒(méi)有概念，無(wú)從入手。

4、系統整改難度大、整改周期長(cháng)。單位業(yè)務(wù)系統維保過(guò)期，主機層面漏洞、數據庫層面漏洞、應用層面漏洞及網(wǎng)絡(luò )層面的漏洞整改需要專(zhuān)業(yè)技術(shù)人員；業(yè)務(wù)系統存在的漏洞，整改會(huì )對生產(chǎn)業(yè)務(wù)造成影響，或是造成系統使用的不便，如密碼復雜度、定期改密、超時(shí)退出等，在整改推行上會(huì )有較大的阻力。

5、經(jīng)費缺乏。此問(wèn)題與管理層缺乏意識也有相關(guān)，整改過(guò)程中難免會(huì )需要采購一些安全設備，比如網(wǎng)絡(luò )必須具備入侵檢測手段，在經(jīng)費缺乏的條件下，無(wú)法進(jìn)行入侵檢測或入侵防御設備采購，無(wú)法滿(mǎn)足該測評項，會(huì )導致最終無(wú)法通過(guò)等保測評。

測評或者說(shuō)等保不是考試，不是為了應付，而是通過(guò)等保發(fā)現問(wèn)題解決問(wèn)題，提高信息系統的安全防護能力。每個(gè)單位推行等保工作都會(huì )有很多阻礙，但是我們的等級保護工作又不得不做，那怎樣合情合理地開(kāi)展呢？

1、針對管理層缺乏意識、經(jīng)費缺乏方面，信息化部門(mén)負責人必須肩負起信息安全管理的責任，在公司內部不管是管理層還是普通員工，都要做好信息安全意識宣貫，網(wǎng)信部、網(wǎng)監部門(mén)會(huì )有定期開(kāi)展信息安全檢查及通報，信息化負責人可收集此類(lèi)通報情況，開(kāi)展管理層信息安全意識宣貫，分析網(wǎng)絡(luò )安全等級保護建設的必要性及未開(kāi)展的嚴重性，落實(shí)項目經(jīng)費。

2、針對資產(chǎn)管理混亂方面，需加強制度與流程建設，開(kāi)展變更后及時(shí)更新資產(chǎn)清單，定期對資產(chǎn)進(jìn)行梳理。

3、針對專(zhuān)業(yè)人員缺乏與系統整改困難方面，單位可在開(kāi)展項目采購時(shí)，采購第三方安全服務(wù)，協(xié)助單位開(kāi)展等保測評與整改，整改過(guò)程中單位管理人員需關(guān)注變更的風(fēng)險，做好風(fēng)險評估與回退計劃，在某些測評點(diǎn)無(wú)法滿(mǎn)足要求的條件下，非一票否決項的，可采取縱深防御的思路，例如主機層面配置登錄失敗限制等，linux服務(wù)器在配置此項時(shí)容易導致ssh登錄出現故障，此項如網(wǎng)絡(luò )中具備運維審計系統，可通過(guò)運維審計系統實(shí)現主機登錄管理的登錄失敗限制，前提是網(wǎng)絡(luò )做好訪(fǎng)問(wèn)控制策略限制主機只允許運維審計系統進(jìn)行登錄管理，當然如果主機能配置該項策略是更為安全的，分別從網(wǎng)絡(luò )層及主機層對服務(wù)器的登錄失敗進(jìn)行限制。針對缺乏應用系統維保的，應用系統漏洞無(wú)法開(kāi)展整改的，可以請第三方開(kāi)發(fā)商進(jìn)行二次開(kāi)發(fā)，或者采用安全設備進(jìn)行防護，如缺乏日志審計功能，可采用數據庫審計設備，從網(wǎng)絡(luò )層對應用層風(fēng)險進(jìn)行降低，通過(guò)網(wǎng)絡(luò )中數據庫操作流量進(jìn)行抓取記錄，滿(mǎn)足審計要求。 

三、要點(diǎn)：項目的立項與采購

等保建設項目的立項，需要先梳理好單位信息系統資產(chǎn)，明確需要開(kāi)展等保測評的信息系統，管理人員對系統出現問(wèn)題后的嚴重程度、影響范圍要做到心里有數，才能確定信息系統需按照哪個(gè)級別的要求來(lái)開(kāi)展測評及整改。

在梳理完系統資產(chǎn)后，進(jìn)行風(fēng)險的評估，評估系統中仍缺乏哪些防護，需要采購的新設備及服務(wù)等，預留好相關(guān)的經(jīng)費與整改時(shí)間。如管理人員確實(shí)對網(wǎng)絡(luò )安全等級保護的開(kāi)展無(wú)相關(guān)概念，可以對測評機構或者信息安全服務(wù)商進(jìn)行咨詢(xún)及售前的調研，了解相關(guān)概念及流程，由安全服務(wù)商給出完善的解決方案。單位對安全服務(wù)商給出的解決方案中需要采購的產(chǎn)品，仍需開(kāi)展選型工作。產(chǎn)品的選型對管理人員具有極大的意義，可讓管理人員對產(chǎn)品有詳細的認知，避免安全產(chǎn)品完成采購后卻無(wú)法實(shí)現相關(guān)安全需求，且方便管理人員后續對設備的運維管理。

項目的立項極為重要，涉及系統等級的確定、經(jīng)費預算、整改時(shí)間的確定，對后續的系統整改有較大的影響。建議單位開(kāi)展前可多與安全服務(wù)商進(jìn)行溝通咨詢(xún)。

等保測評項目的采購，可直接向具有測評資質(zhì)的測評機構采購，此類(lèi)對單位技術(shù)人員的要求較高，需要單位具備專(zhuān)業(yè)安全管理人員且熟悉等保測評標準及流程。如單位缺乏專(zhuān)業(yè)安全管理人員，可向安全服務(wù)商進(jìn)行采購，由安全服務(wù)商提供全套的解決方案，此處仍建議安全產(chǎn)品的采購經(jīng)過(guò)充分的選型，可以由安全服務(wù)商推薦產(chǎn)品，但品牌在經(jīng)過(guò)充分選型后再進(jìn)行采購。

四、要點(diǎn)：等保測評流程

等保測評的流程，主要分四步，定級備案、差距測評、安全整改、驗收測評。

定級備案可自行準備好相關(guān)材料，主要為定級備案表、定級報告，如單位已做完資產(chǎn)梳理，對填報備案材料的工作會(huì )有較大的便利，如前期未做資產(chǎn)梳理，可以在填報材料的同時(shí)時(shí)開(kāi)展資產(chǎn)的梳理。此部分也可由安全服務(wù)商開(kāi)展現場(chǎng)調研后協(xié)助填報。

差距測評，主要由測評機構或安全服務(wù)商根據等保測評標準先進(jìn)行一次評估，給出系統問(wèn)題清單或差距評估報告；評估過(guò)程中涉及滲透測試、漏洞掃描的，單位必須先做好數據備份，建立相應的回退計劃，避免業(yè)務(wù)系統過(guò)于老舊在漏洞掃描時(shí)由于占用系統資源過(guò)多而出現故障，造成數據丟失。

安全整改，單位根據測評機構或安全服務(wù)商給出的系統問(wèn)題清單或差距評估報告，開(kāi)展安全整改。單位可以由安全服務(wù)商根據問(wèn)題清單編寫(xiě)整改方案，評估系統中缺失的防護手段并進(jìn)行補充，對于缺乏維保的主機或數據庫漏洞，在缺乏專(zhuān)業(yè)技術(shù)人員的條件下，可通過(guò)限制地址訪(fǎng)問(wèn)的方式，規避漏洞掃描的結果，這也是一種縱深防御的方法。

驗收測評，在開(kāi)展安全整改后，如合規率能達到70%，且不存在高風(fēng)險項，可由測評機構開(kāi)展驗收測評。在通過(guò)測評并拿到測評報告后，仍需將測評報告提交網(wǎng)監進(jìn)行備案，在取得報告備案回執后，整個(gè)等級保護測評項目完成。

各單位在開(kāi)展等保建設時(shí)，須正確的看待等保建設這一工作，以等保這一框架來(lái)完善公司的信息安全管理體系，而非消極的采取應付的方式來(lái)應付等保測評。

五、總結

完成等保測評后，并不意味著(zhù)你的網(wǎng)絡(luò )安全等級保護建設已經(jīng)完成，恰恰相反，這意味著(zhù)你的網(wǎng)絡(luò )安全等級保護建設才剛剛開(kāi)始。等保測評，只是給你提供了一個(gè)網(wǎng)絡(luò )安全保護的框架，讓你對你的系統的安全風(fēng)險有個(gè)更清晰的認識，給你一個(gè)從管理和技術(shù)不斷優(yōu)化完善的方向。安全建設是一個(gè)持續改進(jìn)的過(guò)程，網(wǎng)絡(luò )安全的破壞遠比建設要容易，對于攻擊者來(lái)說(shuō)，只需要找到系統的一個(gè)弱點(diǎn)，就可以達到入侵系統的目的，而對于企業(yè)人員來(lái)說(shuō)，必須找到系統的所有弱點(diǎn)，不能有遺漏，才能保證系統不會(huì )出現問(wèn)題。所以安全建設的縱深防御與持續改進(jìn)，是必不可少的。等保的“三同步”原則，正是由此而來(lái)，同步規劃，同步建設，同步使用，讓安全建設貫穿整個(gè)系統生命周期。