前言
隨著更多企業宣佈復工,相信很多小夥伴已經回到了自己的工作崗位上,開始了新一年的奮鬥。去年12月1日,等級保護 2.0 標準正式實施,不過因為是在年底,大多數企業等級測評工作已經完成,所以在今年才會用到新的標準,那麼今天的內容就和大家聊聊等級保護 2.0 測評時有哪些需要關心的重點項。
這裡筆者總結了一下,針對通用安全部分,三級和四級系統共有 45 條新增以及容易被忽略的要求向,如下表所示:
下面將會針對這些要求項逐條進行說明。
技術部分
安全物理環境
1.機房出入口應配置電子門禁系統,控制、鑑別和記錄進入的人員。
按照以前的標準,門禁系統可以不是電子系統,可以通過流程和人來管控,但在新的標準中要求必須是電子門禁系統,即使流程管控再嚴格也是不符合要求的。
2.重要區域應配置第二道電子門禁系統,控制、鑑別和記錄進入的人員(四級)。
針對四級系統的要求,通常機房中會按照區域進行劃分,但是對於重要區域的二道門禁,一般機房目前並無配置,因此這點要注意,儘快安裝配備相應設施。
3.應採取措施防止靜電的產生,例如採用靜電消除器、佩戴防靜電手環等。
本項其實不算大事,但是也是容易忽略的問題。往往進了機房習慣性的上機就開始操作,不做除電。這裡可以在每排機櫃上配備一個防靜電手環,在機房制度中新增一條關於靜電消除的操作規範要求,基本可以符合。
4.應設置冗餘或並行的電力電纜線路為計算機系統供電。
要求三級及以上系統所在的機房要具備雙路並行電力線路,來自不同供電站的電纜,目前大多數自建機房應該是不符合要求,大型 IDC 和雲機房通常都有相關設計。不過介於整改比較困難,應該不會作為否決項,只是扣分而已。
5.應提供應急供電設施(四級)。
針對四級系統的電力要求,基於三級要求,還要額外配備發電機,以應對市政停電情況。標準中並未提到雙發電機的要求,但是介於冗餘性考慮,有條件的可以配備。如果是大型數據中心,要配置多少臺就要看實際規模了,一般是在 10-20 臺的機組,採用 2N 或 N+1 的配置模式。這不是我們需要關心的,所以看看就好。
數據中心柴油發電機室
安全通信網絡
1.應在通信前基於密碼技術對通信的雙方進行驗證或認證(四級)。
通常默認情況,我們 SSL/TLS 的認證是單向的,即只對服務端認證,那麼對於四級系統,新標準要求必須開啟雙向認證,即同時對客戶端也要進行認證。這裡額外說明一下,根據公安三所專家的解讀,通信加密所採用的算法應該基於國密算法(SM1、SM2、SM4、SM9 等),而非國際通用加密算法,不過介於目前大多企業採用的設備不支持國密算法,另一方面國密算法的推廣和應用也在逐步完善,因此個人認為此項也非否決項,只是扣分項,不過未來可能會變為強制要求。
安全區域邊界
1. 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制(入侵檢測)。
2.應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制(行為管理)。
此處兩條是東西向的訪問檢測與限制,目前通過 IDPS 以及行為管理設備基本可以滿足相應要求,測評時可能會查看策略啟用效果以及檢測和阻斷記錄,需要注意。
3.應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。
首次在標準中提到有關無線網絡安全的要求,這裡要求比較基礎,只要各無線 AP 或無線路由均通過 AD 進行管理和控制即符合。
4.應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時,對其進行有效阻斷。
這部分在等保 1.0 中也有過相關要求描述,但沒有如此具體,該項要求完全從技術上解決目前基本不太可能(當然,如果企業具備將附近基站的數據和語音分離的權限,那麼這想倒是可以從技術上來搞定),通常是管理為主,技術為輔的方式來控制。畢竟個人熱點和無線網卡等應用,很難及時發現。建議重點在制度上入手,形成意識、管理、流程上的多方面管控,以此達到要求。
5.應刪除多餘或無效的訪問控制規則,優化訪問控制列表,並保證訪問控制規則數量最小化。
新要求,重點是要定期優化和清理 ACL 以及策略路由等配置,測評時會查看當前安全策略配置以及規則優化和清理的記錄。
6.應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。
這裡是對策略進行雙向(in/out)應用,強調東西雙向控制。
7.應採取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析。
強調對於 APT 和 0day 一類的攻擊檢測和防護能力,介於目前態勢感知和威脅平臺的水平,實現起來很難,而且不是每家都有這麼強實力的安全團隊。所以,如果你又某某家的態勢感知產品,通常測評中心不會為難你。對於新型攻擊,可以從人的角度(應急團隊、安全團隊)來強化管控和預警能力。
8.應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。
即對外接口的用戶行為以及內部訪問互聯網的用戶進行單獨審計,如果在同一套審計平臺中可以建立不同的審計任務,那麼是可以滿足要求的。如果不行,可能就要搭建兩套審計平臺來實現。不過也不是必須要達到的,屬於扣分項。
安全計算環境
1.應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞。
定期漏洞掃描工作,這次不是隻掃描就 OK 了,對於發現的漏洞要進行驗證,確認漏洞的真實性,然後對於真實漏洞進行整改。
2.應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警。
這明顯說的就是 IDPS 嘛,同行 NGFW 也具備同樣能力。什麼?你們沒有防火牆,抱歉,我只能幫你到這裡了,自求多福吧。這條可以直接否了你的本次測評。
3.應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。
在老標準的基礎上,等保 2.0 標準明確提出實時備份至異地,不過好在是對於重要數據,這點各家根據實際情況來權衡吧。沒有的話肯定是不行的,有的話看情況,不能做到實時,但是有異地備份,這算是基本符合,不會被判定否決,可以後期列入整改計劃,逐漸完善。
中小企業或者雲上系統,可以把這鍋甩給雲供應商;大型企業和自建機房/私有云的公司,建議儘可能完善。
4.應僅採集和保存業務必需的用戶個人信息。
5.應禁止未授權訪問和非法使用用戶個人信息。
這兩條都是關於個人信息保護的要求,基本就如字面意思。稍微解釋一下,一方面是採集個人信息時,只能採集所需的必要信息,對於這類信息你可以收集,但是若未授權不得隨意訪問和修改信息,也就是說,信息可以放在你們這,但是我不同意,你就不能看,除非協助公安和相關部門處理特殊事宜時的強制配合。
另一方面,信息收集過來後,不可以隨便向其收集發送各種推銷、廣告以及惡意鏈接,這些操作都不可以。也就是說,對於一些常規流氓操作進行了約束和控制,雖然不知道效果如何,但起碼提出了相應要求。這方面,對於那些需要採集個人信息的系統,是比較難搞的一項要求。靠技術展示基本不大可能,所以就要儘可能的解釋,從管理制度、操作規範、員工培訓、懲罰制度、保密協議、流程管控方面來說明,你們做得如何好,基本這樣就差不多了。但是,未來幾年,數據安全是趨勢,信息安全和隱私保護都在立法階段,後續的監控也會越來越嚴,因此建議還是要從實際出發,不要只考慮眼前的測評,多想想以後怎麼跟監管解釋吧。
安全管理中心
1.應對分散在各個設備上的審計數據進行收集彙總和集中分析,並保證審計記錄的留存時間符合法律法規要求。
2.應能對網絡中發生的各類安全事件進行識別、報警和分析。
這兩條要求是對日誌留存的要求,等保 2.0 標準不再對日誌留存時間進行要求了,但是對於全流量以及安全事件日誌必須留存。那麼是不是可以不用再存放 6 個月了呢?
請看這裡:
網絡安全法第二十一條:
(三)採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月。
管理部分
安全管理制度
1.應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、範圍、原則和安全框架等。
2.應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。
3.應定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。
這三條要求中,等保 2.0 標準均有所變化,尤其最後一條,要對合理性和適用性進行論證,那些模板的東西已經沒用了。
那麼怎麼來改呢?方針和策略一般公司都會有,如果沒有的話,儘快制定 2020 的 IT 和安全規劃,目標和策略其實可以很簡單,好比阿里的三句話策略。但是要貼合實際,不要胡扯。
那麼策略、制度、規程、表單(ISO 27001 的四級文檔)就會配套進行修訂,形成一套體系,如果已通過 ISO 27001 認證的,可以以此來證明自己已有安全管理制度體系。沒有的,要儘快建立一套貼合業務和 IT 現狀的制度,可以簡單點,只要能落地就好。
最後,關於合理性和適用性,一般是對於制度和流程的落地試點情況。體系比較完善的企業,在制度發佈或修訂時會進行內部評審,通過後才可正式發佈。沒有相關流程的企業,可以將此作為缺失的環節,在後續制度體系中增加或完善相應管理。
安全管理機構
1.應成立指導和管理網絡安全工作的委員會或領導小組,其最高領導由單位主管領導擔任或授權。
這點很多公司都沒做好,主要體現在兩個方面。一是領導小組架構和職責很明確,但是崗位責任人是職位(如總經理、安全部總監)而不是人名,這樣就無法做到責任落實,不符合領導小組的初衷;二是組長的任命是空口說的,沒有正式的任命函或董事會級別的正式通知。這兩點如果都能做好,基本就沒太大問題了。
2.應針對系統變更、重要操作、物理訪問和系統接入等事項執行審批過程,對重要活動建立逐級審批制度。
老生常談的事情,凡是和安全相關的過程記錄都要留存(紙質或電子記錄均可),這種東西一般不太好憑空去造,所以還是建議踏踏實實的去建流程,落實制度。流程可以不夠全面,但是一定要能落地,能運行起來。
3.應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。
等保 2.0 標準強制要求,定期進行全面安全檢查,不只是技術層面,也包括制度層面。通管局、工信部的安全檢查是監管,不屬於要求中提到的檢查,要各企業自行組織開展,並形成報告、對發現的問題整改、複測整改情況等。今年沒做,明年要至少進行一次檢查工作,類似銀保監的安全自查評估。
4.應制定安全檢查表格實施安全檢查,彙總安全檢查數據,形成安全檢查報告,並對安全檢查結果進行通報。
結合前一項要求,除了自評估安全檢查,還要制定檢查表,檢查過程的現狀調研和檢查結果記錄表單也要彙總保留。有點類似於風險評估,包括資產、威脅、脆弱性。這裡提一句,某些廠商坑爹的評估也稱為風險評估,希望各位多去看看 GB/T 20984,好好了解下什麼叫風評,不要隨便測測出個報告就叫風評。
安全管理人員
1.應定期對不同崗位的人員進行技能考核。
首次提出針對技能進行考核,也就是針對不同崗位(運維、安全、開發、測試等),進行相關技能培訓與考核。可以不用針對每一個 IT 相關崗位,但是要有一定的覆蓋度,比如今年我們主要側重運維和安全,明年主要側重開發和測試,同時在制度和培訓考核計劃中也要有體現。
安全建設管理
1.應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定。
2.應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正確性進行論證和審定,經過批准後才能正式實施。
等保 2.0 標準開始,不再提倡自主定級,改為由專家進行定級。一般就是由測評機構或者知名安全廠商來進行定級,出具定級報告,其中包括評審和論證環節。可以是會議記錄,也可以是最終的評審報告或定級報告。
3.應根據保護對象的安全保護等級及與其他級別保護對象的關係進行安全整體規劃和安全方案設計,設計內容應包含密碼技術相關內容,並形成配套文件。
本項要求其實是對三同步的要求,即同步規劃、同步建設、同步使用。本項不再多說,已經很熟悉了。
(1)同步規劃
在業務規劃的階段,應當同步納入安全要求,引入安全措施。如同步建立信息資產管理情況檢查機制,指定專人負責信息資產管理,對信息資產進行統一編號、統一標識、 統一發放,並及時記錄信息資產狀態和使用情況等安全保障措施。
(2)同步建設
在項目建設階段,通過合同條款落實設備供應商、廠商和其他合作方的責任,保證相關安全技術措施的順利準時建設。保證項目上線時,安全措施的驗收和工程驗收同步,外包開發的系統需要進行上線前安全檢測,確保只有符合安全要求的系統才能上線。
(3)同步使用
安全驗收後的日常運營維護中,應當保持系統處於持續安全防護水平,且運營者每年對關鍵信息基礎設施需要進行一次安全檢測評估。
4.應制定代碼編寫安全規範,要求開發人員參照規範編寫代碼。
5.應在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測。
等保 2.0 標準首次提出安全開發流程的要求,可以理解為 SDL 體系。這裡明確指出在編碼階段和測試階段的安全性要求,均為上線前安全管控。以上兩條是針對自研軟件。
如果沒有建立 SDL 流程的企業,可以先解決安全編碼部分的問題,編碼規範應該都會有的。上線前的安全測試,這塊內容目前大多都會去做,如果沒做,那我敬你是個好漢。
6.應在軟件交付前檢測其中可能存在的惡意代碼。
7.應保證開發單位提供軟件源代碼,並審查軟件中可能存在的後門和隱蔽信道。
這兩條是對外包軟件安全的要求,也是首次提出要外包開發商提供上線前安全測試報告、代碼審計報告以及源代碼。這下甲方開心壞了吧,可以更理直氣壯的懟乙方了,雖然以前一直都是。但是介於剛剛實施這麼靠譜的要求,很多乙方是不接受的,一開始可以雙方一起來進行安全測試;代碼審計一般不會要求嚴格意義的代碼審計報告,可以用掃描加人工驗證的方式來進行;而對於源代碼,很對乙方是說死不給的,可以先提交一部分源碼。但這些都是應對本次測評的準備,從長遠來看,以後對於外包開發要求會規範化,標準化,強制化。SDL 體系建立會成為趨勢。
8.應通過第三方工程監理控制項目的實施過程。
明年開始,外包項目需要聘請第三方監理,對整個項目過程質量進行把控和監督,並實時彙報和協調。也就是說,除了甲方以外,以後還有一個第三方監理。
9.應進行上線前的安全性測試,並出具安全測試報告, 安全測試報告應包含密碼應用安全性測試相關內容。
這條要求也是首次提出,要求系統上線前的安全測試中應包含密碼應用安全性測試。
安全運維管理
1.應編制並保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。
2.應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施。
對於資產的管理要求,當前大多數企業擁有自己的管控平臺,對於 IT 資產進行統一管理。主要就是資產梳理和分級分類。如果沒有這類平臺,可以用堡壘機臨時替代一下,起碼這裡不會被扣成零分。
3.應對信息分類與標識方法做出規定,並對信息的使用、傳輸和存儲等進行規範化管理。
這裡是對數據治理提出要求,在管理制度中明確對於信息資產的分類和標識依據和規範。目前大多企業屬於空白領域,明年有關數據安全和數據治理會很熱門,因為明年 3 月 DSMM 會正式發佈。本項要求其實不用很在意,明年測評時除了一些大廠,大家基本同一起跑線,你沒做我也沒做,沒關係,列入後續的工作計劃中。
4.應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。
這裡的要求同前邊安全管理中心的全面安全檢查可以結合到一起來看,因為最終目的相一致,過程也相似。
5.應嚴格控制遠程運維的開通,經過審批後才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日誌,操作結束後立即關閉接口或通道。
等保 2.0 標準首次提出對於遠程運維的要求,原則上不開通遠程運維接口。注意,這裡是說遠程運維,而不是遠程用戶接入。通常運維人員一般都應該在機房或辦公環境內操作,除非特殊情況,會進行遠程運維操作,按照要求以後此類操作要事先審批,通過後開通臨時接口,操作完成後關閉接口。
如果沒有遠程運維需求的企業,這點不用關心。有些企業受業務所限,必須遠程操作,那麼就要按照要求把相關制度規定,流程,審批記錄,操作記錄,接口關閉記錄都留存好,以備現場檢查。
6.對造成系統中斷和造成信息洩漏的重大安全事件應採用不同的處理程序和報告程序(信息洩露應急預案)。
7.應定期對系統相關的人員進行應急預案培訓,並進行應急預案的演練(出演練外,要組織應急預案的專項培訓)。
這兩條放在一起來說,都是新要求。先說第一條關於信息洩露重大安全事件,要建立獨立處理和報告程序,不能同 BCP 程序一樣。個人觀點,可能除了應急處理外,大公司(阿里、騰訊)還要考慮對外公告和說明情況的流程。這部分,因為沒有先例,所以不知道什麼樣的流程算標準方案。建議各家可以交流討論下,也可以借鑑一下國外的預案。
第二條比較好理解,也是新要求,說的是要針對應急預案每年進行培訓,不是演練,是培訓哦!測評時會查看培訓的 PPT,以及培訓簽到記錄(可以是電子記錄)和培訓計劃。
以上是筆者認為等級保護 2.0 中新增的一些重點以及測評時要注意的內容,希望對各位能有所幫助。文章只代表個人觀點,僅供參考。
閱讀更多 e安教育 的文章
