等保2.0下企業(yè)的安全觀
筆者最近工作原因不斷接觸等保相關(guān)工作,也產(chǎn)生了很多感觸、之前做過幾次分享,在此總結(jié)一下,如有疑問或者難題歡迎留言探討,廢話不多說先把導(dǎo)圖上了:
一、測評對象:
從測評對象上來講,等保更全面的覆蓋了互聯(lián)網(wǎng)新興行業(yè)包括云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng),由于筆者行業(yè)經(jīng)驗有限,物聯(lián)網(wǎng)、工控可能并不了解,但云計算方面大致研讀了一下,在責(zé)任劃分上比較清晰,比如使用了Iaas服務(wù),那么物理層以上的歸自己測評,Pass服務(wù)則應(yīng)用級以上自己測評,如果采購了Saas服務(wù)則賬戶體系等由自己測評,總歸一句話:自己那攤子事自己測評。
二、測評流程
測評流程分為:確定定級對象——初步確定等級——專家評審簽字——主管部門簽字——公安備案審查——最終確定定級
定級對象:其中定級對象根據(jù)系統(tǒng)面向?qū)ο螅ㄈ缑嫦騼?nèi)部還是面向社會群眾)、系統(tǒng)內(nèi)存儲與傳輸數(shù)據(jù)的敏感程度(如是否有真實的用戶手機(jī)號、身份證等信息)以及存儲的量級等,在定性過程中其實可以考慮更同行業(yè)、同類型系統(tǒng)去對比
專家評審:近期卡的稍微嚴(yán)格了一些,建議聘請三位外部專家(具備評測資格資質(zhì)的)共同評級并簽字,備案期間會檢查;
公安備案審查:近期臨近十月一,由于之前發(fā)文說十月一之后公安部將不再接收等保1的報告,所以最近定級備案、等保測評的比較多,目前北京地區(qū)貌似海淀非常火爆,其他分局還好。
三、測評差異項
總體來講更加務(wù)實一些,之前演講時做了幾條總結(jié):
刪除過時攻防姿勢,新增應(yīng)對新型攻擊要求;
刪除審計結(jié)果報表,重視審計過程記錄;
網(wǎng)絡(luò)邊界的訪問控制細(xì)粒度強(qiáng)化;
個人信息保護(hù)要求強(qiáng)化,強(qiáng)化賬戶系統(tǒng);
可信計算技術(shù)建立系統(tǒng)到應(yīng)用的信任鏈;
降低內(nèi)部人員專人專項,加強(qiáng)外部人員安全管控;
加強(qiáng)外部與自研服務(wù)系統(tǒng)安全檢測,加強(qiáng)漏洞風(fēng)險管理;
管理制度方面其實大部分企業(yè)都是對內(nèi)一套對外一套,對內(nèi)務(wù)實對外務(wù)虛;
四、高風(fēng)險項
等保高風(fēng)險項很快隨之而出,其實該部分內(nèi)容相對還是很實用且在基礎(chǔ)安全中需要關(guān)注的點(diǎn),大概分為兩塊:1、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備;2、應(yīng)用系統(tǒng)。整體來講在細(xì)則上可以做一些總結(jié)提煉:
1、弱口令、默認(rèn)口令、
2、遠(yuǎn)程管理防護(hù)
3、雙因素認(rèn)證
4、惡意代碼防范
5、審計措施
6、不必要服務(wù)處置
7、已知重大漏洞修復(fù)、測試發(fā)現(xiàn)漏洞修復(fù)
8、用戶權(quán)限管控
9、訪問策略管控
10、數(shù)據(jù)完整性、保密性(傳輸、存儲)、備份恢復(fù)
11、數(shù)據(jù)采集、存儲、使用、訪問以及敏感信息處理
五、其他實時性問題
其實實時性的問題更加準(zhǔn)確且能預(yù)測企業(yè)需求,比如筆者近期接到的一些通知,其實在其他單位也很快收到了相同的通告,并以此去分享處理方式方法,相互協(xié)助幫忙更加實用一些,也希望各位能多分享自己最近接觸到的事件。