等級保護(hù)2.0測評時有哪些需要關(guān)心的重點
12 月 1 日,等級保護(hù) 2.0 標(biāo)準(zhǔn)正式實施,不過因為是在年底,大多數(shù)企業(yè)等級測評工作已經(jīng)完成,所以重頭戲應(yīng)該在明年,這也是國家給企業(yè)充足的學(xué)習(xí)和整改時間。那么,在這個空檔期,來和大家聊聊等級保護(hù) 2.0 測評時有哪些需要關(guān)心的重點吧。
有關(guān)新老標(biāo)準(zhǔn)的變化,可以參考之前文章或三所的解讀,不再重復(fù),這里說說比較接地氣的東西吧。
這里總結(jié)了一下,針對通用安全部分,三級和四級系統(tǒng)共有 45 條新增以及容易被忽略的要求向,如下表所示:
下面將會針對這些要求項逐條進(jìn)行說明。
技術(shù)部分
安全物理環(huán)境
1.機房出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員
按照以前的標(biāo)準(zhǔn),門禁系統(tǒng)可以不是電子系統(tǒng),可以通過流程和人來管控,但在新的標(biāo)準(zhǔn)中要求必須是電子門禁系統(tǒng),即使流程管控再嚴(yán)格也是不符合要求的。
2.重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員(四級)
針對四級系統(tǒng)的要求,通常機房中會按照區(qū)域進(jìn)行劃分,但是對于重要區(qū)域的二道門禁,一般機房目前并無配置,因此這點要注意,盡快安裝配備相應(yīng)設(shè)施。
3.應(yīng)采取措施防止靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等
本項其實不算大事,但是也是容易忽略的問題。往往進(jìn)了機房習(xí)慣性的上機就開始操作,不做除電。這里可以在每排機柜上配備一個防靜電手環(huán),在機房制度中新增一條關(guān)于靜電消除的操作規(guī)范要求,基本可以符合。
4.應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電
要求三級及以上系統(tǒng)所在的機房要具備雙路并行電力線路,來自不同供電站的電纜,目前大多數(shù)自建機房應(yīng)該是不符合要求,大型 IDC 和云機房通常都有相關(guān)設(shè)計。不過介于整改比較困難,應(yīng)該不會作為否決項,只是扣分而已。
5.應(yīng)提供應(yīng)急供電設(shè)施(四級)
針對四級系統(tǒng)的電力要求,基于三級要求,還要額外配備發(fā)電機,以應(yīng)對市政停電情況。標(biāo)準(zhǔn)中并未提到雙發(fā)電機的要求,但是介于冗余性考慮,有條件的可以配備。如果是大型數(shù)據(jù)中心,要配置多少臺就要看實際規(guī)模了,一般是在 10-20 臺的機組,采用 2N 或 N+1 的配置模式。這不是我們需要關(guān)心的,所以看看就好。
安全通信網(wǎng)絡(luò)
1.應(yīng)在通信前基于密碼技術(shù)對通信的雙方進(jìn)行驗證或認(rèn)證(四級)
通常默認(rèn)情況,我們 SSL/TLS 的認(rèn)證是單向的,即只對服務(wù)端認(rèn)證,那么對于四級系統(tǒng),新標(biāo)準(zhǔn)要求必須開啟雙向認(rèn)證,即同時對客戶端也要進(jìn)行認(rèn)證。這里額外說明一下,根據(jù)公安三所專家的解讀,通信加密所采用的算法應(yīng)該基于國密算法(SM1、SM2、SM4、SM9 等),而非國際通用加密算法,不過介于目前大多企業(yè)采用的設(shè)備不支持國密算法,另一方面國密算法的推廣和應(yīng)用也在逐步完善,因此個人認(rèn)為此項也非否決項,只是扣分項,不過未來可能會變?yōu)閺娭埔?。(有關(guān)雙向認(rèn)證的細(xì)節(jié),可參考本人之前發(fā)表的等保 2.0 個人解讀安全通信網(wǎng)絡(luò)部分)
安全區(qū)域邊界
1.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制(入侵檢測)
2.應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制(行為管理)
此處兩條是東西向的訪問檢測與限制,目前通過 IDPS 以及行為管理設(shè)備基本可以滿足相應(yīng)要求,測評時可能會查看策略啟用效果以及檢測和阻斷記錄,需要注意。
3.應(yīng)限制無線網(wǎng)絡(luò)的使用,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)
首次在標(biāo)準(zhǔn)中提到有關(guān)無線網(wǎng)絡(luò)安全的要求,這里要求比較基礎(chǔ),只要各無線 AP 或無線路由均通過 AD 進(jìn)行管理和控制即符合。
4.應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為時,對其進(jìn)行有效阻斷
這部分在等保 1.0 中也有過相關(guān)要求描述,但沒有如此具體,該項要求完全從技術(shù)上解決目前基本不太可能(當(dāng)然,如果企業(yè)具備將附近基站的數(shù)據(jù)和語音分離的權(quán)限,那么這想倒是可以從技術(shù)上來搞定),通常是管理為主,技術(shù)為輔的方式來控制。畢竟個人熱點和無線網(wǎng)卡等應(yīng)用,很難及時發(fā)現(xiàn)。建議重點在制度上入手,形成意識、管理、流程上的多方面管控,以此達(dá)到要求。
5.應(yīng)刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化
新要求,重點是要定期優(yōu)化和清理 ACL 以及策略路由等配置,測評時會查看當(dāng)前安全策略配置以及規(guī)則優(yōu)化和清理的記錄。
6.應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為
這里是對策略進(jìn)行雙向(in/out)應(yīng)用,強調(diào)東西雙向控制。
7.應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析
強調(diào)對于 APT 和 0day 一類的攻擊檢測和防護(hù)能力,介于目前態(tài)勢感知和威脅平臺的水平,實現(xiàn)起來很難,而且不是每家都有這么強實力的安全團(tuán)隊。所以,如果你又某某家的態(tài)勢感知產(chǎn)品,通常測評中心不會為難你。對于新型攻擊,可以從人的角度(應(yīng)急團(tuán)隊、安全團(tuán)隊)來強化管控和預(yù)警能力。
8.應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審計和數(shù)據(jù)分析
即對外接口的用戶行為以及內(nèi)部訪問互聯(lián)網(wǎng)的用戶進(jìn)行單獨審計,如果在同一套審計平臺中可以建立不同的審計任務(wù),那么是可以滿足要求的。如果不行,可能就要搭建兩套審計平臺來實現(xiàn)。不過也不是必須要達(dá)到的,屬于扣分項。
安全計算環(huán)境
1.應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過充分測試評估后,及時修補漏洞
定期漏洞掃描工作,這次不是只掃描就 OK 了,對于發(fā)現(xiàn)的漏洞要進(jìn)行驗證,確認(rèn)漏洞的真實性,然后對于真實漏洞進(jìn)行整改。很刺激對吧,要驗證了哦。
2.應(yīng)能夠檢測到對重要節(jié)點進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時提供報警
這明顯說的就是 IDPS 嘛,同行 NGFW 也具備同樣能力。什么?你們沒有防火墻,抱歉,我只能幫你到這里了,自求多福吧。這條可以直接否了你的本次測評。
3.應(yīng)提供異地實時備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地
在老標(biāo)準(zhǔn)的基礎(chǔ)上,等保 2.0 標(biāo)準(zhǔn)明確提出實時備份至異地,不過好在是對于重要數(shù)據(jù),這點各家根據(jù)實際情況來權(quán)衡吧。沒有的話肯定是 GG 了,有的話看情況,不能做到實時,但是有異地備份,這算是基本符合,不會被判定否決,可以后期列入整改計劃,逐漸完善。
中小企業(yè)或者云上系統(tǒng),可以把這鍋甩給云供應(yīng)商;大型企業(yè)和自建機房/私有云的公司,建議盡可能完善,不求有功,但求無過。其實基本上等同于雙活,只是沒提切換延時的要求。
4.應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息
5.應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息
這兩條都是關(guān)于個人信息保護(hù)的要求,基本就如字面意思。稍微解釋一下,一方面是采集個人信息時,只能采集所需的必要信息,對于這類信息你可以收集,但是若未授權(quán)不得隨意訪問和修改信息,也就是說,信息可以放在你們這,但是我不同意,你就不能看,除非協(xié)助公安和相關(guān)部門處理特殊事宜時的強制配合。
另一方面,信息收集過來后,不可以隨便向其收集發(fā)送各種推銷、廣告以及惡意鏈接,這些操作都不可以。也就是說,對于一些常規(guī)流氓操作進(jìn)行了約束和控制,雖然不知道效果如何,但起碼提出了相應(yīng)要求。這方面,對于那些需要采集個人信息的系統(tǒng),是比較難搞的一項要求。靠技術(shù)展示基本不大可能,所以就要盡可能的解釋,從管理制度、操作規(guī)范、員工培訓(xùn)、懲罰制度、保密協(xié)議、流程管控方面來說明,你們做得如何好,基本這樣就差不多了。但是,未來幾年,數(shù)據(jù)安全是趨勢,信息安全和隱私保護(hù)都在立法階段,后續(xù)的監(jiān)控也會越來越嚴(yán),因此建議還是要從實際出發(fā),不要只考慮眼前的測評,多想想以后怎么跟監(jiān)管解釋吧。
安全管理中心
1.應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求
2.應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析
這兩條要求是對日志留存的要求,等保 2.0 標(biāo)準(zhǔn)不再對日志留存時間進(jìn)行要求了,但是對于全流量以及安全事件日志必須留存。那么是不是可以不用再存放 6 個月了呢?
請看這里:
網(wǎng)絡(luò)安全法第二十一條:
(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。
大家懂了吧,所以以前怎么干的,還怎么干。
管理部分
安全管理制度
1.應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略,闡明機構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等
2.應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系
3.應(yīng)定期對安全管理制度的合理性和適用性進(jìn)行論證和審定,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂
這三條要求中,等保 2.0 標(biāo)準(zhǔn)均有所變化,尤其最后一條,要對合理性和適用性進(jìn)行論證,那些模板的東西已經(jīng)沒用了。
那么怎么來改呢?方針和策略一般公司都會有,如果沒有的話,盡快制定 2020 的 IT 和安全規(guī)劃,目標(biāo)和策略其實可以很簡單,好比阿里的三句話策略。但是要貼合實際,不要胡扯。
那么策略、制度、規(guī)程、表單(ISO 27001 的四級文檔)就會配套進(jìn)行修訂,形成一套體系,如果已通過 ISO 27001 認(rèn)證的,可以以此來證明自己已有安全管理制度體系。沒有的,要盡快建立一套貼合業(yè)務(wù)和 IT 現(xiàn)狀的制度,可以簡單點,只要能落地就好。
最后,關(guān)于合理性和適用性,一般是對于制度和流程的落地試點情況。體系比較完善的企業(yè),在制度發(fā)布或修訂時會進(jìn)行內(nèi)部評審,通過后才可正式發(fā)布。沒有相關(guān)流程的企業(yè),可以將此作為缺失的環(huán)節(jié),在后續(xù)制度體系中增加或完善相應(yīng)管理。
安全管理機構(gòu)
1.應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)
這點很多公司都沒做好,主要體現(xiàn)在兩個方面。一是,領(lǐng)導(dǎo)小組架構(gòu)和職責(zé)很明確,但是崗位責(zé)任人是職位(如總經(jīng)理、安全部總監(jiān))而不是人名,這樣就無法做到責(zé)任落實,不符合領(lǐng)導(dǎo)小組的初衷;二是,組長的任命是空口說的,沒有正式的任命函或董事會級別的正式通知。這兩點如果都能做好,基本就沒太大問題了。
2.應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項執(zhí)行審批過程,對重要活動建立逐級審批制度
老生常談的事情,凡是和安全相關(guān)的過程記錄都要留存(紙質(zhì)或電子記錄均可),這種東西一般不太好憑空去造,所以還是建議踏踏實實的去建流程,落實制度。流程可以不夠全面,但是一定要能落地,能運行起來。
3.應(yīng)定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等
等保 2.0 標(biāo)準(zhǔn)強制要求,定期進(jìn)行全面安全檢查,不只是技術(shù)層面,也包括制度層面。通管局、工信部的安全檢查是監(jiān)管,不屬于要求中提到的檢查,要各企業(yè)自行組織開展,并形成報告、對發(fā)現(xiàn)的問題整改、復(fù)測整改情況等。今年沒做,明年要至少進(jìn)行一次檢查工作,類似銀保監(jiān)的安全自查評估。
4.應(yīng)制定安全檢查表格實施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報告,并對安全檢查結(jié)果進(jìn)行通報
結(jié)合前一項要求,除了自評估安全檢查,還要制定檢查表,檢查過程的現(xiàn)狀調(diào)研和檢查結(jié)果記錄表單也要匯總保留。有點類似于風(fēng)險評估,包括資產(chǎn)、威脅、脆弱性。這里提一句,某些廠商坑爹的評估也稱為風(fēng)險評估,希望各位多去看看 GB/T 20984,好好了解下什么叫風(fēng)評,不要隨便測測出個報告就叫風(fēng)評。
安全管理人員
1.應(yīng)定期對不同崗位的人員進(jìn)行技能考核
首次提出針對技能進(jìn)行考核,也就是針對不同崗位(運維、安全、開發(fā)、測試等),進(jìn)行相關(guān)技能培訓(xùn)與考核??梢圆挥冕槍γ恳粋€ IT 相關(guān)崗位,但是要有一定的覆蓋度,比如今年我們主要側(cè)重運維和安全,明年主要側(cè)重開發(fā)和測試,同時在制度和培訓(xùn)考核計劃中也要有體現(xiàn)。
安全建設(shè)管理
1.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和正確性進(jìn)行論證和審定
2.應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進(jìn)行論證和審定,經(jīng)過批準(zhǔn)后才能正式實施
等保 2.0 標(biāo)準(zhǔn)開始,不再提倡自主定級,改為由專家進(jìn)行定級。一般就是由測評機構(gòu)或者知名安全廠商來進(jìn)行定級,出具定級報告,其中包括評審和論證環(huán)節(jié)??梢允菚h記錄,也可以是最終的評審報告或定級報告。
3.應(yīng)根據(jù)保護(hù)對象的安全保護(hù)等級及與其他級別保護(hù)對象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計,設(shè)計內(nèi)容應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容,并形成配套文件
本項要求其實是對三同步的要求,即同步規(guī)劃、同步建設(shè)、同步使用。本項不再多說,已經(jīng)很熟悉了。
(1)同步規(guī)劃
在業(yè)務(wù)規(guī)劃的階段,應(yīng)當(dāng)同步納入安全要求,引入安全措施。如同步建立信息資產(chǎn)管理情況檢查機制,指定專人負(fù)責(zé)信息資產(chǎn)管理,對信息資產(chǎn)進(jìn)行統(tǒng)一編號、統(tǒng)一標(biāo)識、 統(tǒng)一發(fā)放,并及時記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。
(2)同步建設(shè)
在項目建設(shè)階段,通過合同條款落實設(shè)備供應(yīng)商、廠商和其他合作方的責(zé)任,保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時建設(shè)。保證項目上線時,安全措施的驗收和工程驗收同步,外包開發(fā)的系統(tǒng)需要進(jìn)行上線前安全檢測,確保只有符合安全要求的系統(tǒng)才能上線。
(3)同步使用
安全驗收后的日常運營維護(hù)中,應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平,且運營者每年對關(guān)鍵信息基礎(chǔ)設(shè)施需要進(jìn)行一次安全檢測評估。
4.應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼
5.應(yīng)在軟件開發(fā)過程中對安全性進(jìn)行測試,在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測
等保 2.0 標(biāo)準(zhǔn)首次提出安全開發(fā)流程的要求,可以理解為 SDL 體系。這里明確指出在編碼階段和測試階段的安全性要求,均為上線前安全管控。以上兩條是針對自研軟件。
如果沒有建立 SDL 流程的企業(yè),可以先解決安全編碼部分的問題,編碼規(guī)范應(yīng)該都會有的。上線前的安全測試,這塊內(nèi)容目前大多都會去做,如果沒做,那我敬你是個好漢。
6.應(yīng)在軟件交付前檢測其中可能存在的惡意代碼
7.應(yīng)保證開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道
這兩條是對外包軟件安全的要求,也是首次提出要外包開發(fā)商提供上線前安全測試報告、代碼審計報告以及源代碼。這下甲方開心壞了吧,可以更理直氣壯的懟乙方了,雖然以前一直都是。但是介于剛剛實施這么靠譜的要求,很多乙方是不接受的,一開始可以雙方一起來進(jìn)行安全測試;代碼審計一般不會要求嚴(yán)格意義的代碼審計報告,可以用掃描加人工驗證的方式來進(jìn)行;而對于源代碼,很對乙方是說死不給的,可以先提交一部分源碼。但這些都是應(yīng)對本次測評的準(zhǔn)備,從長遠(yuǎn)來看,以后對于外包開發(fā)要求會規(guī)范化,標(biāo)準(zhǔn)化,強制化。SDL 體系建立會成為趨勢。
8.應(yīng)通過第三方工程監(jiān)理控制項目的實施過程
那么,除了以上這些,乙方覺得沒事了么,呵呵。
明年開始,外包項目需要聘請第三方監(jiān)理,對整個項目過程質(zhì)量進(jìn)行把控和監(jiān)督,并實時匯報和協(xié)調(diào)。也就是說,除了甲方懟你,以后還有一個第三方監(jiān)理也要懟你,爽不爽?
9.應(yīng)進(jìn)行上線前的安全性測試,并出具安全測試報告, 安全測試報告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容
乙方的兄弟,你先別吐血,還沒說完呢,這回不是你自己,甲方也要一樣受苦,是不是好受一些了?這條要求也是首次提出,要求系統(tǒng)上線前的安全測試中應(yīng)包含密碼應(yīng)用安全性測試。
那么,這個密碼應(yīng)用安全性測試又是個什么玩意呢。這是我在查閱了相關(guān)制度和材料得出的結(jié)果:
商用密碼應(yīng)用安全性評估
指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估。按照商用密碼應(yīng)用安全性評估管理的要求,在系統(tǒng)規(guī)劃階段,可組織專家或委托測評機構(gòu)進(jìn)行評估;在系統(tǒng)建設(shè)完成后以及運行階段,由測評機構(gòu)進(jìn)行評估。
哪些系統(tǒng)要做密評
《密碼法》(《密碼法草案》已于 2019 年 6 月 10 日經(jīng)國務(wù)院常務(wù)會議討論通過)要求「國家對關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用安全性進(jìn)行分類分級評估,按照國家安全審查的要求對影響或者可能影響國家安全的密碼產(chǎn)品、密碼相關(guān)服務(wù)和密碼保障系統(tǒng)進(jìn)行安全審查」?!缎畔踩燃壉Wo(hù)商用密碼管理辦法》規(guī)定:「國家密碼管理局和省、自治區(qū)、直轄市密碼管理機構(gòu)對第三級及以上信息系統(tǒng)使用商用密碼的情況進(jìn)行檢查」。在國家密碼管理局印發(fā)的《信息安全等級保護(hù)商用密碼管理辦法實施意見》中規(guī)定「第三級及以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng),應(yīng)當(dāng)通過國家密碼管理部門指定測評機構(gòu)的密碼測評后方可投入運行」。這些制度明確了信息安全等級保護(hù)第三級及以上信息系統(tǒng)的商用密碼應(yīng)用和測評要求。此外,在新版《網(wǎng)絡(luò)安全等級保護(hù)條例》(征求意見稿)明確要求在規(guī)劃、建設(shè)、運行階段開展密碼應(yīng)用安全性評估。
密評關(guān)注哪些方面
為規(guī)范商用密碼應(yīng)用安全性評估工作,國家密碼管理局制定了《商用密碼應(yīng)用安全性評估管理辦法》、《商用密碼應(yīng)用安全性測評機構(gòu)管理辦法》等有關(guān)規(guī)定,對測評機構(gòu)、網(wǎng)絡(luò)運營者、管理部分三類對象提出了要求,對評估程序、評估方法、監(jiān)督管理等進(jìn)行了明確。同時,組織編制了《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測評要求》等標(biāo)準(zhǔn),及《商用密碼應(yīng)用安全性評估測評過程指南(試行)》《商用密碼應(yīng)用安全性評估測評作業(yè)指導(dǎo)書(試行)》等指導(dǎo)性文件,指導(dǎo)測評機構(gòu)規(guī)范有序開展評估工作。其中,《信息系統(tǒng)密碼應(yīng)用基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理以及安全管理六個方面提出密碼應(yīng)用安全性評估指標(biāo)。
密評工作當(dāng)前的進(jìn)展
現(xiàn)階段,商用密碼應(yīng)用安全性評估試點工作正在有序開展。經(jīng)過層層評審,截止 2018 年 6 月第一批共有 10 家測評機構(gòu)符合測評機構(gòu)能力要求,具備獨立承擔(dān)并規(guī)范開展試點測評任務(wù)的能力。中科院 DCS 中心作為首批通過的優(yōu)秀測評機構(gòu),正在積極參與密碼應(yīng)用安全性評估的各項試點工作,為我國密碼事業(yè)的發(fā)展貢獻(xiàn)自己的力量。
個人感覺,這項要求類似可信計算,在標(biāo)準(zhǔn)實施初期不做強制要求,以鼓勵方式建議企業(yè)開展,但在后期隨著技術(shù)和要求的成熟,會逐漸成為強制要求項。所以,明年各位可以不用太擔(dān)心,先了解一下就好。
安全運維管理
1.應(yīng)編制并保存與保護(hù)對象相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容
2.應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理,根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施
對于資產(chǎn)的管理要求,當(dāng)前大多數(shù)企業(yè)擁有自己的管控平臺,對于 IT 資產(chǎn)進(jìn)行統(tǒng)一管理。主要就是資產(chǎn)梳理和分級分類。如果沒有這類平臺,可以用堡壘機臨時替代一下,起碼這里不會被扣成零分。
3.應(yīng)對信息分類與標(biāo)識方法做出規(guī)定,并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理
這里是對數(shù)據(jù)治理提出要求,在管理制度中明確對于信息資產(chǎn)的分類和標(biāo)識依據(jù)和規(guī)范。目前大多企業(yè)屬于空白領(lǐng)域,明年有關(guān)數(shù)據(jù)安全和數(shù)據(jù)治理會很熱門,因為明年 3 月 DSMM 會正式發(fā)布。本項要求其實不用很在意,明年測評時除了一些大廠,大家基本同一起跑線,你沒做我也沒做,沒關(guān)系,列入后續(xù)的工作計劃中。
4.應(yīng)采取必要的措施識別安全漏洞和隱患,對發(fā)現(xiàn)的安全漏洞和隱患及時進(jìn)行修補或評估可能的影響后進(jìn)行修補
這里的要求同前邊安全管理中心的全面安全檢查可以結(jié)合到一起來看,因為最終目的相一致,過程也相似。
5.應(yīng)嚴(yán)格控制遠(yuǎn)程運維的開通,經(jīng)過審批后才可開通遠(yuǎn)程運維接口或通道,操作過程中應(yīng)保留不可更改的審計日志,操作結(jié)束后立即關(guān)閉接口或通道
等保 2.0 標(biāo)準(zhǔn)首次提出對于遠(yuǎn)程運維的要求,原則上不開通遠(yuǎn)程運維接口。注意,這里是說遠(yuǎn)程運維,而不是遠(yuǎn)程用戶接入。通常運維人員一般都應(yīng)該在機房或辦公環(huán)境內(nèi)操作,除非特殊情況,會進(jìn)行遠(yuǎn)程運維操作,按照要求以后此類操作要事先審批,通過后開通臨時接口,操作完成后關(guān)閉接口。
如果沒有遠(yuǎn)程運維需求的企業(yè),這點不用關(guān)心。有些企業(yè)受業(yè)務(wù)所限,必須遠(yuǎn)程操作,那么就要按照要求把相關(guān)制度規(guī)定,流程,審批記錄,操作記錄,接口關(guān)閉記錄都留存好,以備現(xiàn)場檢查。
6.對造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報告程序(信息泄露應(yīng)急預(yù)案)
7.應(yīng)定期對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并進(jìn)行應(yīng)急預(yù)案的演練(出演練外,要組織應(yīng)急預(yù)案的專項培訓(xùn))
這兩條放在一起來說,都是新要求。先說第一條關(guān)于信息泄露重大安全事件,要建立獨立處理和報告程序,不能同 BCP 程序一樣。個人觀點,可能除了應(yīng)急處理外,大公司(阿里、騰訊)還要考慮對外公告和說明情況的流程。這部分,因為沒有先例,所以不知道什么樣的流程算標(biāo)準(zhǔn)方案。建議各家可以交流討論下,也可以借鑒一下國外的預(yù)案。
第二條比較好理解,也是新要求,說的是要針對應(yīng)急預(yù)案每年進(jìn)行培訓(xùn),不是演練,是培訓(xùn)哦!測評時會查看培訓(xùn)的 PPT,以及培訓(xùn)簽到記錄(可以是電子記錄)和培訓(xùn)計劃。
最后
OK,以上是我認(rèn)為等級保護(hù) 2.0 中新增的一些重點以及測評時要注意的內(nèi)容,希望對各位能有所幫助。最后,祝賀等級保護(hù) 2.0 制度順利實施,也預(yù)祝各位能早日通過新標(biāo)準(zhǔn)下的測評。文章只代表個人觀點,僅供參考。