亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

中小企業(yè)等保合規(guī)的痛點難點和要點

隨著網(wǎng)絡(luò)威脅不斷復(fù)雜化和組織化,網(wǎng)絡(luò)攻防的“軍備競賽”持續(xù)升級,新冠疫情帶來新的網(wǎng)絡(luò)威脅,作為網(wǎng)絡(luò)安全的“弱勢群體”,安全意識、管理、人才、資金捉襟見肘的中小企業(yè)也正面臨越來越嚴(yán)峻的“安全鴻溝”問題。


圍繞等保合規(guī)建設(shè)實現(xiàn)安全管理體系化,是當(dāng)下中國中小企業(yè)全面提升安全防護能力的必要路徑和契機。對于中小企業(yè)來說,最常見的誤區(qū)是:把等保測評當(dāng)成“應(yīng)試”和負(fù)擔(dān)。事實上等保不是考試,不是為了應(yīng)付,而是通過等保發(fā)現(xiàn)問題解決問題,提高信息系統(tǒng)的安全防護能力。此外,等保只是網(wǎng)絡(luò)安全的手段而不是目的,是起點而不是終點。與安全能力“三同步”建設(shè)和投資策略匹配的“合規(guī)”,才是高效實現(xiàn)“持續(xù)安全”和“動態(tài)安全”的基礎(chǔ)。


我們邀請到了行業(yè)資深從業(yè)者,就中小企業(yè)等保合規(guī)的“痛點”、“難點”和“要點”,給出了深入淺出,簡明扼要的分析和建議,也是中小企業(yè)網(wǎng)絡(luò)安全建設(shè)不可錯過的“快速指南”:

一、痛點:自主開展等保合規(guī)建設(shè)的意義


自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布以來,各政企單位等保測評如火如荼的開展。那么為什么要開展等級保護工作呢?主要有以下幾個原因:


第一、滿足國家相關(guān)法律法規(guī)和制度的要求。等級保護是我國網(wǎng)絡(luò)安全的基本政策,網(wǎng)絡(luò)安全法規(guī)定了我國實行網(wǎng)絡(luò)安全等級保護制度,網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。單位未開展網(wǎng)絡(luò)安全等級保護的,發(fā)生網(wǎng)絡(luò)安全事故或受到監(jiān)管機構(gòu)檢查,單位處一萬以上十萬以下罰款,責(zé)任人處五千以上五萬以下罰款。目前國內(nèi)各地公安部門、網(wǎng)信部門依據(jù)《網(wǎng)絡(luò)安全法》對相關(guān)單位進行處罰的案例已有多起。


第二、項目管理可控。自主開展等級保護工作而非由監(jiān)管機構(gòu)檢查后責(zé)令整改,對單位來說能掌握更多的主動權(quán),時間上也相對充裕許多,在項目管理的角度上來講,時間管理、質(zhì)量管理及成本管理更加可控。


第三、安全管理體系化,防護能力提升。通過等級保護工作,發(fā)現(xiàn)單位信息系統(tǒng)與國家安全標(biāo)準(zhǔn)之間存在的差距,對系統(tǒng)資產(chǎn)的梳理、系統(tǒng)存在的風(fēng)險點、制度流程的缺陷會有一個更加清晰的認(rèn)識,查明目前系統(tǒng)存在的安全隱患和不足,通過安全整改之后,提高信息系統(tǒng)的信息安全防護能力,降低系統(tǒng)被各種攻擊的風(fēng)險,在相關(guān)管理流程上會更體系化。


二、難點:等保測評的問題及解決方案


中小企業(yè)在開展等級保護測評,多多少少都會出現(xiàn)些問題,筆者結(jié)合自身工作經(jīng)歷,對所遇的主要問題進行了一個歸納。


1、管理層缺乏意識。單位管理層在網(wǎng)絡(luò)安全方面缺乏意識,認(rèn)為業(yè)務(wù)系統(tǒng)能正常運行,并未出現(xiàn)故障,網(wǎng)絡(luò)安全等級保護的建設(shè)沒有開展的必要。又或者認(rèn)為業(yè)務(wù)系統(tǒng)在內(nèi)網(wǎng)運行,未開放互聯(lián)網(wǎng)訪問,可不開展網(wǎng)絡(luò)安全等級保護建設(shè)。


2、資產(chǎn)管理混亂。管理人員對信息系統(tǒng)的資產(chǎn)管理缺乏完整的交接,沒有清晰全面的資產(chǎn)清單,造成資產(chǎn)管理的混亂。


3、缺乏專業(yè)人員。單位未配備專業(yè)的信息安全管理人員,單位內(nèi)部可能相關(guān)IT管理人員就1至2個,負(fù)責(zé)網(wǎng)絡(luò)管理及桌面運維,說起網(wǎng)絡(luò)安全等級保護,可能是一頭霧水,對網(wǎng)絡(luò)安全等級保護如何開展沒有概念,無從入手。


4、系統(tǒng)整改難度大、整改周期長。單位業(yè)務(wù)系統(tǒng)維保過期,主機層面漏洞、數(shù)據(jù)庫層面漏洞、應(yīng)用層面漏洞及網(wǎng)絡(luò)層面的漏洞整改需要專業(yè)技術(shù)人員;業(yè)務(wù)系統(tǒng)存在的漏洞,整改會對生產(chǎn)業(yè)務(wù)造成影響,或是造成系統(tǒng)使用的不便,如密碼復(fù)雜度、定期改密、超時退出等,在整改推行上會有較大的阻力。


5、經(jīng)費缺乏。此問題與管理層缺乏意識也有相關(guān),整改過程中難免會需要采購一些安全設(shè)備,比如網(wǎng)絡(luò)必須具備入侵檢測手段,在經(jīng)費缺乏的條件下,無法進行入侵檢測入侵防御設(shè)備采購,無法滿足該測評項,會導(dǎo)致最終無法通過等保測評。


測評或者說等保不是考試,不是為了應(yīng)付,而是通過等保發(fā)現(xiàn)問題解決問題,提高信息系統(tǒng)的安全防護能力。每個單位推行等保工作都會有很多阻礙,但是我們的等級保護工作又不得不做,那怎樣合情合理地開展呢?


1、針對管理層缺乏意識、經(jīng)費缺乏方面,信息化部門負(fù)責(zé)人必須肩負(fù)起信息安全管理的責(zé)任,在公司內(nèi)部不管是管理層還是普通員工,都要做好信息安全意識宣貫,網(wǎng)信部、網(wǎng)監(jiān)部門會有定期開展信息安全檢查及通報,信息化負(fù)責(zé)人可收集此類通報情況,開展管理層信息安全意識宣貫,分析網(wǎng)絡(luò)安全等級保護建設(shè)的必要性及未開展的嚴(yán)重性,落實項目經(jīng)費。


2、針對資產(chǎn)管理混亂方面,需加強制度與流程建設(shè),開展變更后及時更新資產(chǎn)清單,定期對資產(chǎn)進行梳理。


3、針對專業(yè)人員缺乏與系統(tǒng)整改困難方面,單位可在開展項目采購時,采購第三方安全服務(wù),協(xié)助單位開展等保測評與整改,整改過程中單位管理人員需關(guān)注變更的風(fēng)險,做好風(fēng)險評估與回退計劃,在某些測評點無法滿足要求的條件下,非一票否決項的,可采取縱深防御的思路,例如主機層面配置登錄失敗限制等,linux服務(wù)器在配置此項時容易導(dǎo)致ssh登錄出現(xiàn)故障,此項如網(wǎng)絡(luò)中具備運維審計系統(tǒng),可通過運維審計系統(tǒng)實現(xiàn)主機登錄管理的登錄失敗限制,前提是網(wǎng)絡(luò)做好訪問控制策略限制主機只允許運維審計系統(tǒng)進行登錄管理,當(dāng)然如果主機能配置該項策略是更為安全的,分別從網(wǎng)絡(luò)層及主機層對服務(wù)器的登錄失敗進行限制。針對缺乏應(yīng)用系統(tǒng)維保的,應(yīng)用系統(tǒng)漏洞無法開展整改的,可以請第三方開發(fā)商進行二次開發(fā),或者采用安全設(shè)備進行防護,如缺乏日志審計功能,可采用數(shù)據(jù)庫審計設(shè)備,從網(wǎng)絡(luò)層對應(yīng)用層風(fēng)險進行降低,通過網(wǎng)絡(luò)中數(shù)據(jù)庫操作流量進行抓取記錄,滿足審計要求。 


三、要點:項目的立項與采購


等保建設(shè)項目的立項,需要先梳理好單位信息系統(tǒng)資產(chǎn),明確需要開展等保測評的信息系統(tǒng),管理人員對系統(tǒng)出現(xiàn)問題后的嚴(yán)重程度、影響范圍要做到心里有數(shù),才能確定信息系統(tǒng)需按照哪個級別的要求來開展測評及整改。


在梳理完系統(tǒng)資產(chǎn)后,進行風(fēng)險的評估,評估系統(tǒng)中仍缺乏哪些防護,需要采購的新設(shè)備及服務(wù)等,預(yù)留好相關(guān)的經(jīng)費與整改時間。如管理人員確實對網(wǎng)絡(luò)安全等級保護的開展無相關(guān)概念,可以對測評機構(gòu)或者信息安全服務(wù)商進行咨詢及售前的調(diào)研,了解相關(guān)概念及流程,由安全服務(wù)商給出完善的解決方案。單位對安全服務(wù)商給出的解決方案中需要采購的產(chǎn)品,仍需開展選型工作。產(chǎn)品的選型對管理人員具有極大的意義,可讓管理人員對產(chǎn)品有詳細(xì)的認(rèn)知,避免安全產(chǎn)品完成采購后卻無法實現(xiàn)相關(guān)安全需求,且方便管理人員后續(xù)對設(shè)備的運維管理。


項目的立項極為重要,涉及系統(tǒng)等級的確定、經(jīng)費預(yù)算、整改時間的確定,對后續(xù)的系統(tǒng)整改有較大的影響。建議單位開展前可多與安全服務(wù)商進行溝通咨詢。


等保測評項目的采購,可直接向具有測評資質(zhì)的測評機構(gòu)采購,此類對單位技術(shù)人員的要求較高,需要單位具備專業(yè)安全管理人員且熟悉等保測評標(biāo)準(zhǔn)及流程。如單位缺乏專業(yè)安全管理人員,可向安全服務(wù)商進行采購,由安全服務(wù)商提供全套的解決方案,此處仍建議安全產(chǎn)品的采購經(jīng)過充分的選型,可以由安全服務(wù)商推薦產(chǎn)品,但品牌在經(jīng)過充分選型后再進行采購。


四、要點:等保測評流程


等保測評的流程,主要分四步,定級備案、差距測評、安全整改、驗收測評。


定級備案可自行準(zhǔn)備好相關(guān)材料,主要為定級備案表、定級報告,如單位已做完資產(chǎn)梳理,對填報備案材料的工作會有較大的便利,如前期未做資產(chǎn)梳理,可以在填報材料的同時時開展資產(chǎn)的梳理。此部分也可由安全服務(wù)商開展現(xiàn)場調(diào)研后協(xié)助填報。


差距測評,主要由測評機構(gòu)或安全服務(wù)商根據(jù)等保測評標(biāo)準(zhǔn)先進行一次評估,給出系統(tǒng)問題清單或差距評估報告;評估過程中涉及滲透測試、漏洞掃描的,單位必須先做好數(shù)據(jù)備份,建立相應(yīng)的回退計劃,避免業(yè)務(wù)系統(tǒng)過于老舊在漏洞掃描時由于占用系統(tǒng)資源過多而出現(xiàn)故障,造成數(shù)據(jù)丟失。


安全整改,單位根據(jù)測評機構(gòu)或安全服務(wù)商給出的系統(tǒng)問題清單或差距評估報告,開展安全整改。單位可以由安全服務(wù)商根據(jù)問題清單編寫整改方案,評估系統(tǒng)中缺失的防護手段并進行補充,對于缺乏維保的主機或數(shù)據(jù)庫漏洞,在缺乏專業(yè)技術(shù)人員的條件下,可通過限制地址訪問的方式,規(guī)避漏洞掃描的結(jié)果,這也是一種縱深防御的方法。


驗收測評,在開展安全整改后,如合規(guī)率能達到70%,且不存在高風(fēng)險項,可由測評機構(gòu)開展驗收測評。在通過測評并拿到測評報告后,仍需將測評報告提交網(wǎng)監(jiān)進行備案,在取得報告?zhèn)浒富貓?zhí)后,整個等級保護測評項目完成。


各單位在開展等保建設(shè)時,須正確的看待等保建設(shè)這一工作,以等保這一框架來完善公司的信息安全管理體系,而非消極的采取應(yīng)付的方式來應(yīng)付等保測評。



五、總結(jié)


完成等保測評后,并不意味著你的網(wǎng)絡(luò)安全等級保護建設(shè)已經(jīng)完成,恰恰相反,這意味著你的網(wǎng)絡(luò)安全等級保護建設(shè)才剛剛開始。等保測評,只是給你提供了一個網(wǎng)絡(luò)安全保護的框架,讓你對你的系統(tǒng)的安全風(fēng)險有個更清晰的認(rèn)識,給你一個從管理和技術(shù)不斷優(yōu)化完善的方向。安全建設(shè)是一個持續(xù)改進的過程,網(wǎng)絡(luò)安全的破壞遠比建設(shè)要容易,對于攻擊者來說,只需要找到系統(tǒng)的一個弱點,就可以達到入侵系統(tǒng)的目的,而對于企業(yè)人員來說,必須找到系統(tǒng)的所有弱點,不能有遺漏,才能保證系統(tǒng)不會出現(xiàn)問題。所以安全建設(shè)的縱深防御與持續(xù)改進,是必不可少的。等保的“三同步”原則,正是由此而來,同步規(guī)劃,同步建設(shè),同步使用,讓安全建設(shè)貫穿整個系統(tǒng)生命周期。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號