基于等保2.0要求的_第1页
基于等保2.0要求的_第2页
基于等保2.0要求的_第3页
基于等保2.0要求的_第4页
基于等保2.0要求的_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、等级保护2.0测评时需要关心的重点本文主要内容:? 技术部分安全物理环境,5项安全通信网络,1项安全区域边界,8项安全计算环境,5项? 管理部分安全管理中心,2项安全管理制度,3项安全管理机构,1项安全管理人员,9项安全运维管理,7项针对通用安全部分,三级和四级系统共有45条新增以及容易被忽略的要求向,如下表所小:卜面将会针对这些要求项逐条进行说明技术部分安全物理环境1 .机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员按照以前的标准,门禁系统可以不是电子系统,可以通过流程和人来管控,但在 新的标准中要求必须是电子门禁系统,即使流程管控再严格也是不符合要求的。2 .重要区域应配置第二道

2、电子门禁系统,控制、鉴别和记录进入的人员(四级)针对四级系统的要求,通常机房中会按照区域进行划分,但是对于重要区域的二 道门禁,一般机房目前并无配置,因此这点要注意,尽快安装配备相应设施。3 .应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等本项其实不算大事,但是也是容易忽略的问题。往往进了机房习惯性的上机就开 始操作,不做除电。这里可以在每排机柜上配备一个防静电手环, 在机房制度中 新增一条关于静电消除的操作规范要求,基本可以符合。4 .应设置冗余或并行的电力电缆线路为计算机系统供电要求三级及以上系统所在的机房要具备双路并行电力线路, 来自不同供电站的电 缆,目前大多数自建机房

3、应该是不符合要求,大型 IDC和云机房通常都有相关 设计。不过介于整改比较困难,应该不会作为否决项,只是扣分而已。5 .应提供应急供电设施(四级)1000kw 柴油电(guai)机(wu)针对四级系统的电力要求,基于三级要求,还要额外配备发电机,以应对市政停 电情况。标准中并未提到双发电机的要求, 但是介于冗余性考虑,有条件的可以 配备。如果是大型数据中心,要配置多少台就要看实际规模了, 一般是在10-20 台的机组,采用2N或N+1的配置模式。这不是我们需要关心的,所以看看就 好。数据中心柴油发电机室安全通信网络1.应在通信前基于密码技术对通信的双方进行验证或认证(四级)通常默认情况,我们S

4、SL/TLS的认证是单向的,即只对服务端认证,那么对于 四级系统,新标准要求必须开启双向认证,即同时对客户端也要进行认证。这里 额外说明一下,根据公安三所专家的解读,通信加密所采用的算法应该基于国密 算法(SM1 SM2 SM4 SM9等),而非国际通用加密算法,不过介于目前大多 企业采用的设备不支持国密算法,另一方面国密算法的推广和应用也在逐步完善, 因此个人认为此项也非否决项,只是扣分项,不过未来可能会变为强制要求。(有 关双向认证的细节,可参考本人之前发表的等保 2.0个人解读安全通信网络部 分)安全区域边界1 .应能够对非授权设备私自联到内部网络的行为进行检查或限制(入侵检测)2 .应

5、能够对内部用户非授权联到外部网络的行为进行检查或限制(行为管理)此处两条是东西向的访问检测与限制,目前通过IDPS以及行为管理设备基本可以满足相应要求,测评时可能会查看策略启用效果以及检测和阻断记录,需要注意。3 .应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络首次在标准中提到有关无线网络安全的要求,这里要求比较基础,只要各无线AP 或无线路由均通过AD进行管理和控制即符合。4 .应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断这部分在等保1.0中也有过相关要求描述,但没有如此具体,该项要求完全从 技术上解决目前基本不太可能(

6、当然,如果企业具备将附近基站的数据和语音分 离的权限,那么这想倒是可以从技术上来搞定),通常是管理为主,技术为辅的 方式来控制。毕竟个人热点和无线网卡等应用,很难及时发现。建议重点在制度 上入手,形成意识、管理、流程上的多方面管控,以此达到要求。5 .应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则 数量最小化新要求,重点是要定期优化和清理 ACL以及策略路由等配置,测评时会查看当 前安全策略配置以及规则优化和清理的记录。6 .应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为这里是对策略进行双向(in/out )应用,强调东西双向控制。7 .应采取技术措施对网络行

7、为进行分析,实现对网络攻击特别是新型网络攻击 行为的分析强调对于APT和0day 一类的攻击检测和防护能力,介于目前态势感知和威胁 平台的水平,实现起来很难,而且不是每家都有这么强实力的安全团队。所以, 如果你又某某家的态势感知产品, 通常测评中心不会为难你。对于新型攻击,可 以从人的角度(应急团队、安全团队)来强化管控和预警能力。8 .应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和 数据分析即对外接口的用户行为以及内部访问互联网的用户进行单独审计, 如果在同一套 审计平台中可以建立不同的审计任务, 那么是可以满足要求的。如果不行,可能 就要搭建两套审计平台来实现。不过也不

8、是必须要达到的,属于扣分项。安全计算环境1 .应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞定期漏洞扫描工作,这次不是只扫描就OK 了,对于发现的漏洞要进行验证,确 认漏洞的真实性,然后对于真实漏洞进行整改。很刺激对吧,要验证了哦。2 .应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警这明显说的就是IDPS嘛,同行NGFW也具备同样能力。什么?你们没有防火 墙,抱歉,我只能帮你到这里了,自求多福吧。这条可以直接否了你的本次测评。3 .应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地在老标准的基础上,等保2.0标准明确提出实时备份至异地,不过

9、好在是对于 重要数据,这点各家根据实际情况来权衡吧。 没有的话肯定是GG 了,有的话看 情况,不能做到实时,但是有异地备份,这算是基本符合,不会被判定否决,可 以后期列入整改计划,逐渐完善。中小企业或者云上系统,可以把这锅甩给云供应商;大型企业和自建机房/私有云的公司,建议尽可能完善,不求有功,但求无过。其实基本上等同于双活,只 是没提切换延时的要求。4 .应仅采集和保存业务必需的用户个人信息5 .应禁止未授权访问和非法使用用户个人信息这两条都是关于个人信息保护的要求, 基本就如字面意思。稍微解释一下,一方 面是采集个人信息时,只能采集所需的必要信息,对于这类信息你可以收集,但 是若未授权不得

10、随意访问和修改信息, 也就是说,信息可以放在你们这,但是我 不同意,你就不能看,除非协助公安和相关部门处理特殊事宜时的强制配合。另一方面,信息收集过来后,不可以随便向其收集发送各种推销、 广告以及恶意 链接,这些操作都不可以。也就是说,对于一些常规流氓操作进行了约束和控制, 虽然不知道效果如何,但起码提出了相应要求。这方面,对于那些需要采集个人 信息的系统,是比较难搞的一项要求。靠技术展示基本不大可能,所以就要尽可 能的解释,从管理制度、操作规范、员工培训、惩罚制度、保密协议、流程管控 方面来说明,你们做得如何好,基本这样就差不多了。但是,未来几年,数据安 全是趋势,信息安全和隐私保护都在立法

11、阶段, 后续的监控也会越来越严,因此 建议还是要从实际出发,不要只考虑眼前的测评,多想想以后怎么跟监管解释吧。安全管理中心1 .应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记 录的留存时间符合法律法规要求2 .应能对网络中发生的各类安全事件进行识别、报警和分析这两条要求是对日志留存的要求,等保 2.0标准不再对日志留存时间进行要求 了,但是对于全流量以及安全事件日志必须留存。那么是不是可以不用再存放6个月了呢?请看这里:网络安全法第二十一条:(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。大家懂了吧,所以以前怎么干的,还怎

12、么干管理部分安全管理制度1 .应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、 范围、原则和安全框架等2 .应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理 制度体系3 .应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订这三条要求中,等保2.0标准均有所变化,尤其最后一条,要对合理性和适用 性进行论证,那些模板的东西已经没用了。那么怎么来改呢?方针和策略一般公司都会有,如果没有的话,尽快制定 2020 的IT和安全规划,目标和策略其实可以很简单,好比阿里的三句话策略。但是 要贴合实际,不要胡扯。那么策略、制度

13、、规程、表单(ISO 27001的四级文档)就会配套进行修订,形 成一套体系,如果已通过ISO 27001认证的,可以以此来证明自己已有安全管 理制度体系。没有的,要尽快建立一套贴合业务和IT现状的制度,可以简单点, 只要能落地就好。最后,关于合理性和适用性,一般是对于制度和流程的落地试点情况。 体系比较 完善的企业,在制度发布或修订时会进行内部评审, 通过后才可正式发布。没有 相关流程的企业,可以将此作为缺失的环节,在后续制度体系中增加或完善相应 管理。安全管理机构1 .应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主 管领导担任或授权这点很多公司都没做好,主要体现在两个方

14、面。一是,领导小组架构和职责很明 确,但是岗位责任人是职位(如总经理、安全部总监)而不是人名,这样就无法 做到责任落实,不符合领导小组的初衷;二是,组长的任命是空口说的,没有正 式的任命函或董事会级别的正式通知。这两点如果都能做好,基本就没太大问题 了。2 .应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程,对重 要活动建立逐级审批制度老生常谈的事情,凡是和安全相关的过程记录都要留存(纸质或电子记录均可), 这种东西一般不太好凭空去造,所以还是建议踏踏实实的去建流程,落实制度。 流程可以不够全面,但是一定要能落地,能运行起来。3 .应定期进行全面安全检查,检查内容包括现有安全技术

15、措施的有效性、 安全配 置与安全策略的一致性、安全管理制度的执行情况等等保2.0标准强制要求,定期进行全面安全检查,不只是技术层面,也包括制 度层面。通管局、工信部的安全检查是监管,不属于要求中提到的检查,要各企 业自行组织开展,并形成报告、对发现的问题整改、复测整改情况等。今年没做, 明年要至少进行一次检查工作,类似银保监的安全自查评估。4 .应制定安全检查表格实施安全检查, 汇总安全检查数据,形成安全检查报告, 并对安全检查结果进行通报结合前一项要求,除了自评估安全检查,还要制定检查表,检查过程的现状调研 和检查结果记录表单也要汇总保留。有点类似于风险评估,包括资产、威胁、脆 弱性。这里提

16、一句,某些厂商坑爹的评估也称为风险评估,希望各位多去看看 GB/T 20984,好好了解下什么叫风评,不要随便测测出个报告就叫风评。安全管理人员1.应定期对不同岗位的人员进行技能考核首次提出针对技能进行考核,也就是针对不同岗位(运维、安全、开发、测试等), 进行相关技能培训与考核。可以不用针对每一个IT相关岗位,但是要有一定的 覆盖度,比如今年我们主要侧重运维和安全, 明年主要侧重开发和测试,同时在 制度和培训考核计划中也要有体现。安全建设管理1 .应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证 和审定2 .应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正

17、确性进行论证和审定,经过批准后才能正式实施等保2.0标准开始,不再提倡自主定级,改为由专家进行定级。一般就是由测 评机构或者知名安全厂商来进行定级,出具定级报告,其中包括评审和论证环节 可以是会议记录,也可以是最终的评审报告或定级报告。3 .应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体 规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件本项要求其实是对三同步的要求,即同步规划、同步建设、同步使用。本项不再 多说,已经很熟悉了。(1)同步规划在业务规划的阶段,应当同步纳入安全要求,引入安全措施。如同步建立信息资 产管理情况检查机制,指定专人负责信息资产管理,

18、对信息资产进行统一编号、 统一标识、统一发放,并及时记录信息资产状态和使用情况等安全保障措施。(2)同步建设在项目建设阶段,通过合同条款落实设备供应商、 厂商和其他合作方的责任,保 证相关安全技术措施的顺利准时建设。 保证项目上线时,安全措施的验收和工程 验收同步,外包开发的系统需要进行上线前安全检测, 确保只有符合安全要求的 系统才能上线。(3)同步使用安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平, 且运营者 每年对关键信息基础设施需要进行一次安全检测评估。4 .应制定代码编写安全规范,要求开发人员参照规范编写代码5 .应在软件开发过程中对安全性进行测试,在软件安装前对可能存

19、在的恶意代 码进行检测等保2.0标准首次提出安全开发流程的要求,可以理解为SDL体系。这里明确 指出在编码阶段和测试阶段的安全性要求,均为上线前安全管控。以上两条是针 对自研软件。如果没有建立SDL流程的企业,可以先解决安全编码部分的问题,编码规范应 该都会有的。上线前的安全测试,这块内容目前大多都会去做,如果没做,那我 敬你是个好汉。兄弟,一路走好17176 .应在软件交付前检测其中可能存在的恶意代码7 .应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道这两条是对外包软件安全的要求,也是首次提出要外包开发商提供上线前安全测 试报告、代码审计报告以及源代码。这下甲方开心坏了吧

20、,可以更理直气壮的态 乙方了,虽然以前一直都是。但是介于刚刚实施这么靠谱的要求, 很多乙方是不 接受的,一开始可以双方一起来进行安全测试; 代码审计一般不会要求严格意义 的代码审计报告,可以用扫描加人工验证的方式来进行; 而对于源代码,很对乙 方是说死不给的,可以先提交一部分源码。但这些都是应对本次测评的准备, 从 长远来看,以后对于外包开发要求会规范化,标准化,强制化。 SDL体系建立会 成为趋势。8 .应通过第三方工程监理控制项目的实施过程那么,除了以上这些,乙方觉得没事了么,呵呵。明年开始,外包项目需要聘请第三方监理,对整个项目过程质量进行把控和监督, 并实时汇报和协调。也就是说,除了甲

21、方慰你,以后还有一个第三方监理也要慰 你,爽不爽?9 .应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密 码应用安全性测试相关内容乙方的兄弟,你先别吐血,还没说完呢,这回不是你自己,甲方也要一样受苦, 是不是好受一些了 ?这条要求也是首次提出, 要求系统上线前的安全测试中应包 含密码应用安全性测试。那么,这个密码应用安全性测试又是个什么玩意呢。这是我在查阅了相关制度和 材料得出的结果:商用密码应用安全性评估指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评

22、机构进行评估;在系统建设完成后以 及运行阶段,由测评机构进行评估。哪些系统要做密评密码法(密码法草案已于 2019 年6月10日经国务院常务会议讨论通过)要求国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查。信息安全等级保护商用密码管理办法规定:国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查。在国家密码管理局印发的信息安全等级保护商用密码管理办法实施意见中规定第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测

23、评后方可投入运行。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。 此外,在新版网络安全等级保护条例(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。密评关注哪些方面为规范商用密码应用安全性评估工作,国家密码管理局制定了商用密码应用安全性评估管理办法、商用密码应用安全性测评机构管理办法等有关规定,对测评机构、网络运营者、管理部分三类对象提出了要求,对评估程序、评估方法、监督管理等进行了明确。同时,组织编制了信息系统密码应用基本要求信息系统密码测评要求等标准,及商用密码应用安全性评估测评过程指南(试行)商用密码应用安全性评估测评作业指导书(试行)等指

24、导性文件,指导测评机构规范有序开展评估工作。其中,信息系统密码应用基本要求从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。密评工作当前的进展现阶段,商用密码应用安全性评估试点工作正在有序开展。经过层层评审,截止2018年6月第一批共有 10家测评机构符合测评机构能力要求,具备独立承担并规范开展试点测评任务的能力。中科院DCS中心作为首批通过的优秀测评机构,正在积极参与密码应用安全性评估的各项试点工作,为我国密码事业的发展贡献自己的力量。个人感觉,这项要求类似可信计算,在标准实施初期不做强制要求,以鼓励方式 建议企业开展,

25、但在后期随着技术和要求的成熟,会逐渐成为强制要求项。所以, 明年各位可以不用太担心,先了解一下就好。安全运维管理1 .应编制并保存与保护对象相关的资产清单, 包括资产责任部门、重要程度和所 处位置等内容2 .应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管 理措施对于资产的管理要求,当前大多数企业拥有自己的管控平台, 对于IT资产进行 统一管理。主要就是资产梳理和分级分类。如果没有这类平台,可以用堡垒机临 时替代一下,起码这里不会被扣成零分。3 .应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范 化管理这里是对数据治理提出要求,在管理制度中明确对于信息资产的分类和标识依据 和规范。目前大多企业属

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论