等保2.0正式實施,這些重點幫你劃好了

2019-12-03 503144人圍觀 ,發現 14 個不明物體 企業安全

前言

12 月 1 日,等級保護 2.0 標準正式實施,不過因為是在年底,大多數企業等級測評工作已經完成,所以重頭戲應該在明年,這也是國家給企業充足的學習和整改時間。那么,在這個空檔期,來和大家聊聊等級保護 2.0 測評時有哪些需要關心的重點吧。

有關新老標準的變化,可以參考之前文章或三所的解讀,不再重復,這里說說比較接地氣的東西吧。

這里總結了一下,針對通用安全部分,三級和四級系統共有 45 條新增以及容易被忽略的要求向,如下表所示:

image001.png

下面將會針對這些要求項逐條進行說明。

技術部分

安全物理環境

1.機房出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員

image002.jpg

按照以前的標準,門禁系統可以不是電子系統,可以通過流程和人來管控,但在新的標準中要求必須是電子門禁系統,即使流程管控再嚴格也是不符合要求的。

2.重要區域應配置第二道電子門禁系統,控制、鑒別和記錄進入的人員(四級)

針對四級系統的要求,通常機房中會按照區域進行劃分,但是對于重要區域的二道門禁,一般機房目前并無配置,因此這點要注意,盡快安裝配備相應設施。

3.應采取措施防止靜電的產生,例如采用靜電消除器、佩戴防靜電手環等

本項其實不算大事,但是也是容易忽略的問題。往往進了機房習慣性的上機就開始操作,不做除電。這里可以在每排機柜上配備一個防靜電手環,在機房制度中新增一條關于靜電消除的操作規范要求,基本可以符合。

4.應設置冗余或并行的電力電纜線路為計算機系統供電

要求三級及以上系統所在的機房要具備雙路并行電力線路,來自不同供電站的電纜,目前大多數自建機房應該是不符合要求,大型 IDC 和云機房通常都有相關設計。不過介于整改比較困難,應該不會作為否決項,只是扣分而已。

5.應提供應急供電設施(四級)

image003.jpg

1000kw 柴油電(guai)機(wu)

針對四級系統的電力要求,基于三級要求,還要額外配備發電機,以應對市政停電情況。標準中并未提到雙發電機的要求,但是介于冗余性考慮,有條件的可以配備。如果是大型數據中心,要配置多少臺就要看實際規模了,一般是在 10-20 臺的機組,采用 2N 或 N+1 的配置模式。這不是我們需要關心的,所以看看就好。

image004.png

數據中心柴油發電機室

安全通信網絡

1.應在通信前基于密碼技術對通信的雙方進行驗證或認證(四級)

通常默認情況,我們 SSL/TLS 的認證是單向的,即只對服務端認證,那么對于四級系統,新標準要求必須開啟雙向認證,即同時對客戶端也要進行認證。這里額外說明一下,根據公安三所專家的解讀,通信加密所采用的算法應該基于國密算法(SM1、SM2、SM4、SM9 等),而非國際通用加密算法,不過介于目前大多企業采用的設備不支持國密算法,另一方面國密算法的推廣和應用也在逐步完善,因此個人認為此項也非否決項,只是扣分項,不過未來可能會變為強制要求。(有關雙向認證的細節,可參考本人之前發表的等保 2.0 個人解讀安全通信網絡部分)

安全區域邊界

1.應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制(入侵檢測)

2.應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制(行為管理)

此處兩條是東西向的訪問檢測與限制,目前通過 IDPS 以及行為管理設備基本可以滿足相應要求,測評時可能會查看策略啟用效果以及檢測和阻斷記錄,需要注意。

3.應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡

首次在標準中提到有關無線網絡安全的要求,這里要求比較基礎,只要各無線 AP 或無線路由均通過 AD 進行管理和控制即符合。

4.應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時,對其進行有效阻斷

這部分在等保 1.0 中也有過相關要求描述,但沒有如此具體,該項要求完全從技術上解決目前基本不太可能(當然,如果企業具備將附近基站的數據和語音分離的權限,那么這想倒是可以從技術上來搞定),通常是管理為主,技術為輔的方式來控制。畢竟個人熱點和無線網卡等應用,很難及時發現。建議重點在制度上入手,形成意識、管理、流程上的多方面管控,以此達到要求。

5.應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化

新要求,重點是要定期優化和清理 ACL 以及策略路由等配置,測評時會查看當前安全策略配置以及規則優化和清理的記錄。

6.應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為

這里是對策略進行雙向(in/out)應用,強調東西雙向控制。

7.應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析

強調對于 APT 和 0day 一類的攻擊檢測和防護能力,介于目前態勢感知和威脅平臺的水平,實現起來很難,而且不是每家都有這么強實力的安全團隊。所以,如果你又某某家的態勢感知產品,通常測評中心不會為難你。對于新型攻擊,可以從人的角度(應急團隊、安全團隊)來強化管控和預警能力。

8.應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析

即對外接口的用戶行為以及內部訪問互聯網的用戶進行單獨審計,如果在同一套審計平臺中可以建立不同的審計任務,那么是可以滿足要求的。如果不行,可能就要搭建兩套審計平臺來實現。不過也不是必須要達到的,屬于扣分項。

安全計算環境

1.應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞

定期漏洞掃描工作,這次不是只掃描就 OK 了,對于發現的漏洞要進行驗證,確認漏洞的真實性,然后對于真實漏洞進行整改。很刺激對吧,要驗證了哦。

image005.png

2.應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警

這明顯說的就是 IDPS 嘛,同行 NGFW 也具備同樣能力。什么?你們沒有防火墻,抱歉,我只能幫你到這里了,自求多福吧。這條可以直接否了你的本次測評。

image006.png

3.應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地

在老標準的基礎上,等保 2.0 標準明確提出實時備份至異地,不過好在是對于重要數據,這點各家根據實際情況來權衡吧。沒有的話肯定是 GG 了,有的話看情況,不能做到實時,但是有異地備份,這算是基本符合,不會被判定否決,可以后期列入整改計劃,逐漸完善。

image007.png

中小企業或者云上系統,可以把這鍋甩給云供應商;大型企業和自建機房/私有云的公司,建議盡可能完善,不求有功,但求無過。其實基本上等同于雙活,只是沒提切換延時的要求。

4.應僅采集和保存業務必需的用戶個人信息

5.應禁止未授權訪問和非法使用用戶個人信息

這兩條都是關于個人信息保護的要求,基本就如字面意思。稍微解釋一下,一方面是采集個人信息時,只能采集所需的必要信息,對于這類信息你可以收集,但是若未授權不得隨意訪問和修改信息,也就是說,信息可以放在你們這,但是我不同意,你就不能看,除非協助公安和相關部門處理特殊事宜時的強制配合。

image008.png

另一方面,信息收集過來后,不可以隨便向其收集發送各種推銷、廣告以及惡意鏈接,這些操作都不可以。也就是說,對于一些常規流氓操作進行了約束和控制,雖然不知道效果如何,但起碼提出了相應要求。這方面,對于那些需要采集個人信息的系統,是比較難搞的一項要求。靠技術展示基本不大可能,所以就要盡可能的解釋,從管理制度、操作規范、員工培訓、懲罰制度、保密協議、流程管控方面來說明,你們做得如何好,基本這樣就差不多了。但是,未來幾年,數據安全是趨勢,信息安全和隱私保護都在立法階段,后續的監控也會越來越嚴,因此建議還是要從實際出發,不要只考慮眼前的測評,多想想以后怎么跟監管解釋吧。

安全管理中心

1.應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求

2.應能對網絡中發生的各類安全事件進行識別、報警和分析

這兩條要求是對日志留存的要求,等保 2.0 標準不再對日志留存時間進行要求了,但是對于全流量以及安全事件日志必須留存。那么是不是可以不用再存放 6 個月了呢?

image009.png

請看這里:

網絡安全法第二十一條:

(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。

大家懂了吧,所以以前怎么干的,還怎么干。

管理部分

安全管理制度

1.應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、范圍、原則和安全框架等

2.應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系

3.應定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂

這三條要求中,等保 2.0 標準均有所變化,尤其最后一條,要對合理性和適用性進行論證,那些模板的東西已經沒用了。

那么怎么來改呢?方針和策略一般公司都會有,如果沒有的話,盡快制定 2020 的 IT 和安全規劃,目標和策略其實可以很簡單,好比阿里的三句話策略。但是要貼合實際,不要胡扯。

那么策略、制度、規程、表單(ISO 27001 的四級文檔)就會配套進行修訂,形成一套體系,如果已通過 ISO 27001 認證的,可以以此來證明自己已有安全管理制度體系。沒有的,要盡快建立一套貼合業務和 IT 現狀的制度,可以簡單點,只要能落地就好。

最后,關于合理性和適用性,一般是對于制度和流程的落地試點情況。體系比較完善的企業,在制度發布或修訂時會進行內部評審,通過后才可正式發布。沒有相關流程的企業,可以將此作為缺失的環節,在后續制度體系中增加或完善相應管理。

安全管理機構

1.應成立指導和管理網絡安全工作的委員會或領導小組,其最高領導由單位主管領導擔任或授權

這點很多公司都沒做好,主要體現在兩個方面。一是,領導小組架構和職責很明確,但是崗位責任人是職位(如總經理、安全部總監)而不是人名,這樣就無法做到責任落實,不符合領導小組的初衷;二是,組長的任命是空口說的,沒有正式的任命函或董事會級別的正式通知。這兩點如果都能做好,基本就沒太大問題了。

2.應針對系統變更、重要操作、物理訪問和系統接入等事項執行審批過程,對重要活動建立逐級審批制度

老生常談的事情,凡是和安全相關的過程記錄都要留存(紙質或電子記錄均可),這種東西一般不太好憑空去造,所以還是建議踏踏實實的去建流程,落實制度。流程可以不夠全面,但是一定要能落地,能運行起來。

3.應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等

等保 2.0 標準強制要求,定期進行全面安全檢查,不只是技術層面,也包括制度層面。通管局、工信部的安全檢查是監管,不屬于要求中提到的檢查,要各企業自行組織開展,并形成報告、對發現的問題整改、復測整改情況等。今年沒做,明年要至少進行一次檢查工作,類似銀保監的安全自查評估。

4.應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報

結合前一項要求,除了自評估安全檢查,還要制定檢查表,檢查過程的現狀調研和檢查結果記錄表單也要匯總保留。有點類似于風險評估,包括資產、威脅、脆弱性。這里提一句,某些廠商坑爹的評估也稱為風險評估,希望各位多去看看 GB/T 20984,好好了解下什么叫風評,不要隨便測測出個報告就叫風評。

安全管理人員

1.應定期對不同崗位的人員進行技能考核

首次提出針對技能進行考核,也就是針對不同崗位(運維、安全、開發、測試等),進行相關技能培訓與考核。可以不用針對每一個 IT 相關崗位,但是要有一定的覆蓋度,比如今年我們主要側重運維和安全,明年主要側重開發和測試,同時在制度和培訓考核計劃中也要有體現。

安全建設管理

1.應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定

2.應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正確性進行論證和審定,經過批準后才能正式實施

等保 2.0 標準開始,不再提倡自主定級,改為由專家進行定級。一般就是由測評機構或者知名安全廠商來進行定級,出具定級報告,其中包括評審和論證環節。可以是會議記錄,也可以是最終的評審報告或定級報告。

3.應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計,設計內容應包含密碼技術相關內容,并形成配套文件

本項要求其實是對三同步的要求,即同步規劃、同步建設、同步使用。本項不再多說,已經很熟悉了。

(1)同步規劃

在業務規劃的階段,應當同步納入安全要求,引入安全措施。如同步建立信息資產管理情況檢查機制,指定專人負責信息資產管理,對信息資產進行統一編號、統一標識、 統一發放,并及時記錄信息資產狀態和使用情況等安全保障措施。

(2)同步建設

在項目建設階段,通過合同條款落實設備供應商、廠商和其他合作方的責任,保證相關安全技術措施的順利準時建設。保證項目上線時,安全措施的驗收和工程驗收同步,外包開發的系統需要進行上線前安全檢測,確保只有符合安全要求的系統才能上線。

(3)同步使用

安全驗收后的日常運營維護中,應當保持系統處于持續安全防護水平,且運營者每年對關鍵信息基礎設施需要進行一次安全檢測評估。

4.應制定代碼編寫安全規范,要求開發人員參照規范編寫代碼

5.應在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測

等保 2.0 標準首次提出安全開發流程的要求,可以理解為 SDL 體系。這里明確指出在編碼階段和測試階段的安全性要求,均為上線前安全管控。以上兩條是針對自研軟件。

如果沒有建立 SDL 流程的企業,可以先解決安全編碼部分的問題,編碼規范應該都會有的。上線前的安全測試,這塊內容目前大多都會去做,如果沒做,那我敬你是個好漢。

image010.gif

6.應在軟件交付前檢測其中可能存在的惡意代碼

7.應保證開發單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道

這兩條是對外包軟件安全的要求,也是首次提出要外包開發商提供上線前安全測試報告、代碼審計報告以及源代碼。這下甲方開心壞了吧,可以更理直氣壯的懟乙方了,雖然以前一直都是。但是介于剛剛實施這么靠譜的要求,很多乙方是不接受的,一開始可以雙方一起來進行安全測試;代碼審計一般不會要求嚴格意義的代碼審計報告,可以用掃描加人工驗證的方式來進行;而對于源代碼,很對乙方是說死不給的,可以先提交一部分源碼。但這些都是應對本次測評的準備,從長遠來看,以后對于外包開發要求會規范化,標準化,強制化。SDL 體系建立會成為趨勢。

8.應通過第三方工程監理控制項目的實施過程

那么,除了以上這些,乙方覺得沒事了么,呵呵。

image011.png

明年開始,外包項目需要聘請第三方監理,對整個項目過程質量進行把控和監督,并實時匯報和協調。也就是說,除了甲方懟你,以后還有一個第三方監理也要懟你,爽不爽?

9.應進行上線前的安全性測試,并出具安全測試報告, 安全測試報告應包含密碼應用安全性測試相關內容

乙方的兄弟,你先別吐血,還沒說完呢,這回不是你自己,甲方也要一樣受苦,是不是好受一些了?這條要求也是首次提出,要求系統上線前的安全測試中應包含密碼應用安全性測試。

那么,這個密碼應用安全性測試又是個什么玩意呢。這是我在查閱了相關制度和材料得出的結果:

商用密碼應用安全性評估

指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。按照商用密碼應用安全性評估管理的要求,在系統規劃階段,可組織專家或委托測評機構進行評估;在系統建設完成后以及運行階段,由測評機構進行評估。

哪些系統要做密評

《密碼法》(《密碼法草案》已于 2019 年 6 月 10 日經國務院常務會議討論通過)要求「國家對關鍵信息基礎設施的密碼應用安全性進行分類分級評估,按照國家安全審查的要求對影響或者可能影響國家安全的密碼產品、密碼相關服務和密碼保障系統進行安全審查」。《信息安全等級保護商用密碼管理辦法》規定:「國家密碼管理局和省、自治區、直轄市密碼管理機構對第三級及以上信息系統使用商用密碼的情況進行檢查」。在國家密碼管理局印發的《信息安全等級保護商用密碼管理辦法實施意見》中規定「第三級及以上信息系統的商用密碼應用系統,應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行」。這些制度明確了信息安全等級保護第三級及以上信息系統的商用密碼應用和測評要求。此外,在新版《網絡安全等級保護條例》(征求意見稿)明確要求在規劃、建設、運行階段開展密碼應用安全性評估。

密評關注哪些方面

為規范商用密碼應用安全性評估工作,國家密碼管理局制定了《商用密碼應用安全性評估管理辦法》、《商用密碼應用安全性測評機構管理辦法》等有關規定,對測評機構、網絡運營者、管理部分三類對象提出了要求,對評估程序、評估方法、監督管理等進行了明確。同時,組織編制了《信息系統密碼應用基本要求》《信息系統密碼測評要求》等標準,及《商用密碼應用安全性評估測評過程指南(試行)》《商用密碼應用安全性評估測評作業指導書(試行)》等指導性文件,指導測評機構規范有序開展評估工作。其中,《信息系統密碼應用基本要求》從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理以及安全管理六個方面提出密碼應用安全性評估指標。

密評工作當前的進展

現階段,商用密碼應用安全性評估試點工作正在有序開展。經過層層評審,截止 2018 年 6 月第一批共有 10 家測評機構符合測評機構能力要求,具備獨立承擔并規范開展試點測評任務的能力。中科院 DCS 中心作為首批通過的優秀測評機構,正在積極參與密碼應用安全性評估的各項試點工作,為我國密碼事業的發展貢獻自己的力量。

個人感覺,這項要求類似可信計算,在標準實施初期不做強制要求,以鼓勵方式建議企業開展,但在后期隨著技術和要求的成熟,會逐漸成為強制要求項。所以,明年各位可以不用太擔心,先了解一下就好。

安全運維管理

1.應編制并保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容

2.應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施

對于資產的管理要求,當前大多數企業擁有自己的管控平臺,對于 IT 資產進行統一管理。主要就是資產梳理和分級分類。如果沒有這類平臺,可以用堡壘機臨時替代一下,起碼這里不會被扣成零分。

3.應對信息分類與標識方法做出規定,并對信息的使用、傳輸和存儲等進行規范化管理

這里是對數據治理提出要求,在管理制度中明確對于信息資產的分類和標識依據和規范。目前大多企業屬于空白領域,明年有關數據安全和數據治理會很熱門,因為明年 3 月 DSMM 會正式發布。本項要求其實不用很在意,明年測評時除了一些大廠,大家基本同一起跑線,你沒做我也沒做,沒關系,列入后續的工作計劃中。

4.應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補

這里的要求同前邊安全管理中心的全面安全檢查可以結合到一起來看,因為最終目的相一致,過程也相似。

5.應嚴格控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道

等保 2.0 標準首次提出對于遠程運維的要求,原則上不開通遠程運維接口。注意,這里是說遠程運維,而不是遠程用戶接入。通常運維人員一般都應該在機房或辦公環境內操作,除非特殊情況,會進行遠程運維操作,按照要求以后此類操作要事先審批,通過后開通臨時接口,操作完成后關閉接口。

如果沒有遠程運維需求的企業,這點不用關心。有些企業受業務所限,必須遠程操作,那么就要按照要求把相關制度規定,流程,審批記錄,操作記錄,接口關閉記錄都留存好,以備現場檢查。

6.對造成系統中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序(信息泄露應急預案)

7.應定期對系統相關的人員進行應急預案培訓,并進行應急預案的演練(出演練外,要組織應急預案的專項培訓)

這兩條放在一起來說,都是新要求。先說第一條關于信息泄露重大安全事件,要建立獨立處理和報告程序,不能同 BCP 程序一樣。個人觀點,可能除了應急處理外,大公司(阿里、騰訊)還要考慮對外公告和說明情況的流程。這部分,因為沒有先例,所以不知道什么樣的流程算標準方案。建議各家可以交流討論下,也可以借鑒一下國外的預案。

第二條比較好理解,也是新要求,說的是要針對應急預案每年進行培訓,不是演練,是培訓哦!測評時會查看培訓的 PPT,以及培訓簽到記錄(可以是電子記錄)和培訓計劃。

最后

OK,以上是我認為等級保護 2.0 中新增的一些重點以及測評時要注意的內容,希望對各位能有所幫助。最后,祝賀等級保護 2.0 制度順利實施,也預祝各位能早日通過新標準下的測評。文章只代表個人觀點,僅供參考。

*本文原創作者:宇宸,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載

相關推薦
發表評論

已有 14 條評論

取消
Loading...
宇宸默安

看頭像就知道,超兇的。╮(╯▽╰)╭

32 文章數 77 評論數 16 關注者

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗