安全建設(shè)整改是指在符合等級保護(hù)的要求的基礎(chǔ)上,對新建或已經(jīng)建的信息系統(tǒng)進(jìn)行建設(shè)和整改;目的是使確定了等級的信息系統(tǒng)能夠達(dá)到相應(yīng)等級的基本的保護(hù)水平和滿足自身需求的安全保護(hù)能力。安全建設(shè)整改工作是開展等級保護(hù)工作的核心和落腳點(diǎn)。無論是定級、測評還是監(jiān)督檢查工作最終都要服從和服務(wù)于安全建設(shè)整改工作。
問:安全建設(shè)整改都包括什么?
答:包括技術(shù)體系建設(shè)和安全管理體系建設(shè)兩大維度。安全技術(shù)體系的設(shè)計(jì)內(nèi)容主要涵蓋“一個(gè)中心、三重防護(hù)”,即安全管理中心、計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全。安全管理體系的建設(shè)內(nèi)容既從全局高度考慮為每個(gè)等級信息系統(tǒng)制定統(tǒng)一的安全管理策略,又從每個(gè)信息系統(tǒng)的實(shí)際需求出發(fā),選擇和調(diào)整具體的安全管理措施,最后形成統(tǒng)一的整體安全管理體系。
問:安全建設(shè)整改的工作流程?
答:信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署——信息系統(tǒng)安全保護(hù)現(xiàn)狀分析——確定安全策略,制定安全建設(shè)整改方案——開展信息系統(tǒng)安全自查和等級測評。
劃重點(diǎn):
● 系統(tǒng)規(guī)劃:在整個(gè)規(guī)劃中要堅(jiān)持安全三同步原則:同步規(guī)劃、同步建設(shè)、同步運(yùn)行,即是需要在不同階段均需要考慮安全需求,并且需要提供相關(guān)記錄文檔。新系統(tǒng)在規(guī)劃中要先定級,先想好是準(zhǔn)備定幾級系統(tǒng),不論對外互聯(lián)網(wǎng)服務(wù),還是對內(nèi)服務(wù)(如果內(nèi)部是和主營業(yè)務(wù)影響不大不用定級),如果是三級系統(tǒng),騰訊等大型互聯(lián)網(wǎng)公司,業(yè)務(wù)面向全國范圍內(nèi),均需要行業(yè)主管部門統(tǒng)一審批(應(yīng)該是公安部,非省公安廳)。
● 系統(tǒng)建設(shè)中包含2個(gè)產(chǎn)品和服務(wù)必須要做的:態(tài)勢感知平臺(做全量數(shù)據(jù)采集、分析、上傳、存儲);等保合規(guī)服務(wù)(包含規(guī)劃、建設(shè)、運(yùn)行等)。
● 系統(tǒng)運(yùn)行:三級核心系統(tǒng)的日志等信息需要上傳到公安部門,以進(jìn)行實(shí)時(shí)監(jiān)控,通過態(tài)勢感知等平臺進(jìn)行統(tǒng)一管理和上傳。如果發(fā)生了重大安全事件,必須要一鍵關(guān)停業(yè)務(wù)。
問:我們單位已經(jīng)按照ISO27000標(biāo)準(zhǔn)建立合規(guī)體系,那么還有必要開展建設(shè)整改工作嗎?
答:等保2.0是ISO 27000標(biāo)準(zhǔn)的升級版,二者在網(wǎng)絡(luò)安全等級分類標(biāo)準(zhǔn)等方面有很大的差異,等級保護(hù)2.0的各項(xiàng)標(biāo)準(zhǔn)無論是從監(jiān)管內(nèi)容、范圍還是手段都更為嚴(yán)格。貴單位雖然通過了ISO 27000標(biāo)準(zhǔn)認(rèn)證,但并不能說明滿足等級保護(hù)2.0的各方面要求。而且,開展等級保護(hù)工作是《網(wǎng)絡(luò)安全法》的規(guī)定,不開展等保工作就是違法。所以,無論什么信息系統(tǒng),目前已按照ISO 27000標(biāo)準(zhǔn)構(gòu)建了合規(guī)體系仍有必要且應(yīng)當(dāng)依法開展等級保護(hù)2.0的工作(被認(rèn)定為第一級的除外)。
問:多久組織一次自查合適?
答:制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項(xiàng)制度、措施的落實(shí)情況,并不斷完善。定期對信息系統(tǒng)安全狀況進(jìn)行自查,第三級信息系統(tǒng)每年自查一次,第四級信息系統(tǒng)每半年自查一次。經(jīng)自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,應(yīng)當(dāng)進(jìn)一步開展整改。
問:等保2.0時(shí)期,設(shè)計(jì)建設(shè)整改方案時(shí),要重點(diǎn)注意什么?
答:等保2.0標(biāo)準(zhǔn)采用“一個(gè)中心、三重防護(hù)” 的理念,從等保1.0標(biāo)準(zhǔn)被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動態(tài)保障體系轉(zhuǎn)變,注重全方位主動防御、安全可信、動態(tài)感知和全面審計(jì)。
下面從物理安全設(shè)計(jì)、主機(jī)系統(tǒng)安全設(shè)計(jì)、備份與恢復(fù)設(shè)計(jì)這三個(gè)方面重點(diǎn)說明:
● 物理安全設(shè)計(jì)
對于不同安全保護(hù)等級子系統(tǒng)各自獨(dú)立使用機(jī)房或獨(dú)立使用某個(gè)部分(區(qū)域)的情況,其獨(dú)立部分可根據(jù)不同安全保護(hù)等級的要求和需求獨(dú)立設(shè)計(jì)。對不同安全保護(hù)等級子系統(tǒng)共用機(jī)房或共用某些部分(區(qū)域)的情況,其共用部分按照最高原則進(jìn)行設(shè)計(jì),也就是就高不就低的原則。
● 主機(jī)系統(tǒng)安全設(shè)計(jì)
主機(jī)系統(tǒng)安全設(shè)計(jì),內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的安全配置,主機(jī)入侵防范、惡意代碼防范、資源使用情況監(jiān)控等功能的實(shí)現(xiàn)。
主機(jī)安全設(shè)計(jì)需要明確規(guī)定操作系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的名稱與版本、應(yīng)安裝的最小化組件與必要補(bǔ)丁、基本的安全配置規(guī)范。
合理的安全配置是確保主機(jī)系統(tǒng)具備的安全功能在業(yè)務(wù)環(huán)境中充分、有效對抗威脅的保證。主要配置內(nèi)容應(yīng)包括身份鑒別(鑒別方式、強(qiáng)度、失敗處理)、訪問控制(控制范圍、嚴(yán)格程度以及實(shí)現(xiàn)方式)、安全審計(jì)(實(shí)現(xiàn)方式、對象和項(xiàng)目的選擇、日志存儲與保護(hù)、數(shù)據(jù)查詢與報(bào)警)等。
● 備份與恢復(fù)設(shè)計(jì)
針對業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時(shí)間間隔、實(shí)現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求。
針對信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計(jì)要考慮連續(xù)性保證方式(設(shè)備冗余、系統(tǒng)級冗余直至遠(yuǎn)程集群支持)與實(shí)現(xiàn)細(xì)節(jié),包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。
問:建設(shè)整改時(shí),新老網(wǎng)絡(luò)如何區(qū)別對待?是要按照標(biāo)準(zhǔn)統(tǒng)一執(zhí)行嗎?
答:各單位在開展網(wǎng)絡(luò)安全建設(shè)整改時(shí),雖然是按照有關(guān)標(biāo)準(zhǔn)要求對每個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行定級的,但實(shí)際開展工作時(shí),對新老系統(tǒng)還是要區(qū)別對待的,切記一刀切。新建網(wǎng)絡(luò),在規(guī)劃設(shè)計(jì)時(shí)就應(yīng)確定其保護(hù)等級,按照網(wǎng)絡(luò)等級同步設(shè)計(jì)、同步建設(shè)、同步實(shí)施的三同步原則保護(hù)技術(shù)措施和管理措施;已有的網(wǎng)絡(luò),可以采取“分區(qū)”、“分域”的方法,按照“整體保護(hù)、綜合防控”的原則進(jìn)行安全建設(shè)方案或整改方案的設(shè)計(jì),對已有系統(tǒng)進(jìn)行加固改造,缺什么就補(bǔ)什么。
問:選擇信息安全產(chǎn)品要注意什么?
答:首先要選擇獲得銷售許可證的網(wǎng)絡(luò)安全產(chǎn)品;其次不同等級的信息系統(tǒng),應(yīng)該使用相應(yīng)等級的網(wǎng)絡(luò)安全產(chǎn)品。國家針對具體的網(wǎng)絡(luò)安全產(chǎn)品類別,制定了一系列等級保護(hù)標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn),從網(wǎng)絡(luò)安全產(chǎn)品的安全功能要求和安全保證要求兩個(gè)方面,將每類網(wǎng)絡(luò)安全產(chǎn)品劃分為不同的等級,安全等級越高,安全功能要求越多,安全功能范圍越廣,安全功能粒度越細(xì),安全保證要求越高。信息系統(tǒng)的等級越高,安全防護(hù)能力的要求越高,信息系統(tǒng)的安全防護(hù)能力,歸根到底必須由具體的網(wǎng)絡(luò)安全產(chǎn)品來實(shí)現(xiàn)。最后要優(yōu)先選擇國產(chǎn)品,你懂的!
問:建設(shè)過程中對人員有什么要求?
答:建設(shè)過程中,無論是甲方還是乙方的實(shí)施人員,均需要持證上崗(CISP、等保測評師、CISSP三種的一種)。要制定包含管理、技術(shù)體系的標(biāo)準(zhǔn)化,并且要確實(shí)落地。
問:整改后達(dá)到什么效果算合格?
答:以第三級信系統(tǒng)為例:經(jīng)過安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力,抵抗較為嚴(yán)重的自然災(zāi)害的能力,防范計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力;具有對安全事件進(jìn)行響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力;對于服務(wù)保障性要求高的系統(tǒng),應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài);具有對系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。
綜上:
等級保護(hù)進(jìn)入2.0時(shí)代,政策驅(qū)動、監(jiān)管加強(qiáng),企業(yè)信息安全合規(guī)將變得更加重要。接下來的等級保護(hù)建設(shè)整改工作,絕不是花錢買產(chǎn)品和服務(wù)就能解決的,測評通過的難度也會增加,在做建設(shè)整改中,等級保護(hù)制度將作為首要因素,合規(guī)才能合法,合法就合規(guī)!
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)
