安全建設(shè)整改是指在符合等級保護的要求的基礎(chǔ)上,對新建或已經(jīng)建的信息系統(tǒng)進行建設(shè)和整改;目的是使確定了等級的信息系統(tǒng)能夠達到相應(yīng)等級的基本的保護水平和滿足自身需求的安全保護能力。安全建設(shè)整改工作是開展等級保護工作的核心和落腳點。無論是定級、測評還是監(jiān)督檢查工作最終都要服從和服務(wù)于安全建設(shè)整改工作。
問:安全建設(shè)整改都包括什么?
答:包括技術(shù)體系建設(shè)和安全管理體系建設(shè)兩大維度。安全技術(shù)體系的設(shè)計內(nèi)容主要涵蓋“一個中心、三重防護”,即安全管理中心、計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全。安全管理體系的建設(shè)內(nèi)容既從全局高度考慮為每個等級信息系統(tǒng)制定統(tǒng)一的安全管理策略,又從每個信息系統(tǒng)的實際需求出發(fā),選擇和調(diào)整具體的安全管理措施,最后形成統(tǒng)一的整體安全管理體系。
問:安全建設(shè)整改的工作流程?
答:信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署——信息系統(tǒng)安全保護現(xiàn)狀分析——確定安全策略,制定安全建設(shè)整改方案——開展信息系統(tǒng)安全自查和等級測評。
劃重點:
● 系統(tǒng)規(guī)劃:在整個規(guī)劃中要堅持安全三同步原則:同步規(guī)劃、同步建設(shè)、同步運行,即是需要在不同階段均需要考慮安全需求,并且需要提供相關(guān)記錄文檔。新系統(tǒng)在規(guī)劃中要先定級,先想好是準備定幾級系統(tǒng),不論對外互聯(lián)網(wǎng)服務(wù),還是對內(nèi)服務(wù)(如果內(nèi)部是和主營業(yè)務(wù)影響不大不用定級),如果是三級系統(tǒng),騰訊等大型互聯(lián)網(wǎng)公司,業(yè)務(wù)面向全國范圍內(nèi),均需要行業(yè)主管部門統(tǒng)一審批(應(yīng)該是公安部,非省公安廳)。
● 系統(tǒng)建設(shè)中包含2個產(chǎn)品和服務(wù)必須要做的:態(tài)勢感知平臺(做全量數(shù)據(jù)采集、分析、上傳、存儲);等保合規(guī)服務(wù)(包含規(guī)劃、建設(shè)、運行等)。
● 系統(tǒng)運行:三級核心系統(tǒng)的日志等信息需要上傳到公安部門,以進行實時監(jiān)控,通過態(tài)勢感知等平臺進行統(tǒng)一管理和上傳。如果發(fā)生了重大安全事件,必須要一鍵關(guān)停業(yè)務(wù)。
問:我們單位已經(jīng)按照ISO27000標準建立合規(guī)體系,那么還有必要開展建設(shè)整改工作嗎?
答:等保2.0是ISO 27000標準的升級版,二者在網(wǎng)絡(luò)安全等級分類標準等方面有很大的差異,等級保護2.0的各項標準無論是從監(jiān)管內(nèi)容、范圍還是手段都更為嚴格。貴單位雖然通過了ISO 27000標準認證,但并不能說明滿足等級保護2.0的各方面要求。而且,開展等級保護工作是《網(wǎng)絡(luò)安全法》的規(guī)定,不開展等保工作就是違法。所以,無論什么信息系統(tǒng),目前已按照ISO 27000標準構(gòu)建了合規(guī)體系仍有必要且應(yīng)當依法開展等級保護2.0的工作(被認定為第一級的除外)。
問:多久組織一次自查合適?
答:制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項制度、措施的落實情況,并不斷完善。定期對信息系統(tǒng)安全狀況進行自查,第三級信息系統(tǒng)每年自查一次,第四級信息系統(tǒng)每半年自查一次。經(jīng)自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,應(yīng)當進一步開展整改。
問:等保2.0時期,設(shè)計建設(shè)整改方案時,要重點注意什么?
答:等保2.0標準采用“一個中心、三重防護” 的理念,從等保1.0標準被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變,注重全方位主動防御、安全可信、動態(tài)感知和全面審計。
下面從物理安全設(shè)計、主機系統(tǒng)安全設(shè)計、備份與恢復(fù)設(shè)計這三個方面重點說明:
● 物理安全設(shè)計
對于不同安全保護等級子系統(tǒng)各自獨立使用機房或獨立使用某個部分(區(qū)域)的情況,其獨立部分可根據(jù)不同安全保護等級的要求和需求獨立設(shè)計。對不同安全保護等級子系統(tǒng)共用機房或共用某些部分(區(qū)域)的情況,其共用部分按照最高原則進行設(shè)計,也就是就高不就低的原則。
● 主機系統(tǒng)安全設(shè)計
主機系統(tǒng)安全設(shè)計,內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的安全配置,主機入侵防范、惡意代碼防范、資源使用情況監(jiān)控等功能的實現(xiàn)。
主機安全設(shè)計需要明確規(guī)定操作系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的名稱與版本、應(yīng)安裝的最小化組件與必要補丁、基本的安全配置規(guī)范。
合理的安全配置是確保主機系統(tǒng)具備的安全功能在業(yè)務(wù)環(huán)境中充分、有效對抗威脅的保證。主要配置內(nèi)容應(yīng)包括身份鑒別(鑒別方式、強度、失敗處理)、訪問控制(控制范圍、嚴格程度以及實現(xiàn)方式)、安全審計(實現(xiàn)方式、對象和項目的選擇、日志存儲與保護、數(shù)據(jù)查詢與報警)等。
● 備份與恢復(fù)設(shè)計
針對業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時間間隔、實現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求。
針對信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計要考慮連續(xù)性保證方式(設(shè)備冗余、系統(tǒng)級冗余直至遠程集群支持)與實現(xiàn)細節(jié),包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機制的選擇、硬件設(shè)備的功能/性能指標以及軟硬件的部署形式與參數(shù)配置等。
問:建設(shè)整改時,新老網(wǎng)絡(luò)如何區(qū)別對待?是要按照標準統(tǒng)一執(zhí)行嗎?
答:各單位在開展網(wǎng)絡(luò)安全建設(shè)整改時,雖然是按照有關(guān)標準要求對每個業(yè)務(wù)系統(tǒng)進行定級的,但實際開展工作時,對新老系統(tǒng)還是要區(qū)別對待的,切記一刀切。新建網(wǎng)絡(luò),在規(guī)劃設(shè)計時就應(yīng)確定其保護等級,按照網(wǎng)絡(luò)等級同步設(shè)計、同步建設(shè)、同步實施的三同步原則保護技術(shù)措施和管理措施;已有的網(wǎng)絡(luò),可以采取“分區(qū)”、“分域”的方法,按照“整體保護、綜合防控”的原則進行安全建設(shè)方案或整改方案的設(shè)計,對已有系統(tǒng)進行加固改造,缺什么就補什么。
問:選擇信息安全產(chǎn)品要注意什么?
答:首先要選擇獲得銷售許可證的網(wǎng)絡(luò)安全產(chǎn)品;其次不同等級的信息系統(tǒng),應(yīng)該使用相應(yīng)等級的網(wǎng)絡(luò)安全產(chǎn)品。國家針對具體的網(wǎng)絡(luò)安全產(chǎn)品類別,制定了一系列等級保護標準。網(wǎng)絡(luò)安全產(chǎn)品標準,從網(wǎng)絡(luò)安全產(chǎn)品的安全功能要求和安全保證要求兩個方面,將每類網(wǎng)絡(luò)安全產(chǎn)品劃分為不同的等級,安全等級越高,安全功能要求越多,安全功能范圍越廣,安全功能粒度越細,安全保證要求越高。信息系統(tǒng)的等級越高,安全防護能力的要求越高,信息系統(tǒng)的安全防護能力,歸根到底必須由具體的網(wǎng)絡(luò)安全產(chǎn)品來實現(xiàn)。最后要優(yōu)先選擇國產(chǎn)品,你懂的!
問:建設(shè)過程中對人員有什么要求?
答:建設(shè)過程中,無論是甲方還是乙方的實施人員,均需要持證上崗(CISP、等保測評師、CISSP三種的一種)。要制定包含管理、技術(shù)體系的標準化,并且要確實落地。
問:整改后達到什么效果算合格?
答:以第三級信系統(tǒng)為例:經(jīng)過安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力,抵抗較為嚴重的自然災(zāi)害的能力,防范計算機病毒和惡意代碼危害的能力;具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力;具有對安全事件進行響應(yīng)處置,并能夠追蹤安全責任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運行狀態(tài)的能力;對于服務(wù)保障性要求高的系統(tǒng),應(yīng)能快速恢復(fù)正常運行狀態(tài);具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。
綜上:
等級保護進入2.0時代,政策驅(qū)動、監(jiān)管加強,企業(yè)信息安全合規(guī)將變得更加重要。接下來的等級保護建設(shè)整改工作,絕不是花錢買產(chǎn)品和服務(wù)就能解決的,測評通過的難度也會增加,在做建設(shè)整改中,等級保護制度將作為首要因素,合規(guī)才能合法,合法就合規(guī)!
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)