安全建設(shè)整改是指在符合等級(jí)保護(hù)的要求的基礎(chǔ)上，對(duì)新建或已經(jīng)建的信息系統(tǒng)進(jìn)行建設(shè)和整改；目的是使確定了等級(jí)的信息系統(tǒng)能夠達(dá)到相應(yīng)等級(jí)的基本的保護(hù)水平和滿足自身需求的安全保護(hù)能力。安全建設(shè)整改工作是開展等級(jí)保護(hù)工作的核心和落腳點(diǎn)。無論是定級(jí)、測(cè)評(píng)還是監(jiān)督檢查工作最終都要服從和服務(wù)于安全建設(shè)整改工作。

問：安全建設(shè)整改都包括什么？

答：包括技術(shù)體系建設(shè)和安全管理體系建設(shè)兩大維度。安全技術(shù)體系的設(shè)計(jì)內(nèi)容主要涵蓋“一個(gè)中心、三重防護(hù)”，即安全管理中心、計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全。安全管理體系的建設(shè)內(nèi)容既從全局高度考慮為每個(gè)等級(jí)信息系統(tǒng)制定統(tǒng)一的安全管理策略，又從每個(gè)信息系統(tǒng)的實(shí)際需求出發(fā)，選擇和調(diào)整具體的安全管理措施，最后形成統(tǒng)一的整體安全管理體系。

問：安全建設(shè)整改的工作流程？

答：信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署——信息系統(tǒng)安全保護(hù)現(xiàn)狀分析——確定安全策略，制定安全建設(shè)整改方案——開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)。

劃重點(diǎn)：

● 系統(tǒng)規(guī)劃：在整個(gè)規(guī)劃中要堅(jiān)持安全三同步原則：同步規(guī)劃、同步建設(shè)、同步運(yùn)行，即是需要在不同階段均需要考慮安全需求，并且需要提供相關(guān)記錄文檔。新系統(tǒng)在規(guī)劃中要先定級(jí)，先想好是準(zhǔn)備定幾級(jí)系統(tǒng)，不論對(duì)外互聯(lián)網(wǎng)服務(wù)，還是對(duì)內(nèi)服務(wù)（如果內(nèi)部是和主營(yíng)業(yè)務(wù)影響不大不用定級(jí)），如果是三級(jí)系統(tǒng)，騰訊等大型互聯(lián)網(wǎng)公司，業(yè)務(wù)面向全國(guó)范圍內(nèi)，均需要行業(yè)主管部門統(tǒng)一審批（應(yīng)該是公安部，非省公安廳）。

● 系統(tǒng)建設(shè)中包含2個(gè)產(chǎn)品和服務(wù)必須要做的：態(tài)勢(shì)感知平臺(tái)（做全量數(shù)據(jù)采集、分析、上傳、存儲(chǔ)）；等保合規(guī)服務(wù)（包含規(guī)劃、建設(shè)、運(yùn)行等）。

● 系統(tǒng)運(yùn)行：三級(jí)核心系統(tǒng)的日志等信息需要上傳到公安部門，以進(jìn)行實(shí)時(shí)監(jiān)控，通過態(tài)勢(shì)感知等平臺(tái)進(jìn)行統(tǒng)一管理和上傳。如果發(fā)生了重大安全事件，必須要一鍵關(guān)停業(yè)務(wù)。

問：我們單位已經(jīng)按照ISO27000標(biāo)準(zhǔn)建立合規(guī)體系，那么還有必要開展建設(shè)整改工作嗎？

答：等保2.0是ISO 27000標(biāo)準(zhǔn)的升級(jí)版，二者在網(wǎng)絡(luò)安全等級(jí)分類標(biāo)準(zhǔn)等方面有很大的差異，等級(jí)保護(hù)2.0的各項(xiàng)標(biāo)準(zhǔn)無論是從監(jiān)管內(nèi)容、范圍還是手段都更為嚴(yán)格。貴單位雖然通過了ISO 27000標(biāo)準(zhǔn)認(rèn)證，但并不能說明滿足等級(jí)保護(hù)2.0的各方面要求。而且，開展等級(jí)保護(hù)工作是《網(wǎng)絡(luò)安全法》的規(guī)定，不開展等保工作就是違法。所以，無論什么信息系統(tǒng)，目前已按照ISO 27000標(biāo)準(zhǔn)構(gòu)建了合規(guī)體系仍有必要且應(yīng)當(dāng)依法開展等級(jí)保護(hù)2.0的工作（被認(rèn)定為第一級(jí)的除外）。

問：多久組織一次自查合適？

答：制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善。定期對(duì)信息系統(tǒng)安全狀況進(jìn)行自查，第三級(jí)信息系統(tǒng)每年自查一次，第四級(jí)信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，應(yīng)當(dāng)進(jìn)一步開展整改。

問：等保2.0時(shí)期，設(shè)計(jì)建設(shè)整改方案時(shí)，要重點(diǎn)注意什么？

答：等保2.0標(biāo)準(zhǔn)采用“一個(gè)中心、三重防護(hù)” 的理念，從等保1.0標(biāo)準(zhǔn)被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變，注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì)。

下面從物理安全設(shè)計(jì)、主機(jī)系統(tǒng)安全設(shè)計(jì)、備份與恢復(fù)設(shè)計(jì)這三個(gè)方面重點(diǎn)說明：

● 物理安全設(shè)計(jì)

對(duì)于不同安全保護(hù)等級(jí)子系統(tǒng)各自獨(dú)立使用機(jī)房或獨(dú)立使用某個(gè)部分（區(qū)域）的情況，其獨(dú)立部分可根據(jù)不同安全保護(hù)等級(jí)的要求和需求獨(dú)立設(shè)計(jì)。對(duì)不同安全保護(hù)等級(jí)子系統(tǒng)共用機(jī)房或共用某些部分（區(qū)域）的情況，其共用部分按照最高原則進(jìn)行設(shè)計(jì)，也就是就高不就低的原則。

● 主機(jī)系統(tǒng)安全設(shè)計(jì)

主機(jī)系統(tǒng)安全設(shè)計(jì)，內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫(kù)管理系統(tǒng)的安全配置，主機(jī)入侵防范、惡意代碼防范、資源使用情況監(jiān)控等功能的實(shí)現(xiàn)。

主機(jī)安全設(shè)計(jì)需要明確規(guī)定操作系統(tǒng)與數(shù)據(jù)庫(kù)管理系統(tǒng)的名稱與版本、應(yīng)安裝的最小化組件與必要補(bǔ)丁、基本的安全配置規(guī)范。

合理的安全配置是確保主機(jī)系統(tǒng)具備的安全功能在業(yè)務(wù)環(huán)境中充分、有效對(duì)抗威脅的保證。主要配置內(nèi)容應(yīng)包括身份鑒別（鑒別方式、強(qiáng)度、失敗處理）、訪問控制（控制范圍、嚴(yán)格程度以及實(shí)現(xiàn)方式）、安全審計(jì)（實(shí)現(xiàn)方式、對(duì)象和項(xiàng)目的選擇、日志存儲(chǔ)與保護(hù)、數(shù)據(jù)查詢與報(bào)警）等。

● 備份與恢復(fù)設(shè)計(jì)

針對(duì)業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時(shí)間間隔、實(shí)現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求。

針對(duì)信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計(jì)要考慮連續(xù)性保證方式（設(shè)備冗余、系統(tǒng)級(jí)冗余直至遠(yuǎn)程集群支持）與實(shí)現(xiàn)細(xì)節(jié)，包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。

問：建設(shè)整改時(shí)，新老網(wǎng)絡(luò)如何區(qū)別對(duì)待？是要按照標(biāo)準(zhǔn)統(tǒng)一執(zhí)行嗎？

答：各單位在開展網(wǎng)絡(luò)安全建設(shè)整改時(shí)，雖然是按照有關(guān)標(biāo)準(zhǔn)要求對(duì)每個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行定級(jí)的，但實(shí)際開展工作時(shí)，對(duì)新老系統(tǒng)還是要區(qū)別對(duì)待的，切記一刀切。新建網(wǎng)絡(luò)，在規(guī)劃設(shè)計(jì)時(shí)就應(yīng)確定其保護(hù)等級(jí)，按照網(wǎng)絡(luò)等級(jí)同步設(shè)計(jì)、同步建設(shè)、同步實(shí)施的三同步原則保護(hù)技術(shù)措施和管理措施；已有的網(wǎng)絡(luò)，可以采取“分區(qū)”、“分域”的方法，按照“整體保護(hù)、綜合防控”的原則進(jìn)行安全建設(shè)方案或整改方案的設(shè)計(jì)，對(duì)已有系統(tǒng)進(jìn)行加固改造，缺什么就補(bǔ)什么。

問：選擇信息安全產(chǎn)品要注意什么？

答：首先要選擇獲得銷售許可證的網(wǎng)絡(luò)安全產(chǎn)品；其次不同等級(jí)的信息系統(tǒng)，應(yīng)該使用相應(yīng)等級(jí)的網(wǎng)絡(luò)安全產(chǎn)品。國(guó)家針對(duì)具體的網(wǎng)絡(luò)安全產(chǎn)品類別，制定了一系列等級(jí)保護(hù)標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全產(chǎn)品標(biāo)準(zhǔn)，從網(wǎng)絡(luò)安全產(chǎn)品的安全功能要求和安全保證要求兩個(gè)方面，將每類網(wǎng)絡(luò)安全產(chǎn)品劃分為不同的等級(jí)，安全等級(jí)越高，安全功能要求越多，安全功能范圍越廣，安全功能粒度越細(xì)，安全保證要求越高。信息系統(tǒng)的等級(jí)越高，安全防護(hù)能力的要求越高，信息系統(tǒng)的安全防護(hù)能力，歸根到底必須由具體的網(wǎng)絡(luò)安全產(chǎn)品來實(shí)現(xiàn)。最后要優(yōu)先選擇國(guó)產(chǎn)品，你懂的！

問：建設(shè)過程中對(duì)人員有什么要求？

答：建設(shè)過程中，無論是甲方還是乙方的實(shí)施人員，均需要持證上崗（CISP、等保測(cè)評(píng)師、CISSP三種的一種）。要制定包含管理、技術(shù)體系的標(biāo)準(zhǔn)化，并且要確實(shí)落地。

問：整改后達(dá)到什么效果算合格？

答：以第三級(jí)信系統(tǒng)為例：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。

綜上：

等級(jí)保護(hù)進(jìn)入2.0時(shí)代，政策驅(qū)動(dòng)、監(jiān)管加強(qiáng)，企業(yè)信息安全合規(guī)將變得更加重要。接下來的等級(jí)保護(hù)建設(shè)整改工作，絕不是花錢買產(chǎn)品和服務(wù)就能解決的，測(cè)評(píng)通過的難度也會(huì)增加，在做建設(shè)整改中，等級(jí)保護(hù)制度將作為首要因素，合規(guī)才能合法，合法就合規(guī)！

（本文屬知識(shí)庫(kù)及科普性質(zhì)，資料來源互聯(lián)網(wǎng)，版權(quán)歸原作者所有）