安全建設整改是指在符合等級保護的要求的基礎上,對新建或已經建的信息系統進行建設和整改;目的是使確定了等級的信息系統能夠達到相應等級的基本的保護水平和滿足自身需求的安全保護能力。安全建設整改工作是開展等級保護工作的核心和落腳點。無論是定級、測評還是監督檢查工作最終都要服從和服務于安全建設整改工作。
問:安全建設整改都包括什么?
答:包括技術體系建設和安全管理體系建設兩大維度。安全技術體系的設計內容主要涵蓋“一個中心、三重防護”,即安全管理中心、計算環境安全、區域邊界安全、通信網絡安全。安全管理體系的建設內容既從全局高度考慮為每個等級信息系統制定統一的安全管理策略,又從每個信息系統的實際需求出發,選擇和調整具體的安全管理措施,最后形成統一的整體安全管理體系。
問:安全建設整改的工作流程?
答:信息系統安全建設整改工作規劃和工作部署——信息系統安全保護現狀分析——確定安全策略,制定安全建設整改方案——開展信息系統安全自查和等級測評。
劃重點:
● 系統規劃:在整個規劃中要堅持安全三同步原則:同步規劃、同步建設、同步運行,即是需要在不同階段均需要考慮安全需求,并且需要提供相關記錄文檔。新系統在規劃中要先定級,先想好是準備定幾級系統,不論對外互聯網服務,還是對內服務(如果內部是和主營業務影響不大不用定級),如果是三級系統,騰訊等大型互聯網公司,業務面向全國范圍內,均需要行業主管部門統一審批(應該是公安部,非省公安廳)。
● 系統建設中包含2個產品和服務必須要做的:態勢感知平臺(做全量數據采集、分析、上傳、存儲);等保合規服務(包含規劃、建設、運行等)。
● 系統運行:三級核心系統的日志等信息需要上傳到公安部門,以進行實時監控,通過態勢感知等平臺進行統一管理和上傳。如果發生了重大安全事件,必須要一鍵關停業務。
問:我們單位已經按照ISO27000標準建立合規體系,那么還有必要開展建設整改工作嗎?
答:等保2.0是ISO 27000標準的升級版,二者在網絡安全等級分類標準等方面有很大的差異,等級保護2.0的各項標準無論是從監管內容、范圍還是手段都更為嚴格。貴單位雖然通過了ISO 27000標準認證,但并不能說明滿足等級保護2.0的各方面要求。而且,開展等級保護工作是《網絡安全法》的規定,不開展等保工作就是違法。所以,無論什么信息系統,目前已按照ISO 27000標準構建了合規體系仍有必要且應當依法開展等級保護2.0的工作(被認定為第一級的除外)。
問:多久組織一次自查合適?
答:制定安全檢查制度,明確檢查的內容、方式、要求等,檢查各項制度、措施的落實情況,并不斷完善。定期對信息系統安全狀況進行自查,第三級信息系統每年自查一次,第四級信息系統每半年自查一次。經自查,信息系統安全狀況未達到安全保護等級要求的,應當進一步開展整改。
問:等保2.0時期,設計建設整改方案時,要重點注意什么?
答:等保2.0標準采用“一個中心、三重防護” 的理念,從等保1.0標準被動防御的安全體系向事前預防、事中響應、事后審計的動態保障體系轉變,注重全方位主動防御、安全可信、動態感知和全面審計。
下面從物理安全設計、主機系統安全設計、備份與恢復設計這三個方面重點說明:
● 物理安全設計
對于不同安全保護等級子系統各自獨立使用機房或獨立使用某個部分(區域)的情況,其獨立部分可根據不同安全保護等級的要求和需求獨立設計。對不同安全保護等級子系統共用機房或共用某些部分(區域)的情況,其共用部分按照最高原則進行設計,也就是就高不就低的原則。
● 主機系統安全設計
主機系統安全設計,內容包括操作系統或數據庫管理系統的安全配置,主機入侵防范、惡意代碼防范、資源使用情況監控等功能的實現。
主機安全設計需要明確規定操作系統與數據庫管理系統的名稱與版本、應安裝的最小化組件與必要補丁、基本的安全配置規范。
合理的安全配置是確保主機系統具備的安全功能在業務環境中充分、有效對抗威脅的保證。主要配置內容應包括身份鑒別(鑒別方式、強度、失敗處理)、訪問控制(控制范圍、嚴格程度以及實現方式)、安全審計(實現方式、對象和項目的選擇、日志存儲與保護、數據查詢與報警)等。
● 備份與恢復設計
針對業務數據安全的數據備份系統可考慮數據備份的范圍、時間間隔、實現技術與介質以及數據備份線路的速率以及相關通信設備的規格和要求。
針對信息系統服務連續性的安全設計要考慮連續性保證方式(設備冗余、系統級冗余直至遠程集群支持)與實現細節,包括相關的基礎設施支持、冗余相關的基礎設施支持、冗余/集群機制的選擇、硬件設備的功能/性能指標以及軟硬件的部署形式與參數配置等。
問:建設整改時,新老網絡如何區別對待?是要按照標準統一執行嗎?
答:各單位在開展網絡安全建設整改時,雖然是按照有關標準要求對每個業務系統進行定級的,但實際開展工作時,對新老系統還是要區別對待的,切記一刀切。新建網絡,在規劃設計時就應確定其保護等級,按照網絡等級同步設計、同步建設、同步實施的三同步原則保護技術措施和管理措施;已有的網絡,可以采取“分區”、“分域”的方法,按照“整體保護、綜合防控”的原則進行安全建設方案或整改方案的設計,對已有系統進行加固改造,缺什么就補什么。
問:選擇信息安全產品要注意什么?
答:首先要選擇獲得銷售許可證的網絡安全產品;其次不同等級的信息系統,應該使用相應等級的網絡安全產品。國家針對具體的網絡安全產品類別,制定了一系列等級保護標準。網絡安全產品標準,從網絡安全產品的安全功能要求和安全保證要求兩個方面,將每類網絡安全產品劃分為不同的等級,安全等級越高,安全功能要求越多,安全功能范圍越廣,安全功能粒度越細,安全保證要求越高。信息系統的等級越高,安全防護能力的要求越高,信息系統的安全防護能力,歸根到底必須由具體的網絡安全產品來實現。最后要優先選擇國產品,你懂的!
問:建設過程中對人員有什么要求?
答:建設過程中,無論是甲方還是乙方的實施人員,均需要持證上崗(CISP、等保測評師、CISSP三種的一種)。要制定包含管理、技術體系的標準化,并且要確實落地。
問:整改后達到什么效果算合格?
答:以第三級信系統為例:經過安全建設整改,信息系統在統一的安全保護策略下具有抵御大規模、較強惡意攻擊的能力,抵抗較為嚴重的自然災害的能力,防范計算機病毒和惡意代碼危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行響應處置,并能夠追蹤安全責任的能力;在系統遭到損害后,具有能夠較快恢復正常運行狀態的能力;對于服務保障性要求高的系統,應能快速恢復正常運行狀態;具有對系統資源、用戶、安全機制等進行集中控管的能力。
綜上:
等級保護進入2.0時代,政策驅動、監管加強,企業信息安全合規將變得更加重要。接下來的等級保護建設整改工作,絕不是花錢買產品和服務就能解決的,測評通過的難度也會增加,在做建設整改中,等級保護制度將作為首要因素,合規才能合法,合法就合規!
(本文屬知識庫及科普性質,資料來源互聯網,版權歸原作者所有)
