自2017年6月1日《中华人民共和国网络安全法》发布以来,各政企单位等保测评如火如荼的开展。那么为什么要开展等级保护工作呢?主要有以下几个原因:
二、难点:等保测评的问题及解决方案
中小企业在开展等级保护测评,多多少少都会出现些问题,笔者结合自身工作经历,对所遇的主要问题进行了一个归纳。
1、管理层缺乏意识。单位管理层在网络安全方面缺乏意识,认为业务系统能正常运行,并未出现故障,网络安全等级保护的建设没有开展的必要。又或者认为业务系统在内网运行,未开放互联网访问,可不开展网络安全等级保护建设。
2、资产管理混乱。管理人员对信息系统的资产管理缺乏完整的交接,没有清晰全面的资产清单,造成资产管理的混乱。
4、系统整改难度大、整改周期长。单位业务系统维保过期,主机层面漏洞、数据库层面漏洞、应用层面漏洞及网络层面的漏洞整改需要专业技术人员;业务系统存在的漏洞,整改会对生产业务造成影响,或是造成系统使用的不便,如密码复杂度、定期改密、超时退出等,在整改推行上会有较大的阻力。
测评或者说等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。每个单位推行等保工作都会有很多阻碍,我们的等级保护工作又不得不做,那怎样合情合理地开展呢?
1、针对管理层缺乏意识、经费缺乏方面,信息化部门负责人必须肩负起信息安全管理的责任,在公司内部不管是管理层还是普通员工,都要做好信息安全意识宣贯,网信部、网监部门会有定期开展信息安全检查及通报,信息化负责人可收集此类通报情况,开展管理层信息安全意识宣贯,分析网络安全等级保护建设的必要性及未开展的严重性,落实项目经费。
2、针对资产管理混乱方面,需加强制度与流程建设,开展变更后及时更新资产清单,定期对资产进行梳理。
三、要点:项目的立项与采购
等保建设项目的立项,需要先梳理好单位信息系统资产,明确需要开展等保测评的信息系统,管理人员对系统出现问题后的严重程度、影响范围要做到心里有数,才能确定信息系统需按照哪个级别的要求来开展测评及整改。
等保测评项目的采购,可直接向具有测评资质的测评机构采购,此类对单位技术人员的要求较高,需要单位具备专业安全管理人员且熟悉等保测评标准及流程。如单位缺乏专业安全管理人员,可向安全服务商进行采购,由安全服务商提供全套的解决方案,此处仍建议安全产品的采购经过充分的选型,可以由安全服务商推荐产品,但品牌在经过充分选型后再进行采购。
四、要点:等保测评流程
等保测评的流程,主要分四步,定级备案、差距测评、安全整改、验收测评。
差距测评,主要由测评机构或安全服务商根据等保测评标准先进行一次评估,给出系统问题清单或差距评估报告;评估过程中涉及渗透测试、漏洞扫描的,单位必须先做好数据备份,建立相应的回退计划,避免业务系统过于老旧在漏洞扫描时由于占用系统资源过多而出现故障,造成数据丢失。
安全整改,单位根据测评机构或安全服务商给出的系统问题清单或差距评估报告,开展安全整改。单位可以由安全服务商根据问题清单编写整改方案,评估系统中缺失的防护手段并进行补充,对于缺乏维保的主机或数据库漏洞,在缺乏专业技术人员的条件下,可通过限制地址访问的方式,规避漏洞扫描的结果,这也是一种纵深防御的方法。
验收测评,在开展安全整改后,如合规率能达到70%,且不存在高风险项,可由测评机构开展验收测评。在通过测评并拿到测评报告后,仍需将测评报告提交网监进行备案,在取得报告备案回执后,整个等级保护测评项目完成。
各单位在开展等保建设时,须正确的看待等保建设这一工作,以等保这一框架来完善公司的信息安全管理体系,而非消极的采取应付的方式来应付等保测评。
五、
完成等保测评后,并不意味着你的网络安全等级保护建设已经完成,恰恰这意味着你的网络安全等级保护建设才刚刚开始。等保测评,只是给你提供了一个网络安全保护的框架,让你对你的系统的安全风险有个更清晰的认识,给你一个从管理和技术不断优化完善的方向。安全建设是一个持续改进的过程,网络安全的破坏远比建设要容易,对于攻击者来说,只需要找到系统的一个弱点,就可以达到入侵系统的目的,而对于企业人员来说,必须找到系统的所有弱点,不能有遗漏,才能保证系统不会出现问题。安全建设的纵深防御与持续改进,是必不可少的。等保的“三同步”原则,正是由此而来,同步规划,同步建设,同步使用,让安全建设贯穿整个系统生命周期。