安全建设整改是指在符合等级保护的要求的基础上,对新建或已经建的信息系统进行建设和整改;目的是使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。安全建设整改工作是开展等级保护工作的核心和落脚点。无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。
问:安全建设整改都包括什么?
答:包括技术体系建设和安全管理体系建设两大维度。安全技术体系的设计内容主要涵盖“一个中心、三重防护”,即安全管理中心、计算环境安全、区域边界安全、通信网络安全。安全管理体系的建设内容既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系。
问:安全建设整改的工作流程?
答:信息系统安全建设整改工作规划和工作部署——信息系统安全保护现状分析——确定安全策略,制定安全建设整改方案——开展信息系统安全自查和等级测评。
划重点:
● 系统规划:在整个规划中要坚持安全三同步原则:同步规划、同步建设、同步运行,即是需要在不同阶段均需要考虑安全需求,并且需要提供相关记录文档。新系统在规划中要先定级,先想好是准备定几级系统,不论对外互联网服务,还是对内服务(如果内部是和主营业务影响不大不用定级),如果是三级系统,腾讯等大型互联网公司,业务面向全国范围内,均需要行业主管部门统一审批(应该是公安部,非省公安厅)。
● 系统建设中包含2个产品和服务必须要做的:态势感知平台(做全量数据采集、分析、上传、存储);等保合规服务(包含规划、建设、运行等)。
● 系统运行:三级核心系统的日志等信息需要上传到公安部门,以进行实时监控,通过态势感知等平台进行统一管理和上传。如果发生了重大安全事件,必须要一键关停业务。
问:我们单位已经按照ISO27000标准建立合规体系,那么还有必要开展建设整改工作吗?
答:等保2.0是ISO 27000标准的升级版,二者在网络安全等级分类标准等方面有很大的差异,等级保护2.0的各项标准无论是从监管内容、范围还是手段都更为严格。贵单位虽然通过了ISO 27000标准认证,但并不能说明满足等级保护2.0的各方面要求。而且,开展等级保护工作是《网络安全法》的规定,不开展等保工作就是违法。所以,无论什么信息系统,目前已按照ISO 27000标准构建了合规体系仍有必要且应当依法开展等级保护2.0的工作(被认定为第一级的除外)。
问:多久组织一次自查合适?
答:制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。
问:等保2.0时期,设计建设整改方案时,要重点注意什么?
答:等保2.0标准采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。
下面从物理安全设计、主机系统安全设计、备份与恢复设计这三个方面重点说明:
● 物理安全设计
对于不同安全保护等级子系统各自独立使用机房或独立使用某个部分(区域)的情况,其独立部分可根据不同安全保护等级的要求和需求独立设计。对不同安全保护等级子系统共用机房或共用某些部分(区域)的情况,其共用部分按照最高原则进行设计,也就是就高不就低的原则。
● 主机系统安全设计
主机系统安全设计,内容包括操作系统或数据库管理系统的安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等功能的实现。
主机安全设计需要明确规定操作系统与数据库管理系统的名称与版本、应安装的最小化组件与必要补丁、基本的安全配置规范。
合理的安全配置是确保主机系统具备的安全功能在业务环境中充分、有效对抗威胁的保证。主要配置内容应包括身份鉴别(鉴别方式、强度、失败处理)、访问控制(控制范围、严格程度以及实现方式)、安全审计(实现方式、对象和项目的选择、日志存储与保护、数据查询与报警)等。
● 备份与恢复设计
针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求。
针对信息系统服务连续性的安全设计要考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包括相关的基础设施支持、冗余相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。
问:建设整改时,新老网络如何区别对待?是要按照标准统一执行吗?
答:各单位在开展网络安全建设整改时,虽然是按照有关标准要求对每个业务系统进行定级的,但实际开展工作时,对新老系统还是要区别对待的,切记一刀切。新建网络,在规划设计时就应确定其保护等级,按照网络等级同步设计、同步建设、同步实施的三同步原则保护技术措施和管理措施;已有的网络,可以采取“分区”、“分域”的方法,按照“整体保护、综合防控”的原则进行安全建设方案或整改方案的设计,对已有系统进行加固改造,缺什么就补什么。
问:选择信息安全产品要注意什么?
答:首先要选择获得销售许可证的网络安全产品;其次不同等级的信息系统,应该使用相应等级的网络安全产品。国家针对具体的网络安全产品类别,制定了一系列等级保护标准。网络安全产品标准,从网络安全产品的安全功能要求和安全保证要求两个方面,将每类网络安全产品划分为不同的等级,安全等级越高,安全功能要求越多,安全功能范围越广,安全功能粒度越细,安全保证要求越高。信息系统的等级越高,安全防护能力的要求越高,信息系统的安全防护能力,归根到底必须由具体的网络安全产品来实现。最后要优先选择国产品,你懂的!
问:建设过程中对人员有什么要求?
答:建设过程中,无论是甲方还是乙方的实施人员,均需要持证上岗(CISP、等保测评师、CISSP三种的一种)。要制定包含管理、技术体系的标准化,并且要确实落地。
问:整改后达到什么效果算合格?
答:以第三级信系统为例:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
综上:
等级保护进入2.0时代,政策驱动、监管加强,企业信息安全合规将变得更加重要。接下来的等级保护建设整改工作,绝不是花钱买产品和服务就能解决的,测评通过的难度也会增加,在做建设整改中,等级保护制度将作为首要因素,合规才能合法,合法就合规!
(本文属知识库及科普性质,资料来源互联网,版权归原作者所有)
