隨著網絡威脅不斷復雜化和組織化,網絡攻防的“軍備競賽”持續升級,新冠疫情帶來新的網絡威脅,作為網絡安全的“弱勢群體”,安全意識、管理、人才、資金捉襟見肘的中小企業也正面臨越來越嚴峻的“安全鴻溝”問題。
圍繞等保合規建設實現安全管理體系化,是當下中國中小企業全面提升安全防護能力的必要路徑和契機。對于中小企業來說,最常見的誤區是:把等保測評當成“應試”和負擔。事實上等保不是考試,不是為了應付,而是通過等保發現問題解決問題,提高信息系統的安全防護能力。此外,等保只是網絡安全的手段而不是目的,是起點而不是終點。與安全能力“三同步”建設和投資策略匹配的“合規”,才是高效實現“持續安全”和“動態安全”的基礎。
安全牛邀請到了行業資深從業者蔡培特先生,就中小企業等保合規的“痛點”、“難點”和“要點”,給出了深入淺出,簡明扼要的分析和建議,也是中小企業網絡安全建設不可錯過的“快速指南”:
蔡培特
蔡培特:多年IT從業經驗,從事過運營商網絡集成、運營商安全運維、測評機構。為大量大、中、小政企單位開展過安全評估、等保測評、安全加固、體系建設等工作,現從事甲方企業安全建設。
一、痛點:自主開展等保合規建設的意義
自2017年6月1日《中華人民共和國網絡安全法》發布以來,各政企單位等保測評如火如荼的開展。那么為什么要開展等級保護工作呢?主要有以下幾個原因:
第一、滿足國家相關法律法規和制度的要求。等級保護是我國網絡安全的基本政策,網絡安全法規定了我國實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。單位未開展網絡安全等級保護的,發生網絡安全事故或受到監管機構檢查,單位處一萬以上十萬以下罰款,責任人處五千以上五萬以下罰款。目前國內各地公安部門、網信部門依據《網絡安全法》對相關單位進行處罰的案例已有多起。
第二、項目管理可控。自主開展等級保護工作而非由監管機構檢查后責令整改,對單位來說能掌握更多的主動權,時間上也相對充裕許多,在項目管理的角度上來講,時間管理、質量管理及成本管理更加可控。
第三、安全管理體系化,防護能力提升。通過等級保護工作,發現單位信息系統與國家安全標準之間存在的差距,對系統資產的梳理、系統存在的風險點、制度流程的缺陷會有一個更加清晰的認識,查明目前系統存在的安全隱患和不足,通過安全整改之后,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,在相關管理流程上會更體系化。
二、難點:等保測評的問題及解決方案
中小企業在開展等級保護測評,多多少少都會出現些問題,筆者結合自身工作經歷,對所遇的主要問題進行了一個歸納。
管理層缺乏意識。單位管理層在網絡安全方面缺乏意識,認為業務系統能正常運行,并未出現故障,網絡安全等級保護的建設沒有開展的必要。又或者認為業務系統在內網運行,未開放互聯網訪問,可不開展網絡安全等級保護建設。
資產管理混亂。管理人員對信息系統的資產管理缺乏完整的交接,沒有清晰全面的資產清單,造成資產管理的混亂。
缺乏專業人員。單位未配備專業的信息安全管理人員,單位內部可能相關IT管理人員就1至2個,負責網絡管理及桌面運維,說起網絡安全等級保護,可能是一頭霧水,對網絡安全等級保護如何開展沒有概念,無從入手。
系統整改難度大、整改周期長。單位業務系統維保過期,主機層面漏洞、數據庫層面漏洞、應用層面漏洞及網絡層面的漏洞整改需要專業技術人員;業務系統存在的漏洞,整改會對生產業務造成影響,或是造成系統使用的不便,如密碼復雜度、定期改密、超時退出等,在整改推行上會有較大的阻力。
經費缺乏。此問題與管理層缺乏意識也有相關,整改過程中難免會需要采購一些安全設備,比如網絡必須具備入侵檢測手段,在經費缺乏的條件下,無法進行入侵檢測或入侵防御設備采購,無法滿足該測評項,會導致最終無法通過等保測評。
測評或者說等保不是考試,不是為了應付,而是通過等保發現問題解決問題,提高信息系統的安全防護能力。每個單位推行等保工作都會有很多阻礙,但是我們的等級保護工作又不得不做,那怎樣合情合理地開展呢?
(1) 針對管理層缺乏意識、經費缺乏方面,信息化部門負責人必須肩負起信息安全管理的責任,在公司內部不管是管理層還是普通員工,都要做好信息安全意識宣貫,網信部、網監部門會有定期開展信息安全檢查及通報,信息化負責人可收集此類通報情況,開展管理層信息安全意識宣貫,分析網絡安全等級保護建設的必要性及未開展的嚴重性,落實項目經費。
(2) 針對資產管理混亂方面,需加強制度與流程建設,開展變更后及時更新資產清單,定期對資產進行梳理。
(3) 針對專業人員缺乏與系統整改困難方面,單位可在開展項目采購時,采購第三方安全服務,協助單位開展等保測評與整改,整改過程中單位管理人員需關注變更的風險,做好風險評估與回退計劃,在某些測評點無法滿足要求的條件下,非一票否決項的,可采取縱深防御的思路,例如主機層面配置登錄失敗限制等,linux服務器在配置此項時容易導致ssh登錄出現故障,此項如網絡中具備運維審計系統,可通過運維審計系統實現主機登錄管理的登錄失敗限制,前提是網絡做好訪問控制策略限制主機只允許運維審計系統進行登錄管理,當然如果主機能配置該項策略是更為安全的,分別從網絡層及主機層對服務器的登錄失敗進行限制。針對缺乏應用系統維保的,應用系統漏洞無法開展整改的,可以請第三方開發商進行二次開發,或者采用安全設備進行防護,如缺乏日志審計功能,可采用數據庫審計設備,從網絡層對應用層風險進行降低,通過網絡中數據庫操作流量進行抓取記錄,滿足審計要求。
三、要點:項目的立項與采購
等保建設項目的立項,需要先梳理好單位信息系統資產,明確需要開展等保測評的信息系統,管理人員對系統出現問題后的嚴重程度、影響范圍要做到心里有數,才能確定信息系統需按照哪個級別的要求來開展測評及整改。
在梳理完系統資產后,進行風險的評估,評估系統中仍缺乏哪些防護,需要采購的新設備及服務等,預留好相關的經費與整改時間。如管理人員確實對網絡安全等級保護的開展無相關概念,可以對測評機構或者信息安全服務商進行咨詢及售前的調研,了解相關概念及流程,由安全服務商給出完善的解決方案。單位對安全服務商給出的解決方案中需要采購的產品,仍需開展選型工作。產品的選型對管理人員具有極大的意義,可讓管理人員對產品有詳細的認知,避免安全產品完成采購后卻無法實現相關安全需求,且方便管理人員后續對設備的運維管理。
項目的立項極為重要,涉及系統等級的確定、經費預算、整改時間的確定,對后續的系統整改有較大的影響。建議單位開展前可多與安全服務商進行溝通咨詢。
等保測評項目的采購,可直接向具有測評資質的測評機構采購,此類對單位技術人員的要求較高,需要單位具備專業安全管理人員且熟悉等保測評標準及流程。如單位缺乏專業安全管理人員,可向安全服務商進行采購,由安全服務商提供全套的解決方案,此處仍建議安全產品的采購經過充分的選型,可以由安全服務商推薦產品,但品牌在經過充分選型后再進行采購。
四、要點:等保測評流程
等保測評的流程,主要分四步,定級備案、差距測評、安全整改、驗收測評。
定級備案可自行準備好相關材料,主要為定級備案表、定級報告,如單位已做完資產梳理,對填報備案材料的工作會有較大的便利,如前期未做資產梳理,可以在填報材料的同時時開展資產的梳理。此部分也可由安全服務商開展現場調研后協助填報。
差距測評,主要由測評機構或安全服務商根據等保測評標準先進行一次評估,給出系統問題清單或差距評估報告;評估過程中涉及滲透測試、漏洞掃描的,單位必須先做好數據備份,建立相應的回退計劃,避免業務系統過于老舊在漏洞掃描時由于占用系統資源過多而出現故障,造成數據丟失。
安全整改,單位根據測評機構或安全服務商給出的系統問題清單或差距評估報告,開展安全整改。單位可以由安全服務商根據問題清單編寫整改方案,評估系統中缺失的防護手段并進行補充,對于缺乏維保的主機或數據庫漏洞,在缺乏專業技術人員的條件下,可通過限制地址訪問的方式,規避漏洞掃描的結果,這也是一種縱深防御的方法。
驗收測評,在開展安全整改后,如合規率能達到70%,且不存在高風險項,可由測評機構開展驗收測評。在通過測評并拿到測評報告后,仍需將測評報告提交網監進行備案,在取得報告備案回執后,整個等級保護測評項目完成。
各單位在開展等保建設時,須正確的看待等保建設這一工作,以等保這一框架來完善公司的信息安全管理體系,而非消極的采取應付的方式來應付等保測評。
五、總結
完成等保測評后,并不意味著你的網絡安全等級保護建設已經完成,恰恰相反,這意味著你的網絡安全等級保護建設才剛剛開始。等保測評,只是給你提供了一個網絡安全保護的框架,讓你對你的系統的安全風險有個更清晰的認識,給你一個從管理和技術不斷優化完善的方向。
安全建設是一個持續改進的過程,網絡安全的破壞遠比建設要容易,對于攻擊者來說,只需要找到系統的一個弱點,就可以達到入侵系統的目的,而對于企業人員來說,必須找到系統的所有弱點,不能有遺漏,才能保證系統不會出現問題。所以安全建設的縱深防御與持續改進,是必不可少的。等保的“三同步”原則,正是由此而來,同步規劃,同步建設,同步使用,讓安全建設貫穿整個系統生命周期。
