这里总结了一下,针对通用安全部分,三级和四级系统共有45条新增以及容易被忽略的要求向,如下表所示:
下面将会针对这些要求项逐条进行说明。
1.机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
按照以前的标准,门禁系统可以不是电子系统,可以通过流程和人来管控,但在新的标准中要求必须是电子门禁系统,即使流程管控再严格也是不符合要求的。
2.重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员(四级)
针对四级系统的要求,通常机房中会按照区域进行划分,但是对于重要区域的二道门禁,一般机房目前并无配置,因此这点要注意,尽快安装配备相应设施。
3.应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等
本项其实不算大事,但是也是容易忽略的问题。往往进了机房习惯性的上机就开始操作,不做除电。这里可以在每排机柜上配备一个防静电手环,在机房制度中新增一条关于静电消除的操作规范要求,基本可以符合。
4.应设置冗余或并行的电力电缆线路为计算机系统供电
5.应提供应急供电设施(四级)
针对四级系统的电力要求,基于三级要求,还要额外配备发电机,以应对市政停电情况。标准中并未提到双发电机的要求,但是介于冗余性考虑,有条件的可以配备。如果是大型数据中心,要配置多少台就要看实际规模了,一般是在10-20台的机组,采用2N或N+1的配置模式。这不是我们需要关心的,所以看看就好。
1.应在通信前基于密码技术对通信的双方进行验证或认证(四级)
通常默认情况,我们SSL/TLS的认证是单向的,即只对服务端认证,那么对于四级系统,新标准要求必须开启双向认证,即同时对客户端也要进行认证。这里额外说明一下,根据公安三所专家的解读,通信加密所采用的算法应该基于国密算法(SM1、SM2、SM4、SM9等),而非国际通用加密算法,不过介于目前大多企业采用的设备不支持国密算法,另一方面国密算法的推广和应用也在逐步完善,因此个人认为此项也非否决项,只是扣分项,不过未来可能会变为强制要求。(有关双向认证的细节,可参考本人之前发表的等保2.0个人解读安全通信网络部分)
此处两条是东西向的访问检测与限制,目前通过IDPS以及行为管理设备基本可以满足相应要求,测评时可能会查看策略启用效果以及检测和阻断记录,需要注意。
3.应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
首次在标准中提到有关无线网络安全的要求,这里要求比较基础,只要各无线AP或无线路由均通过AD进行管理和控制即符合。
5.应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化
新要求,重点是要定期优化和清理ACL以及策略路由等配置,测评时会查看当前安全策略配置以及规则优化和清理的记录。
6.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
这里是对策略进行双向(in/out)应用,强调东西双向控制。
7.应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析
8.应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
即对外接口的用户行为以及内部访问互联网的用户进行单独审计,如果在同一套审计平台中可以建立不同的审计任务,那么是可以满足要求的。如果不行,可能就要搭建两套审计平台来实现。不过也不是必须要达到的,属于扣分项。
1.应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
2.应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
这明显说的就是IDPS嘛,同行NGFW也具备同样能力。什么?你们没有防火墙,抱歉,我只能帮你到这里了,自求多福吧。这条可以直接否了你的本次测评。
3.应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
在老标准的基础上,等保2.0标准明确提出实时备份至异地,不过好在是对于重要数据,这点各家根据实际情况来权衡吧。没有的话肯定是GG了,有的话看情况,不能做到实时,但是有异地备份,这算是基本符合,不会被判定否决,可以后期列入整改计划,逐渐完善。
中小企业或者云上系统,可以把这锅甩给云供应商;大型企业和自建机房/私有云的公司,建议尽可能完善,不求有功,但求无过。其实基本上等同于双活,只是没提切换延时的要求。
4.应仅采集和保存业务必需的用户个人信息
2.应能对网络中发生的各类安全事件进行识别、报警和分析
请看这里:
网络安全法第二十一条:
大家懂了吧,所以以前怎么干的,还怎么干。
1.应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等
2.应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系
3.应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订
这三条要求中,等保2.0标准均有所变化,尤其最后一条,要对合理性和适用性进行论证,那些模板的东西已经没用了。
那么怎么来改呢?方针和策略一般公司都会有,如果没有的话,尽快制定2020的IT和安全规划,目标和策略其实可以很简单,好比阿里的三句话策略。但是要贴合实际,不要胡扯。
那么策略、制度、规程、表单(ISO27001的四级文档)就会配套进行修订,形成一套体系,如果已通过ISO27001认证的,可以以此来证明自己已有安全管理制度体系。没有的,要尽快建立一套贴合业务和IT现状的制度,可以简单点,只要能落地就好。
这点很多公司都没做好,主要体现在两个方面。一是,领导小组架构和职责很明确,但是岗位责任人是职位(如总经理、安全部总监)而不是人名,这样就无法做到责任落实,不符合领导小组的初衷;二是,组长的任命是空口说的,没有正式的任命函或董事会级别的正式通知。这两点如果都能做好,基本就没太大问题了。
2.应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程,对重要活动建立逐级审批制度
3.应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等
等保2.0标准强制要求,定期进行全面安全检查,不只是技术层面,也包括制度层面。通管局、工信部的安全检查是监管,不属于要求中提到的检查,要各企业自行组织开展,并形成报告、对发现的问题整改、复测整改情况等。今年没做,明年要至少进行一次检查工作,类似银保监的安全自查评估。
4.应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报
结合前一项要求,除了自评估安全检查,还要制定检查表,检查过程的现状调研和检查结果记录表单也要汇总保留。有点类似于风险评估,包括资产、威胁、脆弱性。这里提一句,某些厂商坑爹的评估也称为风险评估,希望各位多去看看GB/T20984,好好了解下什么叫风评,不要随便测测出个报告就叫风评。
1.应定期对不同岗位的人员进行技能考核
等保2.0标准开始,不再提倡自主定级,改为由专家进行定级。一般就是由测评机构或者知名安全厂商来进行定级,出具定级报告,其中包括评审和论证环节。可以是会议记录,也可以是最终的评审报告或定级报告。
本项要求其实是对三同步的要求,即同步规划、同步建设、同步使用。本项不再多说,已经很熟悉了。
(1)同步规划
在业务规划的阶段,应当同步纳入安全要求,引入安全措施。如同步建立信息资产管理情况检查机制,指定专人负责信息资产管理,对信息资产进行统一编号、统一标识、统一发放,并及时记录信息资产状态和使用情况等安全保障措施。
(2)同步建设
(3)同步使用
安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估。
4.应制定代码编写安全规范,要求开发人员参照规范编写代码
5.应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测
等保2.0标准首次提出安全开发流程的要求,可以理解为SDL体系。这里明确指出在编码阶段和测试阶段的安全性要求,均为上线前安全管控。以上两条是针对自研软件。
如果没有建立SDL流程的企业,可以先解决安全编码部分的问题,编码规范应该都会有的。上线前的安全测试,这块内容目前大多都会去做,如果没做,那我敬你是个好汉。
6.应在软件交付前检测其中可能存在的恶意代码
7.应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道
这两条是对外包软件安全的要求,也是首次提出要外包开发商提供上线前安全测试报告、代码审计报告以及源代码。这下甲方开心坏了吧,可以更理直气壮的怼乙方了,虽然以前一直都是。但是介于刚刚实施这么靠谱的要求,很多乙方是不接受的,一开始可以双方一起来进行安全测试;代码审计一般不会要求严格意义的代码审计报告,可以用扫描加人工验证的方式来进行;而对于源代码,很对乙方是说死不给的,可以先提交一部分源码。但这些都是应对本次测评的准备,从长远来看,以后对于外包开发要求会规范化,标准化,强制化。SDL体系建立会成为趋势。
8.应通过第三方工程监理控制项目的实施过程
那么,除了以上这些,乙方觉得没事了么,呵呵。
明年开始,外包项目需要聘请第三方监理,对整个项目过程质量进行把控和监督,并实时汇报和协调。也就是说,除了甲方怼你,以后还有一个第三方监理也要怼你,爽不爽?
乙方的兄弟,你先别吐血,还没说完呢,这回不是你自己,甲方也要一样受苦,是不是好受一些了?这条要求也是首次提出,要求系统上线前的安全测试中应包含密码应用安全性测试。
商用密码应用安全性评估
指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。
哪些系统要做密评
为规范商用密码应用安全性评估工作,国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定,对测评机构、网络运营者、管理部分三类对象提出了要求,对评估程序、评估方法、监督管理等进行了明确。同时,组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准,及《商用密码应用安全性评估测评过程指南(试行)》《商用密码应用安全性评估测评作业指导书(试行)》等指导性文件,指导测评机构规范有序开展评估工作。其中,《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。
密评工作当前的进展
现阶段,商用密码应用安全性评估试点工作正在有序开展。经过层层评审,截止2018年6月第一批共有10家测评机构符合测评机构能力要求,具备独立承担并规范开展试点测评任务的能力。中科院DCS中心作为首批通过的优秀测评机构,正在积极参与密码应用安全性评估的各项试点工作,为我国密码事业的发展贡献自己的力量。
个人感觉,这项要求类似可信计算,在标准实施初期不做强制要求,以鼓励方式建议企业开展,但在后期随着技术和要求的成熟,会逐渐成为强制要求项。所以,明年各位可以不用太担心,先了解一下就好。
2.应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施
3.应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理
4.应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补
这里的要求同前边安全管理中心的全面安全检查可以结合到一起来看,因为最终目的相一致,过程也相似。
5.应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道
等保2.0标准首次提出对于远程运维的要求,原则上不开通远程运维接口。注意,这里是说远程运维,而不是远程用户接入。通常运维人员一般都应该在机房或办公环境内操作,除非特殊情况,会进行远程运维操作,按照要求以后此类操作要事先审批,通过后开通临时接口,操作完成后关闭接口。
6.对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序(信息泄露应急预案)
这两条放在一起来说,都是新要求。先说第一条关于信息泄露重大安全事件,要建立独立处理和报告程序,不能同BCP程序一样。个人观点,可能除了应急处理外,大公司(阿里、腾讯)还要考虑对外公告和说明情况的流程。这部分,因为没有先例,所以不知道什么样的流程算标准方案。建议各家可以交流讨论下,也可以借鉴一下国外的预案。