文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

中小企业等保合规的痛点、难点和要点

2024-12-11 20:54

关注

[[331079]]

围绕等保合规建设实现安全管理体系化,是当下中国中小企业全面提升安全防护能力的必要路径和契机。对于中小企业来说,最常见的误区是:把等保测评当成“应试”和负担。事实上等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。此外,等保只是网络安全的手段而不是目的,是起点而不是终点。与安全能力“三同步”建设和投资策略匹配的“合规”,才是高效实现“持续安全”和“动态安全”的基础。

安全牛邀请到了行业资深从业者蔡培特先生,就中小企业等保合规的“痛点”、“难点”和“要点”,给出了深入浅出,简明扼要的分析和建议,也是中小企业网络安全建设不可错过的“快速指南”:

[[331080]]

蔡培特

蔡培特:多年IT从业经验,从事过运营商网络集成、运营商安全运维、测评机构。为大量大、中、小政企单位开展过安全评估、等保测评、安全加固、体系建设等工作,现从事甲方企业安全建设。

一、痛点:自主开展等保合规建设的意义

自2017年6月1日《中华人民共和国网络安全法》发布以来,各政企单位等保测评如火如荼的开展。那么为什么要开展等级保护工作呢?主要有以下几个原因:

第一、满足国家相关法律法规和制度的要求。等级保护是我国网络安全的基本政策,网络安全法规定了我国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。单位未开展网络安全等级保护的,发生网络安全事故或受到监管机构检查,单位处一万以上十万以下罚款,责任人处五千以上五万以下罚款。目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。

第二、项目管理可控。自主开展等级保护工作而非由监管机构检查后责令整改,对单位来说能掌握更多的主动权,时间上也相对充裕许多,在项目管理的角度上来讲,时间管理、质量管理及成本管理更加可控。

第三、安全管理体系化,防护能力提升。通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,对系统资产的梳理、系统存在的风险点、制度流程的缺陷会有一个更加清晰的认识,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,在相关管理流程上会更体系化。

二、难点:等保测评的问题及解决方案

中小企业在开展等级保护测评,多多少少都会出现些问题,笔者结合自身工作经历,对所遇的主要问题进行了一个归纳。

测评或者说等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。每个单位推行等保工作都会有很多阻碍,但是我们的等级保护工作又不得不做,那怎样合情合理地开展呢?

(1) 针对管理层缺乏意识、经费缺乏方面,信息化部门负责人必须肩负起信息安全管理的责任,在公司内部不管是管理层还是普通员工,都要做好信息安全意识宣贯,网信部、网监部门会有定期开展信息安全检查及通报,信息化负责人可收集此类通报情况,开展管理层信息安全意识宣贯,分析网络安全等级保护建设的必要性及未开展的严重性,落实项目经费。

(2) 针对资产管理混乱方面,需加强制度与流程建设,开展变更后及时更新资产清单,定期对资产进行梳理。

(3) 针对专业人员缺乏与系统整改困难方面,单位可在开展项目采购时,采购第三方安全服务,协助单位开展等保测评与整改,整改过程中单位管理人员需关注变更的风险,做好风险评估与回退计划,在某些测评点无法满足要求的条件下,非一票否决项的,可采取纵深防御的思路,例如主机层面配置登录失败限制等,linux服务器在配置此项时容易导致ssh登录出现故障,此项如网络中具备运维审计系统,可通过运维审计系统实现主机登录管理的登录失败限制,前提是网络做好访问控制策略限制主机只允许运维审计系统进行登录管理,当然如果主机能配置该项策略是更为安全的,分别从网络层及主机层对服务器的登录失败进行限制。针对缺乏应用系统维保的,应用系统漏洞无法开展整改的,可以请第三方开发商进行二次开发,或者采用安全设备进行防护,如缺乏日志审计功能,可采用数据库审计设备,从网络层对应用层风险进行降低,通过网络中数据库操作流量进行抓取记录,满足审计要求。

三、要点:项目的立项与采购

等保建设项目的立项,需要先梳理好单位信息系统资产,明确需要开展等保测评的信息系统,管理人员对系统出现问题后的严重程度、影响范围要做到心里有数,才能确定信息系统需按照哪个级别的要求来开展测评及整改。

在梳理完系统资产后,进行风险的评估,评估系统中仍缺乏哪些防护,需要采购的新设备及服务等,预留好相关的经费与整改时间。如管理人员确实对网络安全等级保护的开展无相关概念,可以对测评机构或者信息安全服务商进行咨询及售前的调研,了解相关概念及流程,由安全服务商给出完善的解决方案。单位对安全服务商给出的解决方案中需要采购的产品,仍需开展选型工作。产品的选型对管理人员具有极大的意义,可让管理人员对产品有详细的认知,避免安全产品完成采购后却无法实现相关安全需求,且方便管理人员后续对设备的运维管理。

项目的立项极为重要,涉及系统等级的确定、经费预算、整改时间的确定,对后续的系统整改有较大的影响。建议单位开展前可多与安全服务商进行沟通咨询。

等保测评项目的采购,可直接向具有测评资质的测评机构采购,此类对单位技术人员的要求较高,需要单位具备专业安全管理人员且熟悉等保测评标准及流程。如单位缺乏专业安全管理人员,可向安全服务商进行采购,由安全服务商提供全套的解决方案,此处仍建议安全产品的采购经过充分的选型,可以由安全服务商推荐产品,但品牌在经过充分选型后再进行采购。

四、要点:等保测评流程

等保测评的流程,主要分四步,定级备案、差距测评、安全整改、验收测评。

各单位在开展等保建设时,须正确的看待等保建设这一工作,以等保这一框架来完善公司的信息安全管理体系,而非消极的采取应付的方式来应付等保测评。

五、总结

完成等保测评后,并不意味着你的网络安全等级保护建设已经完成,恰恰相反,这意味着你的网络安全等级保护建设才刚刚开始。等保测评,只是给你提供了一个网络安全保护的框架,让你对你的系统的安全风险有个更清晰的认识,给你一个从管理和技术不断优化完善的方向。

安全建设是一个持续改进的过程,网络安全的破坏远比建设要容易,对于攻击者来说,只需要找到系统的一个弱点,就可以达到入侵系统的目的,而对于企业人员来说,必须找到系统的所有弱点,不能有遗漏,才能保证系统不会出现问题。所以安全建设的纵深防御与持续改进,是必不可少的。等保的“三同步”原则,正是由此而来,同步规划,同步建设,同步使用,让安全建设贯穿整个系统生命周期。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文   

 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯