12 月 1 日，等級(jí)保護(hù) 2.0 標(biāo)準(zhǔn)正式實(shí)施，不過(guò)因?yàn)槭窃谀甑?，大多?shù)企業(yè)等級(jí)測(cè)評(píng)工作已經(jīng)完成，所以重頭戲應(yīng)該在明年，這也是國(guó)家給企業(yè)充足的學(xué)習(xí)和整改時(shí)間。那么，在這個(gè)空檔期，來(lái)和大家聊聊等級(jí)保護(hù) 2.0 測(cè)評(píng)時(shí)有哪些需要關(guān)心的重點(diǎn)吧。

有關(guān)新老標(biāo)準(zhǔn)的變化，可以參考之前文章或三所的解讀，不再重復(fù)，這里說(shuō)說(shuō)比較接地氣的東西吧。

這里總結(jié)了一下，針對(duì)通用安全部分，三級(jí)和四級(jí)系統(tǒng)共有 45 條新增以及容易被忽略的要求向，如下表所示：

下面將會(huì)針對(duì)這些要求項(xiàng)逐條進(jìn)行說(shuō)明。

技術(shù)部分

安全物理環(huán)境

1.機(jī)房出入口應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員

按照以前的標(biāo)準(zhǔn)，門(mén)禁系統(tǒng)可以不是電子系統(tǒng)，可以通過(guò)流程和人來(lái)管控，但在新的標(biāo)準(zhǔn)中要求必須是電子門(mén)禁系統(tǒng)，即使流程管控再?lài)?yán)格也是不符合要求的。

2.重要區(qū)域應(yīng)配置第二道電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員（四級(jí)）

針對(duì)四級(jí)系統(tǒng)的要求，通常機(jī)房中會(huì)按照區(qū)域進(jìn)行劃分，但是對(duì)于重要區(qū)域的二道門(mén)禁，一般機(jī)房目前并無(wú)配置，因此這點(diǎn)要注意，盡快安裝配備相應(yīng)設(shè)施。

3.應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等

本項(xiàng)其實(shí)不算大事，但是也是容易忽略的問(wèn)題。往往進(jìn)了機(jī)房習(xí)慣性的上機(jī)就開(kāi)始操作，不做除電。這里可以在每排機(jī)柜上配備一個(gè)防靜電手環(huán)，在機(jī)房制度中新增一條關(guān)于靜電消除的操作規(guī)范要求，基本可以符合。

4.應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電

要求三級(jí)及以上系統(tǒng)所在的機(jī)房要具備雙路并行電力線路，來(lái)自不同供電站的電纜，目前大多數(shù)自建機(jī)房應(yīng)該是不符合要求，大型 IDC 和云機(jī)房通常都有相關(guān)設(shè)計(jì)。不過(guò)介于整改比較困難，應(yīng)該不會(huì)作為否決項(xiàng)，只是扣分而已。

5.應(yīng)提供應(yīng)急供電設(shè)施（四級(jí)）

針對(duì)四級(jí)系統(tǒng)的電力要求，基于三級(jí)要求，還要額外配備發(fā)電機(jī)，以應(yīng)對(duì)市政停電情況。標(biāo)準(zhǔn)中并未提到雙發(fā)電機(jī)的要求，但是介于冗余性考慮，有條件的可以配備。如果是大型數(shù)據(jù)中心，要配置多少臺(tái)就要看實(shí)際規(guī)模了，一般是在 10-20 臺(tái)的機(jī)組，采用 2N 或 N+1 的配置模式。這不是我們需要關(guān)心的，所以看看就好。

安全通信網(wǎng)絡(luò)

1.應(yīng)在通信前基于密碼技術(shù)對(duì)通信的雙方進(jìn)行驗(yàn)證或認(rèn)證（四級(jí)）

通常默認(rèn)情況，我們 SSL/TLS 的認(rèn)證是單向的，即只對(duì)服務(wù)端認(rèn)證，那么對(duì)于四級(jí)系統(tǒng)，新標(biāo)準(zhǔn)要求必須開(kāi)啟雙向認(rèn)證，即同時(shí)對(duì)客戶(hù)端也要進(jìn)行認(rèn)證。這里額外說(shuō)明一下，根據(jù)公安三所專(zhuān)家的解讀，通信加密所采用的算法應(yīng)該基于國(guó)密算法（SM1、SM2、SM4、SM9 等），而非國(guó)際通用加密算法，不過(guò)介于目前大多企業(yè)采用的設(shè)備不支持國(guó)密算法，另一方面國(guó)密算法的推廣和應(yīng)用也在逐步完善，因此個(gè)人認(rèn)為此項(xiàng)也非否決項(xiàng)，只是扣分項(xiàng)，不過(guò)未來(lái)可能會(huì)變?yōu)閺?qiáng)制要求。（有關(guān)雙向認(rèn)證的細(xì)節(jié)，可參考本人之前發(fā)表的等保 2.0 個(gè)人解讀安全通信網(wǎng)絡(luò)部分）

安全區(qū)域邊界

1.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制（入侵檢測(cè)）

2.應(yīng)能夠?qū)?nèi)部用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制（行為管理）

此處兩條是東西向的訪問(wèn)檢測(cè)與限制，目前通過(guò) IDPS 以及行為管理設(shè)備基本可以滿(mǎn)足相應(yīng)要求，測(cè)評(píng)時(shí)可能會(huì)查看策略啟用效果以及檢測(cè)和阻斷記錄，需要注意。

3.應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，保證無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)

首次在標(biāo)準(zhǔn)中提到有關(guān)無(wú)線網(wǎng)絡(luò)安全的要求，這里要求比較基礎(chǔ)，只要各無(wú)線 AP 或無(wú)線路由均通過(guò) AD 進(jìn)行管理和控制即符合。

4.應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為時(shí)，對(duì)其進(jìn)行有效阻斷

這部分在等保 1.0 中也有過(guò)相關(guān)要求描述，但沒(méi)有如此具體，該項(xiàng)要求完全從技術(shù)上解決目前基本不太可能（當(dāng)然，如果企業(yè)具備將附近基站的數(shù)據(jù)和語(yǔ)音分離的權(quán)限，那么這想倒是可以從技術(shù)上來(lái)搞定），通常是管理為主，技術(shù)為輔的方式來(lái)控制。畢竟個(gè)人熱點(diǎn)和無(wú)線網(wǎng)卡等應(yīng)用，很難及時(shí)發(fā)現(xiàn)。建議重點(diǎn)在制度上入手，形成意識(shí)、管理、流程上的多方面管控，以此達(dá)到要求。

5.應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化

新要求，重點(diǎn)是要定期優(yōu)化和清理 ACL 以及策略路由等配置，測(cè)評(píng)時(shí)會(huì)查看當(dāng)前安全策略配置以及規(guī)則優(yōu)化和清理的記錄。

6.應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為

這里是對(duì)策略進(jìn)行雙向（in/out）應(yīng)用，強(qiáng)調(diào)東西雙向控制。

7.應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析

強(qiáng)調(diào)對(duì)于 APT 和 0day 一類(lèi)的攻擊檢測(cè)和防護(hù)能力，介于目前態(tài)勢(shì)感知和威脅平臺(tái)的水平，實(shí)現(xiàn)起來(lái)很難，而且不是每家都有這么強(qiáng)實(shí)力的安全團(tuán)隊(duì)。所以，如果你又某某家的態(tài)勢(shì)感知產(chǎn)品，通常測(cè)評(píng)中心不會(huì)為難你。對(duì)于新型攻擊，可以從人的角度（應(yīng)急團(tuán)隊(duì)、安全團(tuán)隊(duì)）來(lái)強(qiáng)化管控和預(yù)警能力。

8.應(yīng)能對(duì)遠(yuǎn)程訪問(wèn)的用戶(hù)行為、訪問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析

即對(duì)外接口的用戶(hù)行為以及內(nèi)部訪問(wèn)互聯(lián)網(wǎng)的用戶(hù)進(jìn)行單獨(dú)審計(jì)，如果在同一套審計(jì)平臺(tái)中可以建立不同的審計(jì)任務(wù)，那么是可以滿(mǎn)足要求的。如果不行，可能就要搭建兩套審計(jì)平臺(tái)來(lái)實(shí)現(xiàn)。不過(guò)也不是必須要達(dá)到的，屬于扣分項(xiàng)。

安全計(jì)算環(huán)境

1.應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞

定期漏洞掃描工作，這次不是只掃描就 OK 了，對(duì)于發(fā)現(xiàn)的漏洞要進(jìn)行驗(yàn)證，確認(rèn)漏洞的真實(shí)性，然后對(duì)于真實(shí)漏洞進(jìn)行整改。很刺激對(duì)吧，要驗(yàn)證了哦。

2.應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警

這明顯說(shuō)的就是 IDPS 嘛，同行 NGFW 也具備同樣能力。什么？你們沒(méi)有防火墻，抱歉，我只能幫你到這里了，自求多福吧。這條可以直接否了你的本次測(cè)評(píng)。

3.應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地

在老標(biāo)準(zhǔn)的基礎(chǔ)上，等保 2.0 標(biāo)準(zhǔn)明確提出實(shí)時(shí)備份至異地，不過(guò)好在是對(duì)于重要數(shù)據(jù)，這點(diǎn)各家根據(jù)實(shí)際情況來(lái)權(quán)衡吧。沒(méi)有的話肯定是 GG 了，有的話看情況，不能做到實(shí)時(shí)，但是有異地備份，這算是基本符合，不會(huì)被判定否決，可以后期列入整改計(jì)劃，逐漸完善。

中小企業(yè)或者云上系統(tǒng)，可以把這鍋甩給云供應(yīng)商；大型企業(yè)和自建機(jī)房/私有云的公司，建議盡可能完善，不求有功，但求無(wú)過(guò)。其實(shí)基本上等同于雙活，只是沒(méi)提切換延時(shí)的要求。

4.應(yīng)僅采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息

5.應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶(hù)個(gè)人信息

這兩條都是關(guān)于個(gè)人信息保護(hù)的要求，基本就如字面意思。稍微解釋一下，一方面是采集個(gè)人信息時(shí)，只能采集所需的必要信息，對(duì)于這類(lèi)信息你可以收集，但是若未授權(quán)不得隨意訪問(wèn)和修改信息，也就是說(shuō)，信息可以放在你們這，但是我不同意，你就不能看，除非協(xié)助公安和相關(guān)部門(mén)處理特殊事宜時(shí)的強(qiáng)制配合。

另一方面，信息收集過(guò)來(lái)后，不可以隨便向其收集發(fā)送各種推銷(xiāo)、廣告以及惡意鏈接，這些操作都不可以。也就是說(shuō)，對(duì)于一些常規(guī)流氓操作進(jìn)行了約束和控制，雖然不知道效果如何，但起碼提出了相應(yīng)要求。這方面，對(duì)于那些需要采集個(gè)人信息的系統(tǒng)，是比較難搞的一項(xiàng)要求?？考夹g(shù)展示基本不大可能，所以就要盡可能的解釋?zhuān)瑥墓芾碇贫取⒉僮饕?guī)范、員工培訓(xùn)、懲罰制度、保密協(xié)議、流程管控方面來(lái)說(shuō)明，你們做得如何好，基本這樣就差不多了。但是，未來(lái)幾年，數(shù)據(jù)安全是趨勢(shì)，信息安全和隱私保護(hù)都在立法階段，后續(xù)的監(jiān)控也會(huì)越來(lái)越嚴(yán)，因此建議還是要從實(shí)際出發(fā)，不要只考慮眼前的測(cè)評(píng)，多想想以后怎么跟監(jiān)管解釋吧。

安全管理中心

1.應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求

2.應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類(lèi)安全事件進(jìn)行識(shí)別、報(bào)警和分析

這兩條要求是對(duì)日志留存的要求，等保 2.0 標(biāo)準(zhǔn)不再對(duì)日志留存時(shí)間進(jìn)行要求了，但是對(duì)于全流量以及安全事件日志必須留存。那么是不是可以不用再存放 6 個(gè)月了呢？

請(qǐng)看這里：

網(wǎng)絡(luò)安全法第二十一條：

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

大家懂了吧，所以以前怎么干的，還怎么干。

管理部分

安全管理制度

1.應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等

2.應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系

3.應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂

這三條要求中，等保 2.0 標(biāo)準(zhǔn)均有所變化，尤其最后一條，要對(duì)合理性和適用性進(jìn)行論證，那些模板的東西已經(jīng)沒(méi)用了。

那么怎么來(lái)改呢？方針和策略一般公司都會(huì)有，如果沒(méi)有的話，盡快制定 2020 的 IT 和安全規(guī)劃，目標(biāo)和策略其實(shí)可以很簡(jiǎn)單，好比阿里的三句話策略。但是要貼合實(shí)際，不要胡扯。

那么策略、制度、規(guī)程、表單（ISO 27001 的四級(jí)文檔）就會(huì)配套進(jìn)行修訂，形成一套體系，如果已通過(guò) ISO 27001 認(rèn)證的，可以以此來(lái)證明自己已有安全管理制度體系。沒(méi)有的，要盡快建立一套貼合業(yè)務(wù)和 IT 現(xiàn)狀的制度，可以簡(jiǎn)單點(diǎn)，只要能落地就好。

最后，關(guān)于合理性和適用性，一般是對(duì)于制度和流程的落地試點(diǎn)情況。體系比較完善的企業(yè)，在制度發(fā)布或修訂時(shí)會(huì)進(jìn)行內(nèi)部評(píng)審，通過(guò)后才可正式發(fā)布。沒(méi)有相關(guān)流程的企業(yè)，可以將此作為缺失的環(huán)節(jié)，在后續(xù)制度體系中增加或完善相應(yīng)管理。

安全管理機(jī)構(gòu)

1.應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)

這點(diǎn)很多公司都沒(méi)做好，主要體現(xiàn)在兩個(gè)方面。一是，領(lǐng)導(dǎo)小組架構(gòu)和職責(zé)很明確，但是崗位責(zé)任人是職位（如總經(jīng)理、安全部總監(jiān)）而不是人名，這樣就無(wú)法做到責(zé)任落實(shí)，不符合領(lǐng)導(dǎo)小組的初衷；二是，組長(zhǎng)的任命是空口說(shuō)的，沒(méi)有正式的任命函或董事會(huì)級(jí)別的正式通知。這兩點(diǎn)如果都能做好，基本就沒(méi)太大問(wèn)題了。

2.應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐級(jí)審批制度

老生常談的事情，凡是和安全相關(guān)的過(guò)程記錄都要留存（紙質(zhì)或電子記錄均可），這種東西一般不太好憑空去造，所以還是建議踏踏實(shí)實(shí)的去建流程，落實(shí)制度。流程可以不夠全面，但是一定要能落地，能運(yùn)行起來(lái)。

3.應(yīng)定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等

等保 2.0 標(biāo)準(zhǔn)強(qiáng)制要求，定期進(jìn)行全面安全檢查，不只是技術(shù)層面，也包括制度層面。通管局、工信部的安全檢查是監(jiān)管，不屬于要求中提到的檢查，要各企業(yè)自行組織開(kāi)展，并形成報(bào)告、對(duì)發(fā)現(xiàn)的問(wèn)題整改、復(fù)測(cè)整改情況等。今年沒(méi)做，明年要至少進(jìn)行一次檢查工作，類(lèi)似銀保監(jiān)的安全自查評(píng)估。

4.應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)

結(jié)合前一項(xiàng)要求，除了自評(píng)估安全檢查，還要制定檢查表，檢查過(guò)程的現(xiàn)狀調(diào)研和檢查結(jié)果記錄表單也要匯總保留。有點(diǎn)類(lèi)似于風(fēng)險(xiǎn)評(píng)估，包括資產(chǎn)、威脅、脆弱性。這里提一句，某些廠商坑爹的評(píng)估也稱(chēng)為風(fēng)險(xiǎn)評(píng)估，希望各位多去看看 GB/T 20984，好好了解下什么叫風(fēng)評(píng)，不要隨便測(cè)測(cè)出個(gè)報(bào)告就叫風(fēng)評(píng)。

安全管理人員

1.應(yīng)定期對(duì)不同崗位的人員進(jìn)行技能考核

首次提出針對(duì)技能進(jìn)行考核，也就是針對(duì)不同崗位（運(yùn)維、安全、開(kāi)發(fā)、測(cè)試等），進(jìn)行相關(guān)技能培訓(xùn)與考核?？梢圆挥冕槍?duì)每一個(gè) IT 相關(guān)崗位，但是要有一定的覆蓋度，比如今年我們主要側(cè)重運(yùn)維和安全，明年主要側(cè)重開(kāi)發(fā)和測(cè)試，同時(shí)在制度和培訓(xùn)考核計(jì)劃中也要有體現(xiàn)。

安全建設(shè)管理

1.應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定

2.應(yīng)組織相關(guān)部門(mén)和有關(guān)安全專(zhuān)家對(duì)安全整體規(guī)劃及其配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過(guò)批準(zhǔn)后才能正式實(shí)施

等保 2.0 標(biāo)準(zhǔn)開(kāi)始，不再提倡自主定級(jí)，改為由專(zhuān)家進(jìn)行定級(jí)。一般就是由測(cè)評(píng)機(jī)構(gòu)或者知名安全廠商來(lái)進(jìn)行定級(jí)，出具定級(jí)報(bào)告，其中包括評(píng)審和論證環(huán)節(jié)?？梢允菚?huì)議記錄，也可以是最終的評(píng)審報(bào)告或定級(jí)報(bào)告。

3.應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及與其他級(jí)別保護(hù)對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)，設(shè)計(jì)內(nèi)容應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容，并形成配套文件

本項(xiàng)要求其實(shí)是對(duì)三同步的要求，即同步規(guī)劃、同步建設(shè)、同步使用。本項(xiàng)不再多說(shuō)，已經(jīng)很熟悉了。

（1）同步規(guī)劃

在業(yè)務(wù)規(guī)劃的階段，應(yīng)當(dāng)同步納入安全要求，引入安全措施。如同步建立信息資產(chǎn)管理情況檢查機(jī)制，指定專(zhuān)人負(fù)責(zé)信息資產(chǎn)管理，對(duì)信息資產(chǎn)進(jìn)行統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、 統(tǒng)一發(fā)放，并及時(shí)記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。

（2）同步建設(shè)

在項(xiàng)目建設(shè)階段，通過(guò)合同條款落實(shí)設(shè)備供應(yīng)商、廠商和其他合作方的責(zé)任，保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時(shí)建設(shè)。保證項(xiàng)目上線時(shí)，安全措施的驗(yàn)收和工程驗(yàn)收同步，外包開(kāi)發(fā)的系統(tǒng)需要進(jìn)行上線前安全檢測(cè)，確保只有符合安全要求的系統(tǒng)才能上線。

（3）同步使用

安全驗(yàn)收后的日常運(yùn)營(yíng)維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平，且運(yùn)營(yíng)者每年對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施需要進(jìn)行一次安全檢測(cè)評(píng)估。

4.應(yīng)制定代碼編寫(xiě)安全規(guī)范，要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼

5.應(yīng)在軟件開(kāi)發(fā)過(guò)程中對(duì)安全性進(jìn)行測(cè)試，在軟件安裝前對(duì)可能存在的惡意代碼進(jìn)行檢測(cè)

等保 2.0 標(biāo)準(zhǔn)首次提出安全開(kāi)發(fā)流程的要求，可以理解為 SDL 體系。這里明確指出在編碼階段和測(cè)試階段的安全性要求，均為上線前安全管控。以上兩條是針對(duì)自研軟件。

如果沒(méi)有建立 SDL 流程的企業(yè)，可以先解決安全編碼部分的問(wèn)題，編碼規(guī)范應(yīng)該都會(huì)有的。上線前的安全測(cè)試，這塊內(nèi)容目前大多都會(huì)去做，如果沒(méi)做，那我敬你是個(gè)好漢。

6.應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼

7.應(yīng)保證開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)和隱蔽信道

這兩條是對(duì)外包軟件安全的要求，也是首次提出要外包開(kāi)發(fā)商提供上線前安全測(cè)試報(bào)告、代碼審計(jì)報(bào)告以及源代碼。這下甲方開(kāi)心壞了吧，可以更理直氣壯的懟乙方了，雖然以前一直都是。但是介于剛剛實(shí)施這么靠譜的要求，很多乙方是不接受的，一開(kāi)始可以雙方一起來(lái)進(jìn)行安全測(cè)試；代碼審計(jì)一般不會(huì)要求嚴(yán)格意義的代碼審計(jì)報(bào)告，可以用掃描加人工驗(yàn)證的方式來(lái)進(jìn)行；而對(duì)于源代碼，很對(duì)乙方是說(shuō)死不給的，可以先提交一部分源碼。但這些都是應(yīng)對(duì)本次測(cè)評(píng)的準(zhǔn)備，從長(zhǎng)遠(yuǎn)來(lái)看，以后對(duì)于外包開(kāi)發(fā)要求會(huì)規(guī)范化，標(biāo)準(zhǔn)化，強(qiáng)制化。SDL 體系建立會(huì)成為趨勢(shì)。

8.應(yīng)通過(guò)第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過(guò)程

那么，除了以上這些，乙方覺(jué)得沒(méi)事了么，呵呵。

明年開(kāi)始，外包項(xiàng)目需要聘請(qǐng)第三方監(jiān)理，對(duì)整個(gè)項(xiàng)目過(guò)程質(zhì)量進(jìn)行把控和監(jiān)督，并實(shí)時(shí)匯報(bào)和協(xié)調(diào)。也就是說(shuō)，除了甲方懟你，以后還有一個(gè)第三方監(jiān)理也要懟你，爽不爽？

9.應(yīng)進(jìn)行上線前的安全性測(cè)試，并出具安全測(cè)試報(bào)告, 安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容

乙方的兄弟，你先別吐血，還沒(méi)說(shuō)完呢，這回不是你自己，甲方也要一樣受苦，是不是好受一些了？這條要求也是首次提出，要求系統(tǒng)上線前的安全測(cè)試中應(yīng)包含密碼應(yīng)用安全性測(cè)試。

那么，這個(gè)密碼應(yīng)用安全性測(cè)試又是個(gè)什么玩意呢。這是我在查閱了相關(guān)制度和材料得出的結(jié)果：

商用密碼應(yīng)用安全性評(píng)估

指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。按照商用密碼應(yīng)用安全性評(píng)估管理的要求，在系統(tǒng)規(guī)劃階段，可組織專(zhuān)家或委托測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)估；在系統(tǒng)建設(shè)完成后以及運(yùn)行階段，由測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)估。

哪些系統(tǒng)要做密評(píng)

《密碼法》（《密碼法草案》已于 2019 年 6 月 10 日經(jīng)國(guó)務(wù)院常務(wù)會(huì)議討論通過(guò)）要求「國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用安全性進(jìn)行分類(lèi)分級(jí)評(píng)估，按照國(guó)家安全審查的要求對(duì)影響或者可能影響國(guó)家安全的密碼產(chǎn)品、密碼相關(guān)服務(wù)和密碼保障系統(tǒng)進(jìn)行安全審查」?！缎畔踩燃?jí)保護(hù)商用密碼管理辦法》規(guī)定：「國(guó)家密碼管理局和省、自治區(qū)、直轄市密碼管理機(jī)構(gòu)對(duì)第三級(jí)及以上信息系統(tǒng)使用商用密碼的情況進(jìn)行檢查」。在國(guó)家密碼管理局印發(fā)的《信息安全等級(jí)保護(hù)商用密碼管理辦法實(shí)施意見(jiàn)》中規(guī)定「第三級(jí)及以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)，應(yīng)當(dāng)通過(guò)國(guó)家密碼管理部門(mén)指定測(cè)評(píng)機(jī)構(gòu)的密碼測(cè)評(píng)后方可投入運(yùn)行」。這些制度明確了信息安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)的商用密碼應(yīng)用和測(cè)評(píng)要求。此外，在新版《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》（征求意見(jiàn)稿）明確要求在規(guī)劃、建設(shè)、運(yùn)行階段開(kāi)展密碼應(yīng)用安全性評(píng)估。

密評(píng)關(guān)注哪些方面

為規(guī)范商用密碼應(yīng)用安全性評(píng)估工作，國(guó)家密碼管理局制定了《商用密碼應(yīng)用安全性評(píng)估管理辦法》、《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法》等有關(guān)規(guī)定，對(duì)測(cè)評(píng)機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營(yíng)者、管理部分三類(lèi)對(duì)象提出了要求，對(duì)評(píng)估程序、評(píng)估方法、監(jiān)督管理等進(jìn)行了明確。同時(shí)，組織編制了《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測(cè)評(píng)要求》等標(biāo)準(zhǔn)，及《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)過(guò)程指南（試行）》《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)作業(yè)指導(dǎo)書(shū)（試行）》等指導(dǎo)性文件，指導(dǎo)測(cè)評(píng)機(jī)構(gòu)規(guī)范有序開(kāi)展評(píng)估工作。其中，《信息系統(tǒng)密碼應(yīng)用基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理以及安全管理六個(gè)方面提出密碼應(yīng)用安全性評(píng)估指標(biāo)。

密評(píng)工作當(dāng)前的進(jìn)展

現(xiàn)階段，商用密碼應(yīng)用安全性評(píng)估試點(diǎn)工作正在有序開(kāi)展。經(jīng)過(guò)層層評(píng)審，截止 2018 年 6 月第一批共有 10 家測(cè)評(píng)機(jī)構(gòu)符合測(cè)評(píng)機(jī)構(gòu)能力要求，具備獨(dú)立承擔(dān)并規(guī)范開(kāi)展試點(diǎn)測(cè)評(píng)任務(wù)的能力。中科院 DCS 中心作為首批通過(guò)的優(yōu)秀測(cè)評(píng)機(jī)構(gòu)，正在積極參與密碼應(yīng)用安全性評(píng)估的各項(xiàng)試點(diǎn)工作，為我國(guó)密碼事業(yè)的發(fā)展貢獻(xiàn)自己的力量。

個(gè)人感覺(jué)，這項(xiàng)要求類(lèi)似可信計(jì)算，在標(biāo)準(zhǔn)實(shí)施初期不做強(qiáng)制要求，以鼓勵(lì)方式建議企業(yè)開(kāi)展，但在后期隨著技術(shù)和要求的成熟，會(huì)逐漸成為強(qiáng)制要求項(xiàng)。所以，明年各位可以不用太擔(dān)心，先了解一下就好。

安全運(yùn)維管理

1.應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容

2.應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施

對(duì)于資產(chǎn)的管理要求，當(dāng)前大多數(shù)企業(yè)擁有自己的管控平臺(tái)，對(duì)于 IT 資產(chǎn)進(jìn)行統(tǒng)一管理。主要就是資產(chǎn)梳理和分級(jí)分類(lèi)。如果沒(méi)有這類(lèi)平臺(tái)，可以用堡壘機(jī)臨時(shí)替代一下，起碼這里不會(huì)被扣成零分。

3.應(yīng)對(duì)信息分類(lèi)與標(biāo)識(shí)方法做出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理

這里是對(duì)數(shù)據(jù)治理提出要求，在管理制度中明確對(duì)于信息資產(chǎn)的分類(lèi)和標(biāo)識(shí)依據(jù)和規(guī)范。目前大多企業(yè)屬于空白領(lǐng)域，明年有關(guān)數(shù)據(jù)安全和數(shù)據(jù)治理會(huì)很熱門(mén)，因?yàn)槊髂?3 月 DSMM 會(huì)正式發(fā)布。本項(xiàng)要求其實(shí)不用很在意，明年測(cè)評(píng)時(shí)除了一些大廠，大家基本同一起跑線，你沒(méi)做我也沒(méi)做，沒(méi)關(guān)系，列入后續(xù)的工作計(jì)劃中。

4.應(yīng)采取必要的措施識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)

這里的要求同前邊安全管理中心的全面安全檢查可以結(jié)合到一起來(lái)看，因?yàn)樽罱K目的相一致，過(guò)程也相似。

5.應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開(kāi)通，經(jīng)過(guò)審批后才可開(kāi)通遠(yuǎn)程運(yùn)維接口或通道，操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志，操作結(jié)束后立即關(guān)閉接口或通道

等保 2.0 標(biāo)準(zhǔn)首次提出對(duì)于遠(yuǎn)程運(yùn)維的要求，原則上不開(kāi)通遠(yuǎn)程運(yùn)維接口。注意，這里是說(shuō)遠(yuǎn)程運(yùn)維，而不是遠(yuǎn)程用戶(hù)接入。通常運(yùn)維人員一般都應(yīng)該在機(jī)房或辦公環(huán)境內(nèi)操作，除非特殊情況，會(huì)進(jìn)行遠(yuǎn)程運(yùn)維操作，按照要求以后此類(lèi)操作要事先審批，通過(guò)后開(kāi)通臨時(shí)接口，操作完成后關(guān)閉接口。

如果沒(méi)有遠(yuǎn)程運(yùn)維需求的企業(yè)，這點(diǎn)不用關(guān)心。有些企業(yè)受業(yè)務(wù)所限，必須遠(yuǎn)程操作，那么就要按照要求把相關(guān)制度規(guī)定，流程，審批記錄，操作記錄，接口關(guān)閉記錄都留存好，以備現(xiàn)場(chǎng)檢查。

6.對(duì)造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序（信息泄露應(yīng)急預(yù)案）

7.應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練（出演練外，要組織應(yīng)急預(yù)案的專(zhuān)項(xiàng)培訓(xùn)）

這兩條放在一起來(lái)說(shuō)，都是新要求。先說(shuō)第一條關(guān)于信息泄露重大安全事件，要建立獨(dú)立處理和報(bào)告程序，不能同 BCP 程序一樣。個(gè)人觀點(diǎn)，可能除了應(yīng)急處理外，大公司（阿里、騰訊）還要考慮對(duì)外公告和說(shuō)明情況的流程。這部分，因?yàn)闆](méi)有先例，所以不知道什么樣的流程算標(biāo)準(zhǔn)方案。建議各家可以交流討論下，也可以借鑒一下國(guó)外的預(yù)案。

第二條比較好理解，也是新要求，說(shuō)的是要針對(duì)應(yīng)急預(yù)案每年進(jìn)行培訓(xùn)，不是演練，是培訓(xùn)哦！測(cè)評(píng)時(shí)會(huì)查看培訓(xùn)的 PPT，以及培訓(xùn)簽到記錄（可以是電子記錄）和培訓(xùn)計(jì)劃。

最后

OK，以上是我認(rèn)為等級(jí)保護(hù) 2.0 中新增的一些重點(diǎn)以及測(cè)評(píng)時(shí)要注意的內(nèi)容，希望對(duì)各位能有所幫助。最后，祝賀等級(jí)保護(hù) 2.0 制度順利實(shí)施，也預(yù)祝各位能早日通過(guò)新標(biāo)準(zhǔn)下的測(cè)評(píng)。文章只代表個(gè)人觀點(diǎn)，僅供參考。