隨著網(wǎng)絡(luò)威脅不斷復(fù)雜化和組織化，網(wǎng)絡(luò)攻防的“軍備競賽”持續(xù)升級(jí)，新冠疫情帶來新的網(wǎng)絡(luò)威脅，作為網(wǎng)絡(luò)安全的“弱勢群體”，安全意識(shí)、管理、人才、資金捉襟見肘的中小企業(yè)也正面臨越來越嚴(yán)峻的“安全鴻溝”問題。

圍繞等保合規(guī)建設(shè)實(shí)現(xiàn)安全管理體系化，是當(dāng)下中國中小企業(yè)全面提升安全防護(hù)能力的必要路徑和契機(jī)。對(duì)于中小企業(yè)來說，最常見的誤區(qū)是：把等保測評(píng)當(dāng)成“應(yīng)試”和負(fù)擔(dān)。事實(shí)上等保不是考試，不是為了應(yīng)付，而是通過等保發(fā)現(xiàn)問題解決問題，提高信息系統(tǒng)的安全防護(hù)能力。此外，等保只是網(wǎng)絡(luò)安全的手段而不是目的，是起點(diǎn)而不是終點(diǎn)。與安全能力“三同步”建設(shè)和投資策略匹配的“合規(guī)”，才是高效實(shí)現(xiàn)“持續(xù)安全”和“動(dòng)態(tài)安全”的基礎(chǔ)。

我們邀請(qǐng)到了行業(yè)資深從業(yè)者，就中小企業(yè)等保合規(guī)的“痛點(diǎn)”、“難點(diǎn)”和“要點(diǎn)”，給出了深入淺出，簡明扼要的分析和建議，也是中小企業(yè)網(wǎng)絡(luò)安全建設(shè)不可錯(cuò)過的“快速指南”：

一、痛點(diǎn)：自主開展等保合規(guī)建設(shè)的意義

自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布以來，各政企單位等保測評(píng)如火如荼的開展。那么為什么要開展等級(jí)保護(hù)工作呢？主要有以下幾個(gè)原因:

第一、滿足國家相關(guān)法律法規(guī)和制度的要求。等級(jí)保護(hù)是我國網(wǎng)絡(luò)安全的基本政策，網(wǎng)絡(luò)安全法規(guī)定了我國實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。單位未開展網(wǎng)絡(luò)安全等級(jí)保護(hù)的，發(fā)生網(wǎng)絡(luò)安全事故或受到監(jiān)管機(jī)構(gòu)檢查，單位處一萬以上十萬以下罰款，責(zé)任人處五千以上五萬以下罰款。目前國內(nèi)各地公安部門、網(wǎng)信部門依據(jù)《網(wǎng)絡(luò)安全法》對(duì)相關(guān)單位進(jìn)行處罰的案例已有多起。

第二、項(xiàng)目管理可控。自主開展等級(jí)保護(hù)工作而非由監(jiān)管機(jī)構(gòu)檢查后責(zé)令整改，對(duì)單位來說能掌握更多的主動(dòng)權(quán)，時(shí)間上也相對(duì)充裕許多，在項(xiàng)目管理的角度上來講，時(shí)間管理、質(zhì)量管理及成本管理更加可控。

第三、安全管理體系化，防護(hù)能力提升。通過等級(jí)保護(hù)工作，發(fā)現(xiàn)單位信息系統(tǒng)與國家安全標(biāo)準(zhǔn)之間存在的差距，對(duì)系統(tǒng)資產(chǎn)的梳理、系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)、制度流程的缺陷會(huì)有一個(gè)更加清晰的認(rèn)識(shí)，查明目前系統(tǒng)存在的安全隱患和不足，通過安全整改之后，提高信息系統(tǒng)的信息安全防護(hù)能力，降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)，在相關(guān)管理流程上會(huì)更體系化。

二、難點(diǎn)：等保測評(píng)的問題及解決方案

中小企業(yè)在開展等級(jí)保護(hù)測評(píng)，多多少少都會(huì)出現(xiàn)些問題，筆者結(jié)合自身工作經(jīng)歷，對(duì)所遇的主要問題進(jìn)行了一個(gè)歸納。

1、管理層缺乏意識(shí)。單位管理層在網(wǎng)絡(luò)安全方面缺乏意識(shí)，認(rèn)為業(yè)務(wù)系統(tǒng)能正常運(yùn)行，并未出現(xiàn)故障，網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)沒有開展的必要。又或者認(rèn)為業(yè)務(wù)系統(tǒng)在內(nèi)網(wǎng)運(yùn)行，未開放互聯(lián)網(wǎng)訪問，可不開展網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)。

2、資產(chǎn)管理混亂。管理人員對(duì)信息系統(tǒng)的資產(chǎn)管理缺乏完整的交接，沒有清晰全面的資產(chǎn)清單，造成資產(chǎn)管理的混亂。

3、缺乏專業(yè)人員。單位未配備專業(yè)的信息安全管理人員，單位內(nèi)部可能相關(guān)IT管理人員就1至2個(gè)，負(fù)責(zé)網(wǎng)絡(luò)管理及桌面運(yùn)維，說起網(wǎng)絡(luò)安全等級(jí)保護(hù)，可能是一頭霧水，對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)如何開展沒有概念，無從入手。

4、系統(tǒng)整改難度大、整改周期長。單位業(yè)務(wù)系統(tǒng)維保過期，主機(jī)層面漏洞、數(shù)據(jù)庫層面漏洞、應(yīng)用層面漏洞及網(wǎng)絡(luò)層面的漏洞整改需要專業(yè)技術(shù)人員；業(yè)務(wù)系統(tǒng)存在的漏洞，整改會(huì)對(duì)生產(chǎn)業(yè)務(wù)造成影響，或是造成系統(tǒng)使用的不便，如密碼復(fù)雜度、定期改密、超時(shí)退出等，在整改推行上會(huì)有較大的阻力。

5、經(jīng)費(fèi)缺乏。此問題與管理層缺乏意識(shí)也有相關(guān)，整改過程中難免會(huì)需要采購一些安全設(shè)備，比如網(wǎng)絡(luò)必須具備入侵檢測手段，在經(jīng)費(fèi)缺乏的條件下，無法進(jìn)行入侵檢測或入侵防御設(shè)備采購，無法滿足該測評(píng)項(xiàng)，會(huì)導(dǎo)致最終無法通過等保測評(píng)。

測評(píng)或者說等保不是考試，不是為了應(yīng)付，而是通過等保發(fā)現(xiàn)問題解決問題，提高信息系統(tǒng)的安全防護(hù)能力。每個(gè)單位推行等保工作都會(huì)有很多阻礙，但是我們的等級(jí)保護(hù)工作又不得不做，那怎樣合情合理地開展呢？

1、針對(duì)管理層缺乏意識(shí)、經(jīng)費(fèi)缺乏方面，信息化部門負(fù)責(zé)人必須肩負(fù)起信息安全管理的責(zé)任，在公司內(nèi)部不管是管理層還是普通員工，都要做好信息安全意識(shí)宣貫，網(wǎng)信部、網(wǎng)監(jiān)部門會(huì)有定期開展信息安全檢查及通報(bào)，信息化負(fù)責(zé)人可收集此類通報(bào)情況，開展管理層信息安全意識(shí)宣貫，分析網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的必要性及未開展的嚴(yán)重性，落實(shí)項(xiàng)目經(jīng)費(fèi)。

2、針對(duì)資產(chǎn)管理混亂方面，需加強(qiáng)制度與流程建設(shè)，開展變更后及時(shí)更新資產(chǎn)清單，定期對(duì)資產(chǎn)進(jìn)行梳理。

3、針對(duì)專業(yè)人員缺乏與系統(tǒng)整改困難方面，單位可在開展項(xiàng)目采購時(shí)，采購第三方安全服務(wù)，協(xié)助單位開展等保測評(píng)與整改，整改過程中單位管理人員需關(guān)注變更的風(fēng)險(xiǎn)，做好風(fēng)險(xiǎn)評(píng)估與回退計(jì)劃，在某些測評(píng)點(diǎn)無法滿足要求的條件下，非一票否決項(xiàng)的，可采取縱深防御的思路，例如主機(jī)層面配置登錄失敗限制等，linux服務(wù)器在配置此項(xiàng)時(shí)容易導(dǎo)致ssh登錄出現(xiàn)故障，此項(xiàng)如網(wǎng)絡(luò)中具備運(yùn)維審計(jì)系統(tǒng)，可通過運(yùn)維審計(jì)系統(tǒng)實(shí)現(xiàn)主機(jī)登錄管理的登錄失敗限制，前提是網(wǎng)絡(luò)做好訪問控制策略限制主機(jī)只允許運(yùn)維審計(jì)系統(tǒng)進(jìn)行登錄管理，當(dāng)然如果主機(jī)能配置該項(xiàng)策略是更為安全的，分別從網(wǎng)絡(luò)層及主機(jī)層對(duì)服務(wù)器的登錄失敗進(jìn)行限制。針對(duì)缺乏應(yīng)用系統(tǒng)維保的，應(yīng)用系統(tǒng)漏洞無法開展整改的，可以請(qǐng)第三方開發(fā)商進(jìn)行二次開發(fā)，或者采用安全設(shè)備進(jìn)行防護(hù)，如缺乏日志審計(jì)功能，可采用數(shù)據(jù)庫審計(jì)設(shè)備，從網(wǎng)絡(luò)層對(duì)應(yīng)用層風(fēng)險(xiǎn)進(jìn)行降低，通過網(wǎng)絡(luò)中數(shù)據(jù)庫操作流量進(jìn)行抓取記錄，滿足審計(jì)要求。 

三、要點(diǎn)：項(xiàng)目的立項(xiàng)與采購

等保建設(shè)項(xiàng)目的立項(xiàng)，需要先梳理好單位信息系統(tǒng)資產(chǎn)，明確需要開展等保測評(píng)的信息系統(tǒng)，管理人員對(duì)系統(tǒng)出現(xiàn)問題后的嚴(yán)重程度、影響范圍要做到心里有數(shù)，才能確定信息系統(tǒng)需按照哪個(gè)級(jí)別的要求來開展測評(píng)及整改。

在梳理完系統(tǒng)資產(chǎn)后，進(jìn)行風(fēng)險(xiǎn)的評(píng)估，評(píng)估系統(tǒng)中仍缺乏哪些防護(hù)，需要采購的新設(shè)備及服務(wù)等，預(yù)留好相關(guān)的經(jīng)費(fèi)與整改時(shí)間。如管理人員確實(shí)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)的開展無相關(guān)概念，可以對(duì)測評(píng)機(jī)構(gòu)或者信息安全服務(wù)商進(jìn)行咨詢及售前的調(diào)研，了解相關(guān)概念及流程，由安全服務(wù)商給出完善的解決方案。單位對(duì)安全服務(wù)商給出的解決方案中需要采購的產(chǎn)品，仍需開展選型工作。產(chǎn)品的選型對(duì)管理人員具有極大的意義，可讓管理人員對(duì)產(chǎn)品有詳細(xì)的認(rèn)知，避免安全產(chǎn)品完成采購后卻無法實(shí)現(xiàn)相關(guān)安全需求，且方便管理人員后續(xù)對(duì)設(shè)備的運(yùn)維管理。

項(xiàng)目的立項(xiàng)極為重要，涉及系統(tǒng)等級(jí)的確定、經(jīng)費(fèi)預(yù)算、整改時(shí)間的確定，對(duì)后續(xù)的系統(tǒng)整改有較大的影響。建議單位開展前可多與安全服務(wù)商進(jìn)行溝通咨詢。

等保測評(píng)項(xiàng)目的采購，可直接向具有測評(píng)資質(zhì)的測評(píng)機(jī)構(gòu)采購，此類對(duì)單位技術(shù)人員的要求較高，需要單位具備專業(yè)安全管理人員且熟悉等保測評(píng)標(biāo)準(zhǔn)及流程。如單位缺乏專業(yè)安全管理人員，可向安全服務(wù)商進(jìn)行采購，由安全服務(wù)商提供全套的解決方案，此處仍建議安全產(chǎn)品的采購經(jīng)過充分的選型，可以由安全服務(wù)商推薦產(chǎn)品，但品牌在經(jīng)過充分選型后再進(jìn)行采購。

四、要點(diǎn)：等保測評(píng)流程

等保測評(píng)的流程，主要分四步，定級(jí)備案、差距測評(píng)、安全整改、驗(yàn)收測評(píng)。

定級(jí)備案可自行準(zhǔn)備好相關(guān)材料，主要為定級(jí)備案表、定級(jí)報(bào)告，如單位已做完資產(chǎn)梳理，對(duì)填報(bào)備案材料的工作會(huì)有較大的便利，如前期未做資產(chǎn)梳理，可以在填報(bào)材料的同時(shí)時(shí)開展資產(chǎn)的梳理。此部分也可由安全服務(wù)商開展現(xiàn)場調(diào)研后協(xié)助填報(bào)。

差距測評(píng)，主要由測評(píng)機(jī)構(gòu)或安全服務(wù)商根據(jù)等保測評(píng)標(biāo)準(zhǔn)先進(jìn)行一次評(píng)估，給出系統(tǒng)問題清單或差距評(píng)估報(bào)告；評(píng)估過程中涉及滲透測試、漏洞掃描的，單位必須先做好數(shù)據(jù)備份，建立相應(yīng)的回退計(jì)劃，避免業(yè)務(wù)系統(tǒng)過于老舊在漏洞掃描時(shí)由于占用系統(tǒng)資源過多而出現(xiàn)故障，造成數(shù)據(jù)丟失。

安全整改，單位根據(jù)測評(píng)機(jī)構(gòu)或安全服務(wù)商給出的系統(tǒng)問題清單或差距評(píng)估報(bào)告，開展安全整改。單位可以由安全服務(wù)商根據(jù)問題清單編寫整改方案，評(píng)估系統(tǒng)中缺失的防護(hù)手段并進(jìn)行補(bǔ)充，對(duì)于缺乏維保的主機(jī)或數(shù)據(jù)庫漏洞，在缺乏專業(yè)技術(shù)人員的條件下，可通過限制地址訪問的方式，規(guī)避漏洞掃描的結(jié)果，這也是一種縱深防御的方法。

驗(yàn)收測評(píng)，在開展安全整改后，如合規(guī)率能達(dá)到70%，且不存在高風(fēng)險(xiǎn)項(xiàng)，可由測評(píng)機(jī)構(gòu)開展驗(yàn)收測評(píng)。在通過測評(píng)并拿到測評(píng)報(bào)告后，仍需將測評(píng)報(bào)告提交網(wǎng)監(jiān)進(jìn)行備案，在取得報(bào)告?zhèn)浒富貓?zhí)后，整個(gè)等級(jí)保護(hù)測評(píng)項(xiàng)目完成。

各單位在開展等保建設(shè)時(shí)，須正確的看待等保建設(shè)這一工作，以等保這一框架來完善公司的信息安全管理體系，而非消極的采取應(yīng)付的方式來應(yīng)付等保測評(píng)。

五、總結(jié)

完成等保測評(píng)后，并不意味著你的網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)已經(jīng)完成，恰恰相反，這意味著你的網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)才剛剛開始。等保測評(píng)，只是給你提供了一個(gè)網(wǎng)絡(luò)安全保護(hù)的框架，讓你對(duì)你的系統(tǒng)的安全風(fēng)險(xiǎn)有個(gè)更清晰的認(rèn)識(shí)，給你一個(gè)從管理和技術(shù)不斷優(yōu)化完善的方向。安全建設(shè)是一個(gè)持續(xù)改進(jìn)的過程，網(wǎng)絡(luò)安全的破壞遠(yuǎn)比建設(shè)要容易，對(duì)于攻擊者來說，只需要找到系統(tǒng)的一個(gè)弱點(diǎn)，就可以達(dá)到入侵系統(tǒng)的目的，而對(duì)于企業(yè)人員來說，必須找到系統(tǒng)的所有弱點(diǎn)，不能有遺漏，才能保證系統(tǒng)不會(huì)出現(xiàn)問題。所以安全建設(shè)的縱深防御與持續(xù)改進(jìn)，是必不可少的。等保的“三同步”原則，正是由此而來，同步規(guī)劃，同步建設(shè)，同步使用，讓安全建設(shè)貫穿整個(gè)系統(tǒng)生命周期。