随着网络威胁不断复杂化、组织化,网络攻防“军备竞赛”不断升级,新冠疫情带来新的网络威胁。“弱势群体”、安全意识、管理、人才、资金等安全意识不足的中小企业,也面临着日益严峻的“安全缺口”问题。围绕保险合规建设实现安全管理体系化是必由之路,也是必由之路。中国中小企业全面提升安全保障能力的契机对于中小企业来说,最常见的误区是:把等待保评当成“考试”和负担。其实,等待保护不是考试,不是应对,而是在等待保护中发现问题、解决问题,提高信息系统的安全防护能力。是起点而不是终点与“三同步”建设相匹配的“达标”安全能力和投资策略的完善是高效实现“持续安全”和“动态安全”的基础。安全牛特邀业内资深从业者蔡培特先生针对中小企业等保险合规的“痛点”、“难点”、“重点”进行了深入浅出的分析和建议,这也是一个重要的中小企业的网络安全问题。不容错过的“快速指南”:蔡佩特蔡佩特:多年IT行业从业经验,一直从事运营商网络集成、运营商安全运维、评估机构等工作。曾为一大批大中小型政企单位开展安全评估、安全评估、安全加固、制度建设等工作,现从事甲方企业安全建设工作。一、痛点:自主研发保障合规建设的意义自2017年6月1日《中华人民共和国网络安全法》发布以来,各政企单位如火如荼开展平等保障考核。那么为什么要进行分级保护工作呢?主要有以下原因:一是符合国家相关法律法规和制度的要求。等级保护是我国网络安全的基本方针。《网络安全法》规定,我国实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保护网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。单位不做好网络安全等级保护,发生网络安全事故或者被监管机构查处的,对单位处一万元以上十万元以下罚款,对责任人处五千元以上五万元以下罚款。目前,全国各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已经多起。第二,项目管理是可控的。自主开展分级保护工作,不经监管部门检查责令整改。对于单位来说,可以掌握更多的主动权,拥有相对更多的时间。从项目管理的角度看,时间管理、质量管理和成本管理更可控。三是规范安全管理,提高保障能力。通过分级保护工作,找到单位信息系统与国家安全标准的差距,对系统资产、系统风险点、系统流程缺陷有更清晰的认识,对现有系统的安全性有更清晰的认识。确定。隐患和不足,安全整改后,信息系统的信息安全防护能力将得到提升,系统遭受各种攻击的风险将降低,相关管理流程将更加系统化。2、难点:等级保护评价存在的问题及对策中小企业在等级保护评价中,或多或少会遇到一些问题。笔者结合自己的工作经验,总结了遇到的主要问题。管理缺乏意识。单位管理层缺乏网络安全意识,认为业务系统可以正常运行无故障,网络安全等级保护建设没有必要。或者认为业务系统在内网运行,Internet访问不开放,不需要进行网络安全等级保护建设。资产管理混乱。管理人员缺乏对信息系统资产管理的完整交接,没有清晰完备的资产清单,导致资产管理混乱。缺乏专业人员。单位未配备专业的信息安全管理人员。单位可能只有1-2名相关IT管理人员,负责网络管理和桌面运维。说到网络安全等级保护,可能会不知所措。网络安全等级保护如何?没有发展理念,就无从下手。制度整改难度大、整改周期长。单位业务系统维护期满,需专业技术人员对主机级、数据库级、应用级、网络级漏洞进行整改;业务系统存在漏洞,整改会影响生产业务,或对系统使用造成不便,如密码复杂、定期修改密码、超时退出等,整改实施会有较大阻力.缺乏资金。这个问题也与管理层的认识不足有关。在整改过程中,难免需要采购一些安保设备。例如,网络必须具有入侵检测手段。在资金不足的情况下,不可能购买到无法满足评估要求的入侵检测或入侵防御设备。项,将导致最终未能通过保评。评估或等保不是考试,不是为了应对,而是通过等保发现问题、解决问题,提高信息系统的安全防护能力。每个单位开展分级保护工作都会遇到很多障碍,但是我们的分级保护工作是要做的,那么如何合理开展呢?(1)鉴于管理层意识淡薄,资金匮乏,信息部负责人必须担起责任承担起信息安全管理责任,无论是管理层还是公司内部的普通员工都必须做到做好信息安全意识宣传贯彻工作。收集通报,在管理层开展信息安全意识宣传和落实,分析网络安全等级保护建设的必要性和落实不到位的严重性,落实项目资金。(2)针对资产管理混乱的环节,要加强制度和流程建设,及时更新变更后的资产清单,定期清理资产。(三)针对专业人才缺乏、制度整改困难的情况,单位在开展项目采购时,可购买第三方保障服务,协助单位开展对等保障评估和整改。风险评估和回退方案,在某些评估点不能满足要求的情况下,如果不是一票否决项,可以采用纵深防御的思路,比如配置登录失败限制在主机级别等。Linux服务器很容易配置此项如果网络中有运维审计系统,可以通过运维审计系统实现主机登录管理的登录失败限制。前提是网络有很好的访问控制策略限制主机只允许运维审计系统登录管理,当然如果主机能配置这个策略就更安全了,登录服务器故障分别从网络层和主机层进行限制。对于应用系统维护不到位、应用系统漏洞无法修复的,可以邀请第三方开发者进行二次开发,或者使用安全设备进行防护。如果没有日志审计功能,可以使用数据库审计设备从网络层进行检查。降低应用层风险,对网络中的数据库操作流量进行抓取和记录,满足审计要求。3、要点:建设项目的立项和采购,要先梳理单位信息系统资产,明确保障评价需要评价的信息系统。只有有了好的想法,才能确定信息系统需要对哪一个层次的需求进行评估和整改。对系统资产进行梳理后,进行风险评估,评估系统还存在哪些保护不足、需要采购的新设备和服务等,并预留相关资金和整改时间。如果管理人员确实对网络安全等级保护的开发没有相关概念,可以与测评机构或信息安全服务商进行咨询和售前调研,了解相关概念和流程,安全服务商可以提供完善的解决方案.本单位还需对安全服务商给出的解决方案中需要采购的产品进行选型工作。产品的选择对管理人员来说意义重大。让管理人员对产品有一个详细的了解,防止购买后安全产品无法满足相关安全要求,方便管理人员对设备进行后续的运维管理。项目的立项极其重要,涉及到制度层级的确定、预算、整改时间的确定,对后续的制度整改影响较大。建议单位在上线前与安全服务商进行沟通协商。环保部评价项目采购可直接向具有评价资质的评价机构采购。此类单位对技术人员要求较高,要求单位有专业的安全管理人员,熟悉环保部评价标准和程序。如果机构缺乏专业的安全管理人员,可以向安全服务商购买,由安全服务商提供整套解决方案。还是建议购买安防产品全选,安防服务商可以推荐产品,但全选后的品牌Procure。四、要点:安全保障评估考核流程安全保障评估考核流程主要分为定级备案、差距评估、安全整改、验收评估四个步骤。分级备案可以自己准备相关材料,主要是分级备案表和分级报告。如果单位已经完成资产整理,备案材料的填写工作会更加方便。如果前期没有做过资产整理,可以在填写资料的时候进行资产整理。该部分也可由安全服务商实地考察后填写。差距评估,主要由评估机构或安全服务商先根据平等保护评估标准进行评估,给出制度问题清单或差距评估报告;如果评估过程涉及渗透测试和漏洞扫描,单位必须先做好数据备份。建立相应的回退方案,防止旧业务系统在漏洞扫描时因占用系统资源过多而失效,导致数据丢失。安全整改,单位根据评价机构或安全服务提供者给出的制度问题清单或差距评估报告,进行安全整改。单位可让安全服务商根据问题清单编写整改方案,评估系统中缺失的保护措施并进行补充。对于缺乏维护的主机或数据库漏洞,在没有专业技术人员的情况下,可以限制地址访问,来规避漏洞扫描的结果,这也是一种纵深防御的方法。验收评价,安全整改后达标率能达到70%,且不存在高危项目的,可由评价机构进行验收评价。考核通过并取得考核报告后,仍需将考核报告报网监备案。取得报告备案回执后,整个等级保护评估项目就完成了。各单位在开展等级保障建设时,要正确看待等级保障工作,运用等级保障框架完善公司信息安全管理体系,不能被动采取应对方式应对等级保障。五、小结完成安全分级评估并不意味着您的网络安全等级保护建设已经完成。反之,则意味着您的网络安全等级保护建设才刚刚开始。平等保护评估只是为您提供一个网络安全保护的框架,让您对系统的安全风险有更清晰的认识,为您在管理和技术上不断优化和改进提供方向。安全建设是一个不断完善的过程。破坏网络安全远比建设容易。对于攻击者来说,他们只需要找到系统中的弱点就可以达到入侵系统的目的。对于企业人员来说,一定要找到系统的所有弱点,不能遗漏,这样才能保证系统不会出现问题。因此,纵深防御、不断完善安全建设必不可少。MEP的“三同步”原则由此而来,同步规划、同步建设、同步使用,让安全建设贯穿整个系统生命周期。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
