中小企业等保合规的痛点、难点和要点




中小企业等保合规的痛点、难点和要点


安全牛评


随着网络威胁不断复杂化和组织化,网络攻防的“军备竞赛”持续升级,新冠疫情带来新的网络威胁,作为网络安全的“弱势群体”,安全意识、管理、人才、资金捉襟见肘的中小企业也正面临越来越严峻的“安全鸿沟”问题。


围绕等保合规建设实现安全管理体系化,是当下中国中小企业全面提升安全防护能力的必要路径和契机。对于中小企业来说,最常见的误区是:把等保测评当成“应试”和负担。事实上等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。此外,等保只是网络安全的手段而不是目的,是起点而不是终点。与安全能力“三同步”建设和投资策略匹配的“合规”,才是高效实现“持续安全”和“动态安全”的基础。


安全牛邀请到了行业资深从业者蔡培特先生,就中小企业等保合规的“痛点”、“难点”和“要点”,给出了深入浅出,简明扼要的分析和建议,也是中小企业网络安全建设不可错过的“快速指南”:


中小企业等保合规的痛点、难点和要点

蔡培特

多年IT从业经验,从事过运营商网络集成、运营商安全运维、测评机构。为大量大、中、小政企单位开展过安全评估、等保测评、安全加固、体系建设等工作,现从事甲方企业安全建设。



一、痛点:自主开展等保合规建设的意义


自2017年6月1日《中华人民共和国网络安全法》发布以来,各政企单位等保测评如火如荼的开展。那么为什么要开展等级保护工作呢?主要有以下几个原因:


第一、满足国家相关法律法规和制度的要求。等级保护是我国网络安全的基本政策,网络安全法规定了我国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。单位未开展网络安全等级保护的,发生网络安全事故或受到监管机构检查,单位处一万以上十万以下罚款,责任人处五千以上五万以下罚款。目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。


第二、项目管理可控。自主开展等级保护工作而非由监管机构检查后责令整改,对单位来说能掌握更多的主动权,时间上也相对充裕许多,在项目管理的角度上来讲,时间管理、质量管理及成本管理更加可控。


第三、安全管理体系化,防护能力提升。通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,对系统资产的梳理、系统存在的风险点、制度流程的缺陷会有一个更加清晰的认识,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,在相关管理流程上会更体系化。



二、难点:等保测评的问题及解决方案


中小企业在开展等级保护测评,多多少少都会出现些问题,笔者结合自身工作经历,对所遇的主要问题进行了一个归纳。


1、管理层缺乏意识。单位管理层在网络安全方面缺乏意识,认为业务系统能正常运行,并未出现故障,网络安全等级保护的建设没有开展的必要。又或者认为业务系统在内网运行,未开放互联网访问,可不开展网络安全等级保护建设。


2、资产管理混乱。管理人员对信息系统的资产管理缺乏完整的交接,没有清晰全面的资产清单,造成资产管理的混乱。


3、缺乏专业人员。单位未配备专业的信息安全管理人员,单位内部可能相关IT管理人员就1至2个,负责网络管理及桌面运维,说起网络安全等级保护,可能是一头雾水,对网络安全等级保护如何开展没有概念,无从入手。


4、系统整改难度大、整改周期长。单位业务系统维保过期,主机层面漏洞、数据库层面漏洞、应用层面漏洞及网络层面的漏洞整改需要专业技术人员;业务系统存在的漏洞,整改会对生产业务造成影响,或是造成系统使用的不便,如密码复杂度、定期改密、超时退出等,在整改推行上会有较大的阻力。


5、经费缺乏。此问题与管理层缺乏意识也有相关,整改过程中难免会需要采购一些安全设备,比如网络必须具备入侵检测手段,在经费缺乏的条件下,无法进行入侵检测或入侵防御设备采购,无法满足该测评项,会导致最终无法通过等保测评。


测评或者说等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。每个单位推行等保工作都会有很多阻碍,但是我们的等级保护工作又不得不做,那怎样合情合理地开展呢?


1、针对管理层缺乏意识、经费缺乏方面,信息化部门负责人必须肩负起信息安全管理的责任,在公司内部不管是管理层还是普通员工,都要做好信息安全意识宣贯,网信部、网监部门会有定期开展信息安全检查及通报,信息化负责人可收集此类通报情况,开展管理层信息安全意识宣贯,分析网络安全等级保护建设的必要性及未开展的严重性,落实项目经费。


2、针对资产管理混乱方面,需加强制度与流程建设,开展变更后及时更新资产清单,定期对资产进行梳理。


3、针对专业人员缺乏与系统整改困难方面,单位可在开展项目采购时,采购第三方安全服务,协助单位开展等保测评与整改,整改过程中单位管理人员需关注变更的风险,做好风险评估与回退计划,在某些测评点无法满足要求的条件下,非一票否决项的,可采取纵深防御的思路,例如主机层面配置登录失败限制等,linux服务器在配置此项时容易导致ssh登录出现故障,此项如网络中具备运维审计系统,可通过运维审计系统实现主机登录管理的登录失败限制,前提是网络做好访问控制策略限制主机只允许运维审计系统进行登录管理,当然如果主机能配置该项策略是更为安全的,分别从网络层及主机层对服务器的登录失败进行限制。针对缺乏应用系统维保的,应用系统漏洞无法开展整改的,可以请第三方开发商进行二次开发,或者采用安全设备进行防护,如缺乏日志审计功能,可采用数据库审计设备,从网络层对应用层风险进行降低,通过网络中数据库操作流量进行抓取记录,满足审计要求。



三、要点:项目的立项与采购


等保建设项目的立项,需要先梳理好单位信息系统资产,明确需要开展等保测评的信息系统,管理人员对系统出现问题后的严重程度、影响范围要做到心里有数,才能确定信息系统需按照哪个级别的要求来开展测评及整改。


在梳理完系统资产后,进行风险的评估,评估系统中仍缺乏哪些防护,需要采购的新设备及服务等,预留好相关的经费与整改时间。如管理人员确实对网络安全等级保护的开展无相关概念,可以对测评机构或者信息安全服务商进行咨询及售前的调研,了解相关概念及流程,由安全服务商给出完善的解决方案。单位对安全服务商给出的解决方案中需要采购的产品,仍需开展选型工作。产品的选型对管理人员具有极大的意义,可让管理人员对产品有详细的认知,避免安全产品完成采购后却无法实现相关安全需求,且方便管理人员后续对设备的运维管理。


项目的立项极为重要,涉及系统等级的确定、经费预算、整改时间的确定,对后续的系统整改有较大的影响。建议单位开展前可多与安全服务商进行沟通咨询。


等保测评项目的采购,可直接向具有测评资质的测评机构采购,此类对单位技术人员的要求较高,需要单位具备专业安全管理人员且熟悉等保测评标准及流程。如单位缺乏专业安全管理人员,可向安全服务商进行采购,由安全服务商提供全套的解决方案,此处仍建议安全产品的采购经过充分的选型,可以由安全服务商推荐产品,但品牌在经过充分选型后再进行采购。



四、要点:等保测评流程


等保测评的流程,主要分四步,定级备案、差距测评、安全整改、验收测评。


定级备案可自行准备好相关材料,主要为定级备案表、定级报告,如单位已做完资产梳理,对填报备案材料的工作会有较大的便利,如前期未做资产梳理,可以在填报材料的同时时开展资产的梳理。此部分也可由安全服务商开展现场调研后协助填报。


差距测评,主要由测评机构或安全服务商根据等保测评标准先进行一次评估,给出系统问题清单或差距评估报告;评估过程中涉及渗透测试、漏洞扫描的,单位必须先做好数据备份,建立相应的回退计划,避免业务系统过于老旧在漏洞扫描时由于占用系统资源过多而出现故障,造成数据丢失。


安全整改,单位根据测评机构或安全服务商给出的系统问题清单或差距评估报告,开展安全整改。单位可以由安全服务商根据问题清单编写整改方案,评估系统中缺失的防护手段并进行补充,对于缺乏维保的主机或数据库漏洞,在缺乏专业技术人员的条件下,可通过限制地址访问的方式,规避漏洞扫描的结果,这也是一种纵深防御的方法。


验收测评,在开展安全整改后,如合规率能达到70%,且不存在高风险项,可由测评机构开展验收测评。在通过测评并拿到测评报告后,仍需将测评报告提交网监进行备案,在取得报告备案回执后,整个等级保护测评项目完成。


各单位在开展等保建设时,须正确的看待等保建设这一工作,以等保这一框架来完善公司的信息安全管理体系,而非消极的采取应付的方式来应付等保测评。



五、总结


完成等保测评后,并不意味着你的网络安全等级保护建设已经完成,恰恰相反,这意味着你的网络安全等级保护建设才刚刚开始。等保测评,只是给你提供了一个网络安全保护的框架,让你对你的系统的安全风险有个更清晰的认识,给你一个从管理和技术不断优化完善的方向。安全建设是一个持续改进的过程,网络安全的破坏远比建设要容易,对于攻击者来说,只需要找到系统的一个弱点,就可以达到入侵系统的目的,而对于企业人员来说,必须找到系统的所有弱点,不能有遗漏,才能保证系统不会出现问题。所以安全建设的纵深防御与持续改进,是必不可少的。等保的“三同步”原则,正是由此而来,同步规划,同步建设,同步使用,让安全建设贯穿整个系统生命周期。


相关阅读

中小企业数据安全建设之路

CSA GCR发布|《SDP实现等保2.0合规技术指南》

加强等保2.0标准宣贯落地,网络安全企业联盟筹建启动


中小企业等保合规的痛点、难点和要点

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com





中小企业等保合规的痛点、难点和要点

上一篇:中兴自造5nm芯片为何不靠谱
下一篇:

相关推荐

NEWS | 新大陆科技集团及旗下五家单位入选省级龙头企业名单公示

1385 新大陆科技集团

本刊讯:福建省工业和信息化厅日前发布了《关于2020年福建省工业和信息化省级龙头企业拟发布名单的公示》,新大陆科技集团及旗下新大陆数字技术股份有限公司、福建新大陆支付技术有限公司、福建新大陆自动识别技术有限公司、福建新大陆软件工程有限公司、福建新大陆通信科技股份有限公司等六家单位成功入选公示。公示期至6月24日。据了解,申报福建省工业和信息化省级龙头企业(以

历史时刻!北斗三号收官,北斗四号已酝酿,预计2035年初步建成泛在国家时空系统

120 IT时报

30秒快读1今天,是值得铭记的一天。6月23日上午,我国北斗三号全球卫星导航系统最后一颗卫星成功发射升空。2《IT时报》记者还独家获悉,目前我国正在酝酿北斗四号系统建设,向PNT(导航定位授时)方向发展,或于2035年初步建成我国泛在国家时空系统。3“等了好久终于等到今天,梦了好久终于把梦实现……”从1994年北斗一号系统建设启动算起,用时26年,我国北斗卫

星耀全球!中国完成北斗全球系统星座部署!超震撼全程视频来了!

1547 国际金融报

23日9时43分,我国在西昌卫星发射中心用长征三号乙运载火箭,成功发射北斗系统第五十五颗导航卫星,暨北斗三号最后一颗全球组网卫星。至此,北斗三号全球卫星导航系统星座部署比原计划提前半年全面完成。北斗三号收官发射一波三折、玉汝于成。之前,因2次航天发射任务失利,工程全线举一反三,进行质量复查,发射时间由5月调整至6月;6月16日,因临射前发现产品技术问题,为确

刚刚!北斗收官之星,直奔苍穹!一图读懂北斗导航系统对你我生活的影响

270 羊城晚报

收官!北斗全球系统组网完成!6月23日上午,我国在西昌卫星发射中心用长征三号乙运载火箭,成功发射北斗系统第五十五颗导航卫星,暨北斗三号最后一颗全球组网卫星,至此北斗三号全球卫星导航系统星座部署比原计划提前半年全面完成。视频来源:央广军事北斗三号收官发射一波三折、玉汝于成。之前,因两次航天发射任务失利,工程全线举一反三,进行质量复查,发射时间由5月调整至6月;

中国信通院安全研究所&FreeBuf咨询 | NTA/NDR类网络安全产品能力评测邀请

1470 FreeBuf

NTA(NetworkTrafficAnalysis)网络流量分析于2013年首次被提出,并且在2016年逐渐兴起。不管是在企业安全防御者与黑客的实际对抗场景中,或是规模化攻防演练过程中,企业对于网络流量的监测与分析的需求正在持续增长。越来越多安全厂商进入网络流量监测与分析市场。5月11日,FreeBuf咨询正式启动《2020中国网络流量监测与分析产品研究报

网红速食测评|我一口气吃了12碗…

1496 Lisa的美妆日记

你已选中了添加链接的内容Hello~今天是一期特别的“下!饭!推!文!”!作为一个忙碌的上班族,虽然平时都向往着在厨房大展身手做一顿美味,但事实往往都是下了班到家,因为太懒(不是)太累了,匆匆忙忙的做顿速食了事。所以工作室的小伙伴们平时除了淘好物,就是探索一些好吃的速食。So,今天就是为大家深度、真实的测评一下,最近很火的&大家比较推荐的一些速食美味

全面系统规范公职人员惩戒制度 丨解读《公职人员政务处分法》

1240 中央纪委国家监委网站

  中央纪委国家监委网站瞿芃报道6月20日,十三届全国人大常委会第十九次会议表决通过《中华人民共和国公职人员政务处分法》。这是新中国成立以来第一部全面系统规范公职人员惩戒制度的国家法律。  在监察法以法律形式明确政务处分概念的基础上,通过立法健全完善政务处分制度,是强化对公职人员监督的需要,也是完善党和国家监督体系、推进国家治理体系和治理能力现代化的重要内容

风暴之眼!实体利润下滑严峻!金融系统要向企业让利1.5万亿!| 周末阅读

1831 通商荟

如果说房地产抢走了其他实体企业的各种资源(信贷资源/产业资本投资/社会人力要素等),那么以银行为首的金融体系可谓是拿走了实体企业绝大多数的利润!根据上海和深圳两家证券交易所批露的3827家上市公司2019年财报,整个2019年,全部A股上市公司总净利润为3.78万亿元。而净利润前四名公司当然是大家“非常喜爱”的工商银行、建设银行、农业银行和中国银行。这四大行

破解未成年人沉迷网络游戏 既要“硬态度”,也要“硬技术”
游戏

破解未成年人沉迷网络游戏 既要“硬态度”,也要“硬技术”

329 游戏头条

游戏头条微信号:gametoutiao(←长按复制)中国首家顾问式新媒体定制属于您自己的媒体内容导语:12月18至19日,在海南省海口市举行的2019中国游戏产业年会上,游戏行业代表以及亲子领域的教育专家齐聚一堂,就此问题进行了深入探讨,一致认为应该携手让游戏成为创造美好生活的文化力量。今年11月,国家新闻出版署发布《关于防止未成年人沉迷网络游戏的通知》,针

梦幻西游电脑版:4月门派大改在即,史书魔FC还能获得提升吗?
游戏

梦幻西游电脑版:4月门派大改在即,史书魔FC还能获得提升吗?

1798 叶子猪游戏网

Hello大家晚上好鸭,四月份门派调整在即,很多玩家都发出自己对于门派调整的一些看法或者建议,对此小编也有一些想法想和大家讨论下。正文开篇之前,我先来和大家说下我之前的经历,我之前是在状元坊玩175龙宫的,但是龙宫目前的环境大家都知道,后来就转了魔方寸,今天就对于魔方寸的门派调整说几点建议吧。2019年10月份的门派调整,魔方寸号称史诗级加强,随后在服战中魔

不喜欢发朋友圈的女人,一般都有这三个性格特点,准!
私房话

不喜欢发朋友圈的女人,一般都有这三个性格特点,准!

325 时光漫漫

作者:白小姐来源:白兰花Michelia(ID:nvrendds)一个人发朋友圈的习惯,能够反映出他的性格和特点。喜欢在朋友圈里,分享自己的生活的女人,大多热爱生活,性格比较开朗外向。而那些不爱发朋友圈的女人,其实身上也有很多优点,细细体会,你就会知道。01有主见,不盲从不爱发朋友圈的女人,大多个性独立,有很强的原则和主见,做事情不会盲从,也不会跟风,而是尊

Angelababy出轨陈赫?黄晓明力证:爱着就对了,不爱就散了!
私房话

Angelababy出轨陈赫?黄晓明力证:爱着就对了,不爱就散了!

584 八卦爆料

最近,一张图刷遍了朋友圈:很多人在还没求证的情况下,就大肆传播:“Angelababy出轨陈赫,和黄晓明婚姻告急。”可是,这张图不是Angelababy和陈赫拍摄电影《微爱》的剧照吗?果不其然,很快两人的工作室就出来澄清,所谓的“车内激吻”不过是一张剧照而已。Angelababy和黄晓明的婚姻也没出啥问题。这不,前不久两个人还合体一起出席活动呢。在走台阶的时

萌宠

流浪猫每天陪武警小哥哥训练,独宠一人,有点甜

1081 二货萌宠屋

在部队纪律的规范下,兵哥哥总显得特别严肃。但当“木讷”的兵哥哥遇到流浪猫,也会有暖心的一面。根据“中国青年网”分享的视频能够看到有一只流浪猫每天都坚持陪着武警小哥哥训练。更让人觉得惊奇的是,这只猫咪每次都在独宠一人,难道这只猫咪是兵哥哥偷偷喂养的吗?还是兵哥哥有着吸猫体质呢?每天到了训练的点,猫咪就会自发性地来到操场上,接着转悠一圈找到它的意中人。在兵哥哥训

《莎木3》上架PlayStation Store港服
游戏

《莎木3》上架PlayStation Store港服

695 大众软件

《莎木3》已上架PlayStationStore港服并开启预购,普通版售价约439港币(约合396人民币),豪华版售价559港币(约合504人民币)。商城链接https://store.playstation.com/zh-hant-hk/product/HP1961-CUSA16480_00-ASIADX0000000000预购特典-SHENMUEIII-

游戏

无伤消耗自带无CD复活甲,“电梯流”你会玩吗?

1564 ACE艾斯电竞

大乔+公孙离组合而成的“电梯流”体系在KPL联赛中横空出世,但是在路人局中也只有在高端局中偶尔出现,有不少小伙伴在后台询问这个体系的玩法,今天它来了。英雄分析公孙离是单挑能力最强的射手,对线任何一个射手都能够打出压制效果,但缺点也同样显而易见,那就是操作难度过高并不适合中低分段的玩家使用46.44%的胜率虽然排在所有射手的最后一位,但是在高分段中公孙离可是不

猫咪被人故意从后方纵火,背部和头受伤严重,烧伤面积达到50%!
萌宠

猫咪被人故意从后方纵火,背部和头受伤严重,烧伤面积达到50%!

350 萌宠治愈师

在街上也许你能看到很多的流浪猫,因为它们的警惕性比狗狗要高,所以一般人们想要救助它们也很困难。就有这么一位女孩叫花花,她最近就在小区里遇见了一只流浪猫。这只猫咪从不允许人们靠近它,所以花花只能是给它投食食物来每天喂它。花花觉得这样一直喂它的话,总能取得它的信任吧,终有一天会成功收养下它的。但是猫咪好像是过惯了流浪的生活,几个月的时间过去了,它还是喜欢在外面游

私房话

无论是夫妻还是情人,当对方频繁在微信里回复你这两个字,说明你在他心里没那么重要了

1691 走过笔尖的句子

☝点击"走过笔尖的句子"更精彩一段感情里,男人有没有把你放在心里,把你看得很重要,其实通过细节就可以看出来。有时候也许他没有说分手,但他的态度却发生了变化,比如从前在微信里聊天,他都是很主动,也会和你说个不停,明明要说晚安了还想多和你聊几句。而现在呢,不再主动找你,就算你找他,他也总有借口,甚至聊着聊着就不见人影了。也许他真有很忙或是有其他事情,但大多数时候

王者荣耀:顶级比赛最喜欢ban的英雄一览,他们在中低端局并不强
游戏

王者荣耀:顶级比赛最喜欢ban的英雄一览,他们在中低端局并不强

554 游人馆

之前给大家发布了王者荣耀全年的比赛数据,其中被ban得最多的就是姜子牙了,那么除了他之外,还有哪些英雄被ban的次数也很多呢?我们来看看官方统计的其他数据吧。TOP5上官婉儿排名第5的是上官婉儿,虽然这个英雄从某种程度上来说是一名新英雄,但她一出来就成为了高端局和比赛的宠儿,主要是远距离的切入是在太imba了,自己还是无法选中的无敌状态,后来就因为单杀能力太