【牛人访谈】等保2.0合规最佳实践,一体化安全管理建设
星期五, 八月 7, 2020
本文从等保2.0合规建设入手,提出如何依托构建一体化安全管理平台实现合规建设投入少、实用性强、实用性广的解决方案,为等保2.0在实践中如何落地提供思路。
凌飞
南京联成科技发展股份有限公司董事长
19年专注网安技术服务,行业中承上启下的幕后保障者
江苏南京浦口区政协委员
江苏省青年企业家联合会常务理事
第四届江苏省“诚信之星”
2018年江苏年度经济人物系列:江苏十佳双创苏商
公安部等四部委分别于2007、2008年颁布实施的《信息安全等级保护管理办法》、《信息安全等级保护基本要求》宣告我国网络信息安全进入等保1.0时代。等级保护1.0标准体系构成了国家网络信息安全基本要求体系。通过十余年的时间的发展与实践,为保障我国信息安全打下了坚实的基础,成为了我国非涉密信息系统网络信息安全建设的基本遵循。
然而随着我国互联网产业的迅速发展、信息化进程的不断推进以及数字化转型程度的加深,信息数据处理越来越复杂,所面临的威胁也与日俱增。一方面,由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显。另一方面,云计算、大数据、工业控制系统、物联网、移动互联等新技术应用范围不断拓展,导致等级保护对象面临的威胁多样化、安全需求差异化日益明显。等保1.0标准体系已无法满足新时代网络信息安全需求,在适用性、时效性、易用性、可操作性上都有待进一步扩充和完善。
新业态、新技术呼唤新标准,等保2.0应运而生,2019年12月1日正式实施,对等保对象、安全合规等都有了进一步要求,对推进网络信息安全产业发展、强化政企行业安全能力起到极大促进作用。我国网络信息安全进入等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等保2.0时代网络安全呈现出复杂、多样趋势,政企行业仅以合规导向进行安全建设,难以满足实际安全需求。政企行业安全更加注重实战和效果,呈现出实战化、体系化、常态化的特点。在此背景下,新安全体系建设对安全理念、技术、管理、人才都提出了更高的要求,增加安全管理中心,实现集中管控是安全形势和安全技术发展的必然趋势。
等保2.0不仅要求提升安全防御能力,更要求强化安全管理,强调要做到一个中心、三重防护和可控可管,其中一个中心就是指安全管理中心。与等保1.0相比,等保2.0安全管理中心的范围和内涵都有了进一步拓展。等保1.0安全管理中心仅是对第三级及以上系统的要求,而等保2.0,从第二级系统就开始要求建立安全管理中心;等保1.0仅在系统运维管理控制项下中要求建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关的事项进行集中管理,属于管理要求范畴,而等保2.0下系统管理和审计管理属于安全管理中心基本内容,第三级及以上的安全管理中心还要求增加安全管理和集中管控功能。而且等保2.0对安全管理中心有了更详细、更严格的要求。在其安全通用要求中,第二级系统的安全管理中心控制项下共有4个要求项,第三级共计12个要求项,第四级共计13个要求项以及26个测评点,包含三个高风险项。以上变化使之成为合规建设中的“重难点”所在,使政企行业等保测评通过难度更大。
安全管理技术平台是对网络安全等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的系统平台。具体包括系统管理、安全管理、审计管理和集中管控。主要负责系统的安全运行维护管理,其边界通常为安全管理自身区域的网络边界访问控制设备,与被管理的网络设备区域、服务器区域进行安全配置数据交互,完成整个系统环境安全策略和安全运维的统一管理。
在实现方式上,市面上主要通过部署相应堡垒机、网管、日志审计等类似产品达到安全技术防护目的,对政企客户而言,解决方案都不可避免的会出现数据不集中,无法关联事件分析,等保合规建设成本高、产品堆叠,运维压力大、运维成本高、设备自身安全难以保证等问题。
如果仅用一个平台就能够解决等保2.0安全管理的所有要求,在规避因产品堆叠造成的数据不集中、合规成本高、运维压力大等弊端同时,坚持充分利旧,保护已有投资原则,对已建设设备进行对接,通过将客户原有的产品纳入一体化安全管理技术平台管理,保证后续继续使用,保护客户原有投资。
基于以上思路,构建一体化安全管理平台时,对标等保2.0标准规范,在技术层面,需提供资产统一管理、资产集中监测、事件统一管理、告警统一管理、安全统一管理、集中审计等技术功能。同时依托技术层功能实现管理体系,助力安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等安全管理制度体系落地。
等保2.0安全管理体系包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五部分,在等保2.0测评中占115测评项,总分50分,且由于管理体系测评时存在较大人为因素,为了规避对于管理的不重视,除了制度的检查,等保2.0在测评要点中还详细罗列要求对于制度落地性的检查,因此忽视安全管理体系建设,将导致大量丢分,难以通过测评。
没有完整可行的安全管理体系,也会给测评对象造成管理上的困扰。如易造成管理组织分工不明确,工作内容与标准不明确,管理要求难实现,制度难落地,人为因素风险大;管理与执行过程缺乏缺乏有效记录和存档,容易造成运行管理执行不合规,留下潜在合规风险。
针对以上问题,可以在一体化安全管理平台上增加制度体系建设功能模块,将制度和技术相结合,结合用户实际管理情况设计整套制度模板便于参考使用,并可进行线上制度评审和修订,将制度流程化、表单化、标准化,实现安全管理制度体系的电子化线上管理。从而保障管理合规和制度执行,减轻管理员的工作量,便于高效、准确的查到到所需表单、数据,大大提升测评效率和测评通过率。值得一提的是,还能有效避免因为人员流动、变更、人员责任心等因素造成的数据不全、遗失、查找不便的弊端,以“制度+技术”规避“人为”的不确定性。
合规建设不是一次合规,终身受用,随着时间推移、环境变化,测评对象自身规模不断扩大,数据信息不断增加,安全威胁和漏洞可挖点也会同步增加,造成潜在合规风险,因此合规建设并非一劳永逸,持续规避合规风险需依靠后期安全管理监管和运营。在等保1.0建设时期,就出现过大量前期合规建设通过后,后期运维跟不上导致的“返工”案例。增加设备和系统软件后,如果没有专业、充足的运维人员做支撑,也无法真正发挥其真正价值。而对于大多数测评对象而言,不可能实现自主组建和培养一支专业的、全技术团队,不仅人员成本高,在培训、管理上难度也很大。因此一体化安全管理运营建设必要性也彰显出来,可以有效保障合规建设的持续售后服务,使测评对象更省心、更安心。这也是一体化安全管理平台持续价值的重要体现,为后期的扩展升级、延伸发展打下坚实基础和有力保障。
合规建设后安全管理运营主要包括环境管理、资产管理、介质管理、设备维护管理、 漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等方面。通过集中管控平台建立运行监测、实时响应、快速处置的主动运行管理服务,进行合规检查、威胁检测、系统巡检、特殊保障等运行保障服务,保障持续合规,避免安全检查风险;同时针对多级管理体系,建立统一运行管理中心、监控中心、技术支持中心,实现技术资源的整合与有效利用,实现多级架构、多组织统一运营管理;针对行业主管单位、总部监管单位,建设统一监督管理平台,实现对行业组织单位系统运行监控,及时掌握行业组织单位系统运行管理情况。通过整合技术资源、管理优势以共享服务的形式提供一站式服务,打造合规—管理—服务一条线服务体系,解决合规建设、管理落地、统一监控及远程服务遇到的难点痛点,从而实现安全管理中心、安全管理体系的落地,将复杂化的管理体系通过信息化手段实现,提升一体化安全管理能力、效力、响应处置能力。
具体来说,可通过远程在线安全运维,实现IT人员、服务商的远程访问、远程管理与支持,提高响应时效,获得专业技术支持,保障特殊时期、特殊条件下的安全运维等。对于客户而言,节省了一大笔人员开支,尤其针对起步阶段资金困难的中小企业,且服务团队更专业,线上服务模式更及时高效、更便捷省力。对于厂商而言,也可合理化发挥技术团队优势,为客户提供高效便捷性价比高的服务。
等保建设是我国网络安全产业的重点所在,也是促进和推动业务发展的核心力量,在“新基建”的热潮下,网络信息安全地位和影响也越发重要。等保2.0的发布实施是十余年来等保的唯一一次的变化,充分体现了网安发展的新趋势、新方向。如何从甲方思维出发,提供更为贴合、适用的解决方案,如何确保合规建设不是“形同虚设”,而是“润物无声”是每一位网安人值得思考的。
“安全管理中心”的C位出道,不是偶然,而是必然。在互联网“化繁为简”的发展浪潮中,一体化管理已是大势所趋。
相关阅读