等保2.0测评：安全管理体系建设思路

在实际项目中，很多单位都太不重视等保的安全管理方面，也有很多单位比较重视，但是又不知从何入手。因此本文从等保2.0三级基本要求方面的简单介绍下安全管理体系的建设思路。

一、安全管理建设的重要性

这个很多人可能很难理解，尤其是于网络攻防的人来说，可能觉得打遍天下CTF，技术这么NB了，还要啥安全管理呢。这里举几个小例子，比如在运维管理方面，有些单位买了一台堡垒机，要求所有服务器、网络设备和安全设备都需要从堡垒机登录，但是在服务器、网络设备、安全设备上未作登录地址限制仅允许堡垒机的地址，这样就可能存在绕过堡垒机直接登录服务器的可能，在数据备份恢复方面，又比如关键的防火墙配置未及时备份，结果一场停电或者设备恢复出厂导致无法登录，更换新防火墙又没有最新的配置文件，又比如有些单位没有落实数据库系统、操作系统的管理权限分离原则，导致自己单位的业务数据库自己无法登录，却只能依靠第三方厂商解决，一旦出现数据丢失或误删除或者迁移之类，得花一笔服务费，而且数据也可能早就被泄露出去了。三分技术七分管理其实还是很有道理得，更不谈如果是社会工程学攻击场景下，再好得技术是否真的能保护重要资产。很多商业银行分行的安全产品不是那么多，架构也很简单，比如笔者遇到的某个省会城市的某个商业银行分行，安全设备其实也就几台思科四层防火墙外加2台IDS和1台日志审计，没有高大上的态势感知，也没有下一代防火墙，防火墙访问控制策略也未精细到端口级，但是，银行的安全管理方面落实的很好，比如准入控制，全行所有终端必须安装准入，没有例外，安全设备的日志每天有人分析并邮件通知，交换机和防火墙的固件版本总行会不定期发布并升级，安全预警事件专门有人负责，因此，安全防护水平不亚于很多政府的数据中心，测评分数也很高，基本都是90分以上（2019版）。这说明决定安全防护水平的并不仅仅取决于有多少渗透测试专家，有多少安全设备，更取决于日常的安全管理体系的建设和落实。

二、安全管理体系

总体在等保2.0中，安全管理体系文件主要分为管理制度、操作规程、过程记录三大类。管理制度这个比较好理解，主要就是各类管理办法规定、各类通知等，操作规程主要是各类设备操作指南，比较像CNAS的作业指导书，用于指导人员对日常设备的操作维护，过程记录则是所有管理措施的文档，包括审批记录、修订记录、巡检记录、变更记录、分析记录等。也可以这样理解：管理制度代表有没有、操作规程代表怎么做、过程记录代表做了没。理解这三大块后下面的管理体系建立就比较容易理解了。

三、安全管理制度

等保2.0中安全管理制度要求中主要有安全策略、管理制度、制定和发布、评审和修订4个要求，实践中不一定按照这个顺序，因为安全管理体系建立必须先建立组织架构才能开展后面的安全策略、管理制度等工作。该层面是安全管理体系建设的第一步，即建立安全管理组织架构、安全方针、安全策略和管理制度制定修订。每个单位的业务不同，组织结构也不同，因此，安全管理架构、安全方针和安全策略也不同，因此，根据自己业务类型建立自己的组织架构。关键原则就是，信息安全组织一定要独立于业务部门和IT部门，最好能略高于业务部门和IT部门，否则，信息安全工作开展后期会非常困难。比如大型生产制造型企业，可以在集团层面建立信息安全管理委员会，下设各个专业组，该委员会直接向董事会汇报。另外，还有一个比较重要是的，这里要明确网络安全领导小组的组成人员、工作流程和职责，最好能以正式通知的形式下发。建立好组织架构后，紧接着需要确定安全方针，安全方针是根据企业战略制定的，比如有的企业安全方针就是“1坚持以人为本；2提高人员信息安全风险意识；3确保本单位信息系统安全运行。”方针不需要太多，几句话就可以，有点像学校的校训。确定好安全方针后，需要制定安全管理策略。安全管理策略就是根据安全方针，在网络、机房、数据、应用系统、开发、实施、验收、人员等各个方面确定安全管理目标，并以管理制度、操作规程、过程记录形式确定下来，这个是企业安全管理最重要的一个环节。在安全策略制定方面，一定要结合实际情况制定，比如有些单位的系统是托管在公有云，那么在机房和网络管理这发那个可以暂时不用考虑，但是在数据安全这方面得重点考虑，比如数据如何备份恢复、数据如何迁移、数据如何加密脱敏等。建议先确定好多个层面，然后在每个层面下面再逐步展开。完成管理制度、操作规程和过程记录后，剩下的就是如何发布、修订和评审了。这个重点是1确保发布出去能到达每个基层人员手中，包括系统操作人员；2是定期检查是否存在漏洞或者不适用自己单位业务流程的地方，需要进行修订。

四、安全管理机构

等保2.0中的安全管理机构主要在岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面有要求。岗位设置方面，要求是除了需要建立指导和管理网络安全工作的委员会或领导小组和网络安全管理部门外，还需要设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。这个在大型单位容易实现，但是在小单位确实难，很多单位信息化建设的也就两三个人。但是这个倒不是必须每个岗位都是专职，可以兼职，只是兼职有限制，比如安全管理员不能兼任，必须是专职的。这个需要说明的一点就是，安全管理员、审计管理员和系统管理员主要是岗位角色，不是单个设备的账户！！！职责上要相互牵制，比如可以规定安全管理员负责所有设备、数据库、应用系统、操作系统的账户权限分配；审计管理员只负责所有所有设备、数据库、应用系统、操作系统的日志功能；系统管理员负责除了安全管理员和审计管理员外其它事务，还可以进一步细化上述职责。人员管理方面，这个同上，主要是安全管理员不能兼职，审计管理员和系统管理员可以兼职。授权和审批方面，这个主要是根据各个部门和岗位确定日常的授权和审批流程，比如网络设备配置变更方面，哪些人审批、是纸质的审批单还是电子的钉钉或者OA，通过这个可以梳理日常工作流程。沟通和合作。这个主要是针对内的部门间、上下级间如何定期协调沟通网络安全问题，可以建立简单的机制，比如每月开个短会，由网络安全部门汇总本月的主要安全事件，并提出处理建议，临时性突发事件可以通过电话会议、QQ、远程会议等方式协调沟通；对外则需要和一些业务主管部门、供应商、开发商、电信运营商、电力部门、消防部门、公安机关、通管局等单位进行定期沟通；最终形成一个沟通管理制度和联系清单。审核和检查。这里需要制定检查管理制度，定期对系统日常运行、系统漏洞和数据备份、安全保护措施有效性、策略有效性等开展安全检查，并形成安全检查报告，对于严重违反安全策略的情况可以进行通报。

五、安全管理人员

安全管理人员主要在人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面有一些要求。人员录用方面，可以在人员管理制度某个章节中制定，比如先制定每个岗位的岗位要求和人员录用管理部门，然后制定人员招聘、笔试、技能考核、背景审查、合同签订、保密协议签订等流程。这里需要注意的是，在关键信息基础设施保护条例、网络安全法等相关法律中，重要岗位必须进行背景审查，审查标准目前还没有统一，但是通常来说，如果在个人征信方面存在较大消费贷款未偿还、受过网络安全犯罪刑罚的、具有外国国籍的等情形是不宜录用的。人员离岗方面，需要在管理制度中明确离岗交接流程，注销相关账户权限、收回U盘、电脑等重要资产，建议可以在离职审批单中加入。此外，还需要在离职证明或者保密协议上承诺离职后不得泄露企业重要机密信息。安全意识教育和培训方面，1需要根据不同岗位人员建立不同的培训计划，比如针对基层操作人员，主要开展日常办公安全培训，对于运维人员，开展数据库安全、操作系统系统、安全开发等培训，对于管理层，可以开展政策法规、社会工程学培训。2需要在管理制度方面明确惩罚措施，这个项目中比较少见，一般没有，或者就是情节较轻罚款或解除合同，严重就是移送司法机关等，这类比较笼统，建议可以进一步细化，比如可以设置一般违规，警告就可以，造成数据丢失或者系统中断1小时以上等严重后果，罚款XX元，故意企业机密信息或者业务数据XX条以上，解除合同，触犯刑法的，移送司法机关处置。3则是需要对岗位人员开展技能考核，确保满足人员录用中的相关条件。这个可以通过电子行考试或者纸质考试的形式开展，一般3个月或6个月一次就够了，没必要太频繁。外部人员访问管理方面，这个可以单独制定章节，1重要区域比如机房等重要区域必须先申请后审批并承诺保密义务后，由专人陪同，记得曾经有个真实的案例就是某个体彩中心的服务器被人入侵导致中了一等奖，事后才发现是通过单独进入机房时候，偷偷把含有木马的U盘插入服务器中实现入侵的。因此，应该在管理制度中规定，机房区域必须要先申请后审批才能由专人陪同进入，且必须全程陪同。2外来人员如果要接入网络中，需要提出书面申请和审批，这个一般如果在有准入控制的网络中比较容易实现，如果没有则比较麻烦。3外来人员离开时需要清除各类网络权限和账户权限。

六、安全建设管理

在安全建设管理中，一共有定级和备案、安全方案设计、产品采购和使用、自行-软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择要求。建议可以根据每块内容单独制定一个章节，外包开发和自行开发可以合并在一起制定。

安全方案设计，安全方案设计主要在信息系统设计阶段需要将安全保护需求纳入，实现同步设计、同步开发、同步验收，且该安全方案需要由业务部门、开发部门、安全部门同时评审，评审完后才可进入下一阶段。如果是保密性和完整性较高的系统，必须安全设计方案中必须包含密码应用方案，对不符合国密局要求的MD5等算法要在设计方案中进行更换符合国密要求的方案，避免后期开展商密测评时又要重新整改。这个流程可以这样设计，首先由开发单位在完成需求分析时，将安全防护需求纳入需求分析报告，通过评审后，再由开发单位编写设计方案，通过评审后才可进入编码阶段。

产品采购和使用，在《产品采购管理》部分中，1要求主要是安全产品必须要有安全产品销售许可证，密码产品必须有商用密码产品认证证书，并加上查询的网站，便于日常查询。2对于常用产品还需要制定产品选购目录，定期更新，要求企业内部的日常采购原则上应该从产品目录选购。

自行-软件开发，可以在《软件开发管理-自行开发》章节中，制定至少应该包含开发环境和正式环境隔离、制定安全开发规范、开发文档版本控制、开发控制流程（包括变更、提交、测试等）、安全测试和后门扫描流程等内容。

外包软件开发，由于软件是外包开发，因此，外包开发管理的重点主要在软件后门检测、病毒检测和开发文档提交三个方面，避免交付的软件本身带毒或者无维护文档，对后期的二次开发和升级迁移造成困难。

工程实施，可以通过制定《项目管理》章节明确信息化项目的项目管理流程，比如项目可行性研究、项目立项、项目招标、项目监理、项目变更等内容。如果有条件建议还是请专业的IT监理公司比较好，可以省很多心。

测试验收，项目实施完后，就是需要测试验收了，可以通过制定《项目验收管理》来明确测试和验收流程，在这个环节中，首先要制定测试验收方案，测试方案中主要包括功能测试、安全测试、密码测试等，这个也可以让开发单位编写，主要内容包括测试时间、测试内容、测试结果判定、测试原始记录、是否满足需求，然后通过《验收单》确定验收时间、地点、参加人员 、验收过程、验收结论等。

系统交付，这个也可以放在《工程项目管理》章节中，也可以单独成章节，系统交付管理至少应该明确交付清单、操作培训和使用维护文档等3个方面的内容。

等级测评，这个就比较简单，主要制定系统重新测评或备案的条件即可。

服务供应商选择要求，可以通过制定《服务供应商管理》制度，主要规定服务供应商的资质要求，这里仅仅是服务供应商，不包括产品供应商，比如安全服务资质的有中国网络安全审查技术与认证中心的安全集成、安全运维、风险评估、应急处置、软件安全开发、灾难备份和恢复、工业控制安全和网络安全审计服务资质，等级测评服务资质需要在全国等级测评机构推荐目录，商用密码测评资质需要在商用密码应用安全性评估试点机构目录中。与服务供应商签订协议还需要明确保密义务，这个目前基本都会有的，最后，还要定期跟踪、监督服务履行情况。