等级保护 20 测评要注意哪些重点.docx

1、等级保护 20 测评要注意哪些重点等级保护 2.0 测评要注意哪些重点导读随着2019年5月13日，信息安全技术网络安全等级保护基本要求（GBT 22239-2019）（以下简称等保2.0）正式发布，我国的网络安全保护标准体系正式进入到等保2.0阶段。 “等保2.0”与中华人民共和国网络安全法中的相关法律条文保持一致，是指对网络和信息系统按照重要性等级分级别保护的一种工作。保护对象包括基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。内容提示针对通用安全部分，三级和四级系统共有 45 条新增以及容易被忽略的要求向，如下表

2、所示：下面将会针对这些要求项逐条进行说明。技术部分安全物理环境1.机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员按照以前的标准，门禁系统可以不是电子系统，可以通过流程和人来管控，但在新的标准中要求必须是电子门禁系统，即使流程管控再严格也是不符合要求的。2.重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员（四级）针对四级系统的要求，通常机房中会按照区域进行划分，但是对于重要区域的二道门禁，一般机房目前并无配置，因此这点要注意，尽快安装配备相应设施。3.应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等本项其实不算大事，但是也是容易忽略的问题。往往进了机房习惯性的

3、上机就开始操作，不做除电。这里可以在每排机柜上配备一个防静电手环，在机房制度中新增一条关于静电消除的操作规范要求，基本可以符合。4.应设置冗余或并行的电力电缆线路为计算机系统供电要求三级及以上系统所在的机房要具备双路并行电力线路，来自不同供电站的电缆，目前大多数自建机房应该是不符合要求，大型 IDC 和云机房通常都有相关设计。不过介于整改比较困难，应该不会作为否决项，只是扣分而已。5.应提供应急供电设施（四级）针对四级系统的电力要求，基于三级要求，还要额外配备发电机，以应对市政停电情况。标准中并未提到双发电机的要求，但是介于冗余性考虑，有条件的可以配备。如果是大型数据中心，要配置多少台就要看实

4、际规模了，一般是在 10-20 台的机组，采用 2N 或 N+1 的配置模式。这不是我们需要关心的，所以看看就好。安全通信网络1.应在通信前基于密码技术对通信的双方进行验证或认证（四级）通常默认情况，我们 SSL/TLS 的认证是单向的，即只对服务端认证，那么对于四级系统，新标准要求必须开启双向认证，即同时对客户端也要进行认证。这里额外说明一下，根据公安三所专家的解读，通信加密所采用的算法应该基于国密算法（SM1、SM2、SM4、SM9 等），而非国际通用加密算法，不过介于目前大多企业采用的设备不支持国密算法，另一方面国密算法的推广和应用也在逐步完善，因此个人认为此项也非否决项，只是扣分项，不

5、过未来可能会变为强制要求。（有关双向认证的细节，可参考本人之前发表的等保 2.0 个人解读安全通信网络部分）安全区域边界1.应能够对非授权设备私自联到内部网络的行为进行检查或限制（入侵检测）2.应能够对内部用户非授权联到外部网络的行为进行检查或限制（行为管理）此处两条是东西向的访问检测与限制，目前通过 IDPS 以及行为管理设备基本可以满足相应要求，测评时可能会查看策略启用效果以及检测和阻断记录，需要注意。3.应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络首次在标准中提到有关无线网络安全的要求，这里要求比较基础，只要各无线 AP 或无线路由均通过 AD 进行管理和控制即符合。

6、4.应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时，对其进行有效阻断这部分在等保 1.0 中也有过相关要求描述，但没有如此具体，该项要求完全从技术上解决目前基本不太可能（当然，如果企业具备将附近基站的数据和语音分离的权限，那么这想倒是可以从技术上来搞定），通常是管理为主，技术为辅的方式来控制。毕竟个人热点和无线网卡等应用，很难及时发现。建议重点在制度上入手，形成意识、管理、流程上的多方面管控，以此达到要求。5.应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化新要求，重点是要定期优化和清理 ACL 以及策略路由等配置，测评时会查看当

7、前安全策略配置以及规则优化和清理的记录。6.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为这里是对策略进行双向（in/out）应用，强调东西双向控制。7.应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析强调对于 APT 和 0day 一类的攻击检测和防护能力，介于目前态势感知和威胁平台的水平，实现起来很难，而且不是每家都有这么强实力的安全团队。所以，如果你又某某家的态势感知产品，通常测评中心不会为难你。对于新型攻击，可以从人的角度（应急团队、安全团队）来强化管控和预警能力。8.应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析即对

8、外接口的用户行为以及内部访问互联网的用户进行单独审计，如果在同一套审计平台中可以建立不同的审计任务，那么是可以满足要求的。如果不行，可能就要搭建两套审计平台来实现。不过也不是必须要达到的，属于扣分项。安全计算环境1.应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞定期漏洞扫描工作，这次不是只扫描就 OK 了，对于发现的漏洞要进行验证，确认漏洞的真实性，然后对于真实漏洞进行整改。很刺激对吧，要验证了哦。2.应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警这明显说的就是 IDPS 嘛，同行 NGFW 也具备同样能力。什么？你们没有防火墙，抱歉，我只能帮你到这里了

9、，自求多福吧。这条可以直接否了你的本次测评。3.应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地在老标准的基础上，等保 2.0 标准明确提出实时备份至异地，不过好在是对于重要数据，这点各家根据实际情况来权衡吧。没有的话肯定是 GG 了，有的话看情况，不能做到实时，但是有异地备份，这算是基本符合，不会被判定否决，可以后期列入整改计划，逐渐完善。中小企业或者云上系统，可以把这锅甩给云供应商；大型企业和自建机房/私有云的公司，建议尽可能完善，不求有功，但求无过。其实基本上等同于双活，只是没提切换延时的要求。4.应仅采集和保存业务必需的用户个人信息5.应禁止未授权访问和非法使用用户个人

10、信息这两条都是关于个人信息保护的要求，基本就如字面意思。稍微解释一下，一方面是采集个人信息时，只能采集所需的必要信息，对于这类信息你可以收集，但是若未授权不得随意访问和修改信息，也就是说，信息可以放在你们这，但是我不同意，你就不能看，除非协助公安和相关部门处理特殊事宜时的强制配合。另一方面，信息收集过来后，不可以随便向其收集发送各种推销、广告以及恶意链接，这些操作都不可以。也就是说，对于一些常规流氓操作进行了约束和控制，虽然不知道效果如何，但起码提出了相应要求。这方面，对于那些需要采集个人信息的系统，是比较难搞的一项要求。靠技术展示基本不大可能，所以就要尽可能的解释，从管理制度、操作规范、员工

11、培训、惩罚制度、保密协议、流程管控方面来说明，你们做得如何好，基本这样就差不多了。但是，未来几年，数据安全是趋势，信息安全和隐私保护都在立法阶段，后续的监控也会越来越严，因此建议还是要从实际出发，不要只考虑眼前的测评，多想想以后怎么跟监管解释吧。安全管理中心1.应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求2.应能对网络中发生的各类安全事件进行识别、报警和分析这两条要求是对日志留存的要求，等保 2.0 标准不再对日志留存时间进行要求了，但是对于全流量以及安全事件日志必须留存。那么是不是可以不用再存放 6 个月了呢？请看这里：网络安全法第二十一条：

12、（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。大家懂了吧，所以以前怎么干的，还怎么干。管理部分安全管理制度1.应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等2.应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系3.应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订这三条要求中，等保 2.0 标准均有所变化，尤其最后一条，要对合理性和适用性进行论证，那些模板的东西已经没用了。那么怎么来改呢？方针和策略一般公司都会有，如果没有的话，

13、尽快制定 2020 的 IT 和安全规划，目标和策略其实可以很简单，好比阿里的三句话策略。但是要贴合实际，不要胡扯。那么策略、制度、规程、表单（ISO 27001 的四级文档）就会配套进行修订，形成一套体系，如果已通过 ISO 27001 认证的，可以以此来证明自己已有安全管理制度体系。没有的，要尽快建立一套贴合业务和 IT 现状的制度，可以简单点，只要能落地就好。最后，关于合理性和适用性，一般是对于制度和流程的落地试点情况。体系比较完善的企业，在制度发布或修订时会进行内部评审，通过后才可正式发布。没有相关流程的企业，可以将此作为缺失的环节，在后续制度体系中增加或完善相应管理。安全管理机构1.

14、应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权这点很多公司都没做好，主要体现在两个方面。一是，领导小组架构和职责很明确，但是岗位责任人是职位（如总经理、安全部总监）而不是人名，这样就无法做到责任落实，不符合领导小组的初衷；二是，组长的任命是空口说的，没有正式的任命函或董事会级别的正式通知。这两点如果都能做好，基本就没太大问题了。2.应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程，对重要活动建立逐级审批制度老生常谈的事情，凡是和安全相关的过程记录都要留存（纸质或电子记录均可），这种东西一般不太好凭空去造，所以还是建议踏踏实实的去建流程，落实制度

15、。流程可以不够全面，但是一定要能落地，能运行起来。3.应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等等保 2.0 标准强制要求，定期进行全面安全检查，不只是技术层面，也包括制度层面。通管局、工信部的安全检查是监管，不属于要求中提到的检查，要各企业自行组织开展，并形成报告、对发现的问题整改、复测整改情况等。今年没做，明年要至少进行一次检查工作，类似银保监的安全自查评估。4.应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报结合前一项要求，除了自评估安全检查，还要制定检查表，检查过程的现状

16、调研和检查结果记录表单也要汇总保留。有点类似于风险评估，包括资产、威胁、脆弱性。这里提一句，某些厂商坑爹的评估也称为风险评估，希望各位多去看看 GB/T 20984，好好了解下什么叫风评，不要随便测测出个报告就叫风评。安全管理人员1.应定期对不同岗位的人员进行技能考核首次提出针对技能进行考核，也就是针对不同岗位（运维、安全、开发、测试等），进行相关技能培训与考核。可以不用针对每一个 IT 相关岗位，但是要有一定的覆盖度，比如今年我们主要侧重运维和安全，明年主要侧重开发和测试，同时在制度和培训考核计划中也要有体现。安全建设管理1.应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定2.应组织相关部门和有关安全专家对安全整体规