12 月 1 日，等級保護(hù) 2.0 標(biāo)準(zhǔn)正式實(shí)施，不過因?yàn)槭窃谀甑?，大多?shù)企業(yè)等級測評工作已經(jīng)完成，所以重頭戲應(yīng)該在明年，這也是國家給企業(yè)充足的學(xué)習(xí)和整改時(shí)間。那么，在這個(gè)空檔期，來和大家聊聊等級保護(hù) 2.0 測評時(shí)有哪些需要關(guān)心的重點(diǎn)吧。

有關(guān)新老標(biāo)準(zhǔn)的變化，可以參考之前文章或三所的解讀，不再重復(fù)，這里說說比較接地氣的東西吧。

這里總結(jié)了一下，針對通用安全部分，三級和四級系統(tǒng)共有 45 條新增以及容易被忽略的要求向，如下表所示：

下面將會(huì)針對這些要求項(xiàng)逐條進(jìn)行說明。

技術(shù)部分

安全物理環(huán)境

1.機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員

按照以前的標(biāo)準(zhǔn)，門禁系統(tǒng)可以不是電子系統(tǒng)，可以通過流程和人來管控，但在新的標(biāo)準(zhǔn)中要求必須是電子門禁系統(tǒng)，即使流程管控再嚴(yán)格也是不符合要求的。

2.重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員（四級）

針對四級系統(tǒng)的要求，通常機(jī)房中會(huì)按照區(qū)域進(jìn)行劃分，但是對于重要區(qū)域的二道門禁，一般機(jī)房目前并無配置，因此這點(diǎn)要注意，盡快安裝配備相應(yīng)設(shè)施。

3.應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等

本項(xiàng)其實(shí)不算大事，但是也是容易忽略的問題。往往進(jìn)了機(jī)房習(xí)慣性的上機(jī)就開始操作，不做除電。這里可以在每排機(jī)柜上配備一個(gè)防靜電手環(huán)，在機(jī)房制度中新增一條關(guān)于靜電消除的操作規(guī)范要求，基本可以符合。

4.應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電

要求三級及以上系統(tǒng)所在的機(jī)房要具備雙路并行電力線路，來自不同供電站的電纜，目前大多數(shù)自建機(jī)房應(yīng)該是不符合要求，大型 IDC 和云機(jī)房通常都有相關(guān)設(shè)計(jì)。不過介于整改比較困難，應(yīng)該不會(huì)作為否決項(xiàng)，只是扣分而已。

5.應(yīng)提供應(yīng)急供電設(shè)施（四級）

針對四級系統(tǒng)的電力要求，基于三級要求，還要額外配備發(fā)電機(jī)，以應(yīng)對市政停電情況。標(biāo)準(zhǔn)中并未提到雙發(fā)電機(jī)的要求，但是介于冗余性考慮，有條件的可以配備。如果是大型數(shù)據(jù)中心，要配置多少臺(tái)就要看實(shí)際規(guī)模了，一般是在 10-20 臺(tái)的機(jī)組，采用 2N 或 N+1 的配置模式。這不是我們需要關(guān)心的，所以看看就好。

安全通信網(wǎng)絡(luò)

1.應(yīng)在通信前基于密碼技術(shù)對通信的雙方進(jìn)行驗(yàn)證或認(rèn)證（四級）

通常默認(rèn)情況，我們 SSL/TLS 的認(rèn)證是單向的，即只對服務(wù)端認(rèn)證，那么對于四級系統(tǒng)，新標(biāo)準(zhǔn)要求必須開啟雙向認(rèn)證，即同時(shí)對客戶端也要進(jìn)行認(rèn)證。這里額外說明一下，根據(jù)公安三所專家的解讀，通信加密所采用的算法應(yīng)該基于國密算法（SM1、SM2、SM4、SM9 等），而非國際通用加密算法，不過介于目前大多企業(yè)采用的設(shè)備不支持國密算法，另一方面國密算法的推廣和應(yīng)用也在逐步完善，因此個(gè)人認(rèn)為此項(xiàng)也非否決項(xiàng)，只是扣分項(xiàng)，不過未來可能會(huì)變?yōu)閺?qiáng)制要求。（有關(guān)雙向認(rèn)證的細(xì)節(jié)，可參考本人之前發(fā)表的等保 2.0 個(gè)人解讀安全通信網(wǎng)絡(luò)部分）

安全區(qū)域邊界

1.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制（入侵檢測）

2.應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制（行為管理）

此處兩條是東西向的訪問檢測與限制，目前通過 IDPS 以及行為管理設(shè)備基本可以滿足相應(yīng)要求，測評時(shí)可能會(huì)查看策略啟用效果以及檢測和阻斷記錄，需要注意。

3.應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)

首次在標(biāo)準(zhǔn)中提到有關(guān)無線網(wǎng)絡(luò)安全的要求，這里要求比較基礎(chǔ)，只要各無線 AP 或無線路由均通過 AD 進(jìn)行管理和控制即符合。

4.應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為時(shí)，對其進(jìn)行有效阻斷

這部分在等保 1.0 中也有過相關(guān)要求描述，但沒有如此具體，該項(xiàng)要求完全從技術(shù)上解決目前基本不太可能（當(dāng)然，如果企業(yè)具備將附近基站的數(shù)據(jù)和語音分離的權(quán)限，那么這想倒是可以從技術(shù)上來搞定），通常是管理為主，技術(shù)為輔的方式來控制。畢竟個(gè)人熱點(diǎn)和無線網(wǎng)卡等應(yīng)用，很難及時(shí)發(fā)現(xiàn)。建議重點(diǎn)在制度上入手，形成意識(shí)、管理、流程上的多方面管控，以此達(dá)到要求。

5.應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化

新要求，重點(diǎn)是要定期優(yōu)化和清理 ACL 以及策略路由等配置，測評時(shí)會(huì)查看當(dāng)前安全策略配置以及規(guī)則優(yōu)化和清理的記錄。

6.應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為

這里是對策略進(jìn)行雙向（in/out）應(yīng)用，強(qiáng)調(diào)東西雙向控制。

7.應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析

強(qiáng)調(diào)對于 APT 和 0day 一類的攻擊檢測和防護(hù)能力，介于目前態(tài)勢感知和威脅平臺(tái)的水平，實(shí)現(xiàn)起來很難，而且不是每家都有這么強(qiáng)實(shí)力的安全團(tuán)隊(duì)。所以，如果你又某某家的態(tài)勢感知產(chǎn)品，通常測評中心不會(huì)為難你。對于新型攻擊，可以從人的角度（應(yīng)急團(tuán)隊(duì)、安全團(tuán)隊(duì)）來強(qiáng)化管控和預(yù)警能力。

8.應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析

即對外接口的用戶行為以及內(nèi)部訪問互聯(lián)網(wǎng)的用戶進(jìn)行單獨(dú)審計(jì)，如果在同一套審計(jì)平臺(tái)中可以建立不同的審計(jì)任務(wù)，那么是可以滿足要求的。如果不行，可能就要搭建兩套審計(jì)平臺(tái)來實(shí)現(xiàn)。不過也不是必須要達(dá)到的，屬于扣分項(xiàng)。

安全計(jì)算環(huán)境

1.應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時(shí)修補(bǔ)漏洞

定期漏洞掃描工作，這次不是只掃描就 OK 了，對于發(fā)現(xiàn)的漏洞要進(jìn)行驗(yàn)證，確認(rèn)漏洞的真實(shí)性，然后對于真實(shí)漏洞進(jìn)行整改。很刺激對吧，要驗(yàn)證了哦。

2.應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警

這明顯說的就是 IDPS 嘛，同行 NGFW 也具備同樣能力。什么？你們沒有防火墻，抱歉，我只能幫你到這里了，自求多福吧。這條可以直接否了你的本次測評。

3.應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場地

在老標(biāo)準(zhǔn)的基礎(chǔ)上，等保 2.0 標(biāo)準(zhǔn)明確提出實(shí)時(shí)備份至異地，不過好在是對于重要數(shù)據(jù)，這點(diǎn)各家根據(jù)實(shí)際情況來權(quán)衡吧。沒有的話肯定是 GG 了，有的話看情況，不能做到實(shí)時(shí)，但是有異地備份，這算是基本符合，不會(huì)被判定否決，可以后期列入整改計(jì)劃，逐漸完善。

中小企業(yè)或者云上系統(tǒng)，可以把這鍋甩給云供應(yīng)商；大型企業(yè)和自建機(jī)房/私有云的公司，建議盡可能完善，不求有功，但求無過。其實(shí)基本上等同于雙活，只是沒提切換延時(shí)的要求。

4.應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息

5.應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人信息

這兩條都是關(guān)于個(gè)人信息保護(hù)的要求，基本就如字面意思。稍微解釋一下，一方面是采集個(gè)人信息時(shí)，只能采集所需的必要信息，對于這類信息你可以收集，但是若未授權(quán)不得隨意訪問和修改信息，也就是說，信息可以放在你們這，但是我不同意，你就不能看，除非協(xié)助公安和相關(guān)部門處理特殊事宜時(shí)的強(qiáng)制配合。

另一方面，信息收集過來后，不可以隨便向其收集發(fā)送各種推銷、廣告以及惡意鏈接，這些操作都不可以。也就是說，對于一些常規(guī)流氓操作進(jìn)行了約束和控制，雖然不知道效果如何，但起碼提出了相應(yīng)要求。這方面，對于那些需要采集個(gè)人信息的系統(tǒng)，是比較難搞的一項(xiàng)要求。靠技術(shù)展示基本不大可能，所以就要盡可能的解釋，從管理制度、操作規(guī)范、員工培訓(xùn)、懲罰制度、保密協(xié)議、流程管控方面來說明，你們做得如何好，基本這樣就差不多了。但是，未來幾年，數(shù)據(jù)安全是趨勢，信息安全和隱私保護(hù)都在立法階段，后續(xù)的監(jiān)控也會(huì)越來越嚴(yán)，因此建議還是要從實(shí)際出發(fā)，不要只考慮眼前的測評，多想想以后怎么跟監(jiān)管解釋吧。

安全管理中心

1.應(yīng)對分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求

2.應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析

這兩條要求是對日志留存的要求，等保 2.0 標(biāo)準(zhǔn)不再對日志留存時(shí)間進(jìn)行要求了，但是對于全流量以及安全事件日志必須留存。那么是不是可以不用再存放 6 個(gè)月了呢？

請看這里：

網(wǎng)絡(luò)安全法第二十一條：

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

大家懂了吧，所以以前怎么干的，還怎么干。

管理部分

安全管理制度

1.應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等

2.應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系

3.應(yīng)定期對安全管理制度的合理性和適用性進(jìn)行論證和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂

這三條要求中，等保 2.0 標(biāo)準(zhǔn)均有所變化，尤其最后一條，要對合理性和適用性進(jìn)行論證，那些模板的東西已經(jīng)沒用了。

那么怎么來改呢？方針和策略一般公司都會(huì)有，如果沒有的話，盡快制定 2020 的 IT 和安全規(guī)劃，目標(biāo)和策略其實(shí)可以很簡單，好比阿里的三句話策略。但是要貼合實(shí)際，不要胡扯。

那么策略、制度、規(guī)程、表單（ISO 27001 的四級文檔）就會(huì)配套進(jìn)行修訂，形成一套體系，如果已通過 ISO 27001 認(rèn)證的，可以以此來證明自己已有安全管理制度體系。沒有的，要盡快建立一套貼合業(yè)務(wù)和 IT 現(xiàn)狀的制度，可以簡單點(diǎn)，只要能落地就好。

最后，關(guān)于合理性和適用性，一般是對于制度和流程的落地試點(diǎn)情況。體系比較完善的企業(yè)，在制度發(fā)布或修訂時(shí)會(huì)進(jìn)行內(nèi)部評審，通過后才可正式發(fā)布。沒有相關(guān)流程的企業(yè)，可以將此作為缺失的環(huán)節(jié)，在后續(xù)制度體系中增加或完善相應(yīng)管理。

安全管理機(jī)構(gòu)

1.應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)

這點(diǎn)很多公司都沒做好，主要體現(xiàn)在兩個(gè)方面。一是，領(lǐng)導(dǎo)小組架構(gòu)和職責(zé)很明確，但是崗位責(zé)任人是職位（如總經(jīng)理、安全部總監(jiān)）而不是人名，這樣就無法做到責(zé)任落實(shí)，不符合領(lǐng)導(dǎo)小組的初衷；二是，組長的任命是空口說的，沒有正式的任命函或董事會(huì)級別的正式通知。這兩點(diǎn)如果都能做好，基本就沒太大問題了。

2.應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過程，對重要活動(dòng)建立逐級審批制度

老生常談的事情，凡是和安全相關(guān)的過程記錄都要留存（紙質(zhì)或電子記錄均可），這種東西一般不太好憑空去造，所以還是建議踏踏實(shí)實(shí)的去建流程，落實(shí)制度。流程可以不夠全面，但是一定要能落地，能運(yùn)行起來。

3.應(yīng)定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等

等保 2.0 標(biāo)準(zhǔn)強(qiáng)制要求，定期進(jìn)行全面安全檢查，不只是技術(shù)層面，也包括制度層面。通管局、工信部的安全檢查是監(jiān)管，不屬于要求中提到的檢查，要各企業(yè)自行組織開展，并形成報(bào)告、對發(fā)現(xiàn)的問題整改、復(fù)測整改情況等。今年沒做，明年要至少進(jìn)行一次檢查工作，類似銀保監(jiān)的安全自查評估。

4.應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對安全檢查結(jié)果進(jìn)行通報(bào)

結(jié)合前一項(xiàng)要求，除了自評估安全檢查，還要制定檢查表，檢查過程的現(xiàn)狀調(diào)研和檢查結(jié)果記錄表單也要匯總保留。有點(diǎn)類似于風(fēng)險(xiǎn)評估，包括資產(chǎn)、威脅、脆弱性。這里提一句，某些廠商坑爹的評估也稱為風(fēng)險(xiǎn)評估，希望各位多去看看 GB/T 20984，好好了解下什么叫風(fēng)評，不要隨便測測出個(gè)報(bào)告就叫風(fēng)評。

安全管理人員

1.應(yīng)定期對不同崗位的人員進(jìn)行技能考核

首次提出針對技能進(jìn)行考核，也就是針對不同崗位（運(yùn)維、安全、開發(fā)、測試等），進(jìn)行相關(guān)技能培訓(xùn)與考核?？梢圆挥冕槍γ恳粋€(gè) IT 相關(guān)崗位，但是要有一定的覆蓋度，比如今年我們主要側(cè)重運(yùn)維和安全，明年主要側(cè)重開發(fā)和測試，同時(shí)在制度和培訓(xùn)考核計(jì)劃中也要有體現(xiàn)。

安全建設(shè)管理

1.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和正確性進(jìn)行論證和審定

2.應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過批準(zhǔn)后才能正式實(shí)施

等保 2.0 標(biāo)準(zhǔn)開始，不再提倡自主定級，改為由專家進(jìn)行定級。一般就是由測評機(jī)構(gòu)或者知名安全廠商來進(jìn)行定級，出具定級報(bào)告，其中包括評審和論證環(huán)節(jié)。可以是會(huì)議記錄，也可以是最終的評審報(bào)告或定級報(bào)告。

3.應(yīng)根據(jù)保護(hù)對象的安全保護(hù)等級及與其他級別保護(hù)對象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)，設(shè)計(jì)內(nèi)容應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容，并形成配套文件

本項(xiàng)要求其實(shí)是對三同步的要求，即同步規(guī)劃、同步建設(shè)、同步使用。本項(xiàng)不再多說，已經(jīng)很熟悉了。

（1）同步規(guī)劃

在業(yè)務(wù)規(guī)劃的階段，應(yīng)當(dāng)同步納入安全要求，引入安全措施。如同步建立信息資產(chǎn)管理情況檢查機(jī)制，指定專人負(fù)責(zé)信息資產(chǎn)管理，對信息資產(chǎn)進(jìn)行統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、 統(tǒng)一發(fā)放，并及時(shí)記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。

（2）同步建設(shè)

在項(xiàng)目建設(shè)階段，通過合同條款落實(shí)設(shè)備供應(yīng)商、廠商和其他合作方的責(zé)任，保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時(shí)建設(shè)。保證項(xiàng)目上線時(shí)，安全措施的驗(yàn)收和工程驗(yàn)收同步，外包開發(fā)的系統(tǒng)需要進(jìn)行上線前安全檢測，確保只有符合安全要求的系統(tǒng)才能上線。

（3）同步使用

安全驗(yàn)收后的日常運(yùn)營維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平，且運(yùn)營者每年對關(guān)鍵信息基礎(chǔ)設(shè)施需要進(jìn)行一次安全檢測評估。

4.應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼

5.應(yīng)在軟件開發(fā)過程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測

等保 2.0 標(biāo)準(zhǔn)首次提出安全開發(fā)流程的要求，可以理解為 SDL 體系。這里明確指出在編碼階段和測試階段的安全性要求，均為上線前安全管控。以上兩條是針對自研軟件。

如果沒有建立 SDL 流程的企業(yè)，可以先解決安全編碼部分的問題，編碼規(guī)范應(yīng)該都會(huì)有的。上線前的安全測試，這塊內(nèi)容目前大多都會(huì)去做，如果沒做，那我敬你是個(gè)好漢。

6.應(yīng)在軟件交付前檢測其中可能存在的惡意代碼

7.應(yīng)保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道

這兩條是對外包軟件安全的要求，也是首次提出要外包開發(fā)商提供上線前安全測試報(bào)告、代碼審計(jì)報(bào)告以及源代碼。這下甲方開心壞了吧，可以更理直氣壯的懟乙方了，雖然以前一直都是。但是介于剛剛實(shí)施這么靠譜的要求，很多乙方是不接受的，一開始可以雙方一起來進(jìn)行安全測試；代碼審計(jì)一般不會(huì)要求嚴(yán)格意義的代碼審計(jì)報(bào)告，可以用掃描加人工驗(yàn)證的方式來進(jìn)行；而對于源代碼，很對乙方是說死不給的，可以先提交一部分源碼。但這些都是應(yīng)對本次測評的準(zhǔn)備，從長遠(yuǎn)來看，以后對于外包開發(fā)要求會(huì)規(guī)范化，標(biāo)準(zhǔn)化，強(qiáng)制化。SDL 體系建立會(huì)成為趨勢。

8.應(yīng)通過第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過程

那么，除了以上這些，乙方覺得沒事了么，呵呵。

明年開始，外包項(xiàng)目需要聘請第三方監(jiān)理，對整個(gè)項(xiàng)目過程質(zhì)量進(jìn)行把控和監(jiān)督，并實(shí)時(shí)匯報(bào)和協(xié)調(diào)。也就是說，除了甲方懟你，以后還有一個(gè)第三方監(jiān)理也要懟你，爽不爽？

9.應(yīng)進(jìn)行上線前的安全性測試，并出具安全測試報(bào)告, 安全測試報(bào)告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容

乙方的兄弟，你先別吐血，還沒說完呢，這回不是你自己，甲方也要一樣受苦，是不是好受一些了？這條要求也是首次提出，要求系統(tǒng)上線前的安全測試中應(yīng)包含密碼應(yīng)用安全性測試。

那么，這個(gè)密碼應(yīng)用安全性測試又是個(gè)什么玩意呢。這是我在查閱了相關(guān)制度和材料得出的結(jié)果：

商用密碼應(yīng)用安全性評估

指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估。按照商用密碼應(yīng)用安全性評估管理的要求，在系統(tǒng)規(guī)劃階段，可組織專家或委托測評機(jī)構(gòu)進(jìn)行評估；在系統(tǒng)建設(shè)完成后以及運(yùn)行階段，由測評機(jī)構(gòu)進(jìn)行評估。

哪些系統(tǒng)要做密評

《密碼法》（《密碼法草案》已于 2019 年 6 月 10 日經(jīng)國務(wù)院常務(wù)會(huì)議討論通過）要求「國家對關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用安全性進(jìn)行分類分級評估，按照國家安全審查的要求對影響或者可能影響國家安全的密碼產(chǎn)品、密碼相關(guān)服務(wù)和密碼保障系統(tǒng)進(jìn)行安全審查」?！缎畔踩燃壉Ｗo(hù)商用密碼管理辦法》規(guī)定：「國家密碼管理局和省、自治區(qū)、直轄市密碼管理機(jī)構(gòu)對第三級及以上信息系統(tǒng)使用商用密碼的情況進(jìn)行檢查」。在國家密碼管理局印發(fā)的《信息安全等級保護(hù)商用密碼管理辦法實(shí)施意見》中規(guī)定「第三級及以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)，應(yīng)當(dāng)通過國家密碼管理部門指定測評機(jī)構(gòu)的密碼測評后方可投入運(yùn)行」。這些制度明確了信息安全等級保護(hù)第三級及以上信息系統(tǒng)的商用密碼應(yīng)用和測評要求。此外，在新版《網(wǎng)絡(luò)安全等級保護(hù)條例》（征求意見稿）明確要求在規(guī)劃、建設(shè)、運(yùn)行階段開展密碼應(yīng)用安全性評估。

密評關(guān)注哪些方面

為規(guī)范商用密碼應(yīng)用安全性評估工作，國家密碼管理局制定了《商用密碼應(yīng)用安全性評估管理辦法》、《商用密碼應(yīng)用安全性測評機(jī)構(gòu)管理辦法》等有關(guān)規(guī)定，對測評機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營者、管理部分三類對象提出了要求，對評估程序、評估方法、監(jiān)督管理等進(jìn)行了明確。同時(shí)，組織編制了《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測評要求》等標(biāo)準(zhǔn)，及《商用密碼應(yīng)用安全性評估測評過程指南（試行）》《商用密碼應(yīng)用安全性評估測評作業(yè)指導(dǎo)書（試行）》等指導(dǎo)性文件，指導(dǎo)測評機(jī)構(gòu)規(guī)范有序開展評估工作。其中，《信息系統(tǒng)密碼應(yīng)用基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理以及安全管理六個(gè)方面提出密碼應(yīng)用安全性評估指標(biāo)。

密評工作當(dāng)前的進(jìn)展

現(xiàn)階段，商用密碼應(yīng)用安全性評估試點(diǎn)工作正在有序開展。經(jīng)過層層評審，截止 2018 年 6 月第一批共有 10 家測評機(jī)構(gòu)符合測評機(jī)構(gòu)能力要求，具備獨(dú)立承擔(dān)并規(guī)范開展試點(diǎn)測評任務(wù)的能力。中科院 DCS 中心作為首批通過的優(yōu)秀測評機(jī)構(gòu)，正在積極參與密碼應(yīng)用安全性評估的各項(xiàng)試點(diǎn)工作，為我國密碼事業(yè)的發(fā)展貢獻(xiàn)自己的力量。

個(gè)人感覺，這項(xiàng)要求類似可信計(jì)算，在標(biāo)準(zhǔn)實(shí)施初期不做強(qiáng)制要求，以鼓勵(lì)方式建議企業(yè)開展，但在后期隨著技術(shù)和要求的成熟，會(huì)逐漸成為強(qiáng)制要求項(xiàng)。所以，明年各位可以不用太擔(dān)心，先了解一下就好。

安全運(yùn)維管理

1.應(yīng)編制并保存與保護(hù)對象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容

2.應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施

對于資產(chǎn)的管理要求，當(dāng)前大多數(shù)企業(yè)擁有自己的管控平臺(tái)，對于 IT 資產(chǎn)進(jìn)行統(tǒng)一管理。主要就是資產(chǎn)梳理和分級分類。如果沒有這類平臺(tái)，可以用堡壘機(jī)臨時(shí)替代一下，起碼這里不會(huì)被扣成零分。

3.應(yīng)對信息分類與標(biāo)識(shí)方法做出規(guī)定，并對信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理

這里是對數(shù)據(jù)治理提出要求，在管理制度中明確對于信息資產(chǎn)的分類和標(biāo)識(shí)依據(jù)和規(guī)范。目前大多企業(yè)屬于空白領(lǐng)域，明年有關(guān)數(shù)據(jù)安全和數(shù)據(jù)治理會(huì)很熱門，因?yàn)槊髂?3 月 DSMM 會(huì)正式發(fā)布。本項(xiàng)要求其實(shí)不用很在意，明年測評時(shí)除了一些大廠，大家基本同一起跑線，你沒做我也沒做，沒關(guān)系，列入后續(xù)的工作計(jì)劃中。

4.應(yīng)采取必要的措施識(shí)別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)

這里的要求同前邊安全管理中心的全面安全檢查可以結(jié)合到一起來看，因?yàn)樽罱K目的相一致，過程也相似。

5.應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開通，經(jīng)過審批后才可開通遠(yuǎn)程運(yùn)維接口或通道，操作過程中應(yīng)保留不可更改的審計(jì)日志，操作結(jié)束后立即關(guān)閉接口或通道

等保 2.0 標(biāo)準(zhǔn)首次提出對于遠(yuǎn)程運(yùn)維的要求，原則上不開通遠(yuǎn)程運(yùn)維接口。注意，這里是說遠(yuǎn)程運(yùn)維，而不是遠(yuǎn)程用戶接入。通常運(yùn)維人員一般都應(yīng)該在機(jī)房或辦公環(huán)境內(nèi)操作，除非特殊情況，會(huì)進(jìn)行遠(yuǎn)程運(yùn)維操作，按照要求以后此類操作要事先審批，通過后開通臨時(shí)接口，操作完成后關(guān)閉接口。

如果沒有遠(yuǎn)程運(yùn)維需求的企業(yè)，這點(diǎn)不用關(guān)心。有些企業(yè)受業(yè)務(wù)所限，必須遠(yuǎn)程操作，那么就要按照要求把相關(guān)制度規(guī)定，流程，審批記錄，操作記錄，接口關(guān)閉記錄都留存好，以備現(xiàn)場檢查。

6.對造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序（信息泄露應(yīng)急預(yù)案）

7.應(yīng)定期對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練（出演練外，要組織應(yīng)急預(yù)案的專項(xiàng)培訓(xùn)）

這兩條放在一起來說，都是新要求。先說第一條關(guān)于信息泄露重大安全事件，要建立獨(dú)立處理和報(bào)告程序，不能同 BCP 程序一樣。個(gè)人觀點(diǎn)，可能除了應(yīng)急處理外，大公司（阿里、騰訊）還要考慮對外公告和說明情況的流程。這部分，因?yàn)闆]有先例，所以不知道什么樣的流程算標(biāo)準(zhǔn)方案。建議各家可以交流討論下，也可以借鑒一下國外的預(yù)案。

第二條比較好理解，也是新要求，說的是要針對應(yīng)急預(yù)案每年進(jìn)行培訓(xùn)，不是演練，是培訓(xùn)哦！測評時(shí)會(huì)查看培訓(xùn)的 PPT，以及培訓(xùn)簽到記錄（可以是電子記錄）和培訓(xùn)計(jì)劃。

最后

OK，以上是我認(rèn)為等級保護(hù) 2.0 中新增的一些重點(diǎn)以及測評時(shí)要注意的內(nèi)容，希望對各位能有所幫助。最后，祝賀等級保護(hù) 2.0 制度順利實(shí)施，也預(yù)祝各位能早日通過新標(biāo)準(zhǔn)下的測評。文章只代表個(gè)人觀點(diǎn)，僅供參考。