隨著網(wǎng)絡(luò)威脅不斷復(fù)雜化和組織化，網(wǎng)絡(luò)攻防的“軍備競賽”持續(xù)升級，新冠疫情帶來新的網(wǎng)絡(luò)威脅，作為網(wǎng)絡(luò)安全的“弱勢群體”，安全意識、管理、人才、資金捉襟見肘的中小企業(yè)也正面臨越來越嚴峻的“安全鴻溝”問題。

圍繞等保合規(guī)建設(shè)實現(xiàn)安全管理體系化，是當(dāng)下中國中小企業(yè)全面提升安全防護能力的必要路徑和契機。對于中小企業(yè)來說，最常見的誤區(qū)是：把等保測評當(dāng)成“應(yīng)試”和負擔(dān)。事實上等保不是考試，不是為了應(yīng)付，而是通過等保發(fā)現(xiàn)問題解決問題，提高信息系統(tǒng)的安全防護能力。此外，等保只是網(wǎng)絡(luò)安全的手段而不是目的，是起點而不是終點。與安全能力“三同步”建設(shè)和投資策略匹配的“合規(guī)”，才是高效實現(xiàn)“持續(xù)安全”和“動態(tài)安全”的基礎(chǔ)。

我們邀請到了行業(yè)資深從業(yè)者，就中小企業(yè)等保合規(guī)的“痛點”、“難點”和“要點”，給出了深入淺出，簡明扼要的分析和建議，也是中小企業(yè)網(wǎng)絡(luò)安全建設(shè)不可錯過的“快速指南”：

一、痛點：自主開展等保合規(guī)建設(shè)的意義

自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布以來，各政企單位等保測評如火如荼的開展。那么為什么要開展等級保護工作呢？主要有以下幾個原因:

第一、滿足國家相關(guān)法律法規(guī)和制度的要求。等級保護是我國網(wǎng)絡(luò)安全的基本政策，網(wǎng)絡(luò)安全法規(guī)定了我國實行網(wǎng)絡(luò)安全等級保護制度，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。單位未開展網(wǎng)絡(luò)安全等級保護的，發(fā)生網(wǎng)絡(luò)安全事故或受到監(jiān)管機構(gòu)檢查，單位處一萬以上十萬以下罰款，責(zé)任人處五千以上五萬以下罰款。目前國內(nèi)各地公安部門、網(wǎng)信部門依據(jù)《網(wǎng)絡(luò)安全法》對相關(guān)單位進行處罰的案例已有多起。

第二、項目管理可控。自主開展等級保護工作而非由監(jiān)管機構(gòu)檢查后責(zé)令整改，對單位來說能掌握更多的主動權(quán)，時間上也相對充裕許多，在項目管理的角度上來講，時間管理、質(zhì)量管理及成本管理更加可控。

第三、安全管理體系化，防護能力提升。通過等級保護工作，發(fā)現(xiàn)單位信息系統(tǒng)與國家安全標(biāo)準之間存在的差距，對系統(tǒng)資產(chǎn)的梳理、系統(tǒng)存在的風(fēng)險點、制度流程的缺陷會有一個更加清晰的認識，查明目前系統(tǒng)存在的安全隱患和不足，通過安全整改之后，提高信息系統(tǒng)的信息安全防護能力，降低系統(tǒng)被各種攻擊的風(fēng)險，在相關(guān)管理流程上會更體系化。

二、難點：等保測評的問題及解決方案

中小企業(yè)在開展等級保護測評，多多少少都會出現(xiàn)些問題，筆者結(jié)合自身工作經(jīng)歷，對所遇的主要問題進行了一個歸納。

1、管理層缺乏意識。單位管理層在網(wǎng)絡(luò)安全方面缺乏意識，認為業(yè)務(wù)系統(tǒng)能正常運行，并未出現(xiàn)故障，網(wǎng)絡(luò)安全等級保護的建設(shè)沒有開展的必要。又或者認為業(yè)務(wù)系統(tǒng)在內(nèi)網(wǎng)運行，未開放互聯(lián)網(wǎng)訪問，可不開展網(wǎng)絡(luò)安全等級保護建設(shè)。

2、資產(chǎn)管理混亂。管理人員對信息系統(tǒng)的資產(chǎn)管理缺乏完整的交接，沒有清晰全面的資產(chǎn)清單，造成資產(chǎn)管理的混亂。

3、缺乏專業(yè)人員。單位未配備專業(yè)的信息安全管理人員，單位內(nèi)部可能相關(guān)IT管理人員就1至2個，負責(zé)網(wǎng)絡(luò)管理及桌面運維，說起網(wǎng)絡(luò)安全等級保護，可能是一頭霧水，對網(wǎng)絡(luò)安全等級保護如何開展沒有概念，無從入手。

4、系統(tǒng)整改難度大、整改周期長。單位業(yè)務(wù)系統(tǒng)維保過期，主機層面漏洞、數(shù)據(jù)庫層面漏洞、應(yīng)用層面漏洞及網(wǎng)絡(luò)層面的漏洞整改需要專業(yè)技術(shù)人員；業(yè)務(wù)系統(tǒng)存在的漏洞，整改會對生產(chǎn)業(yè)務(wù)造成影響，或是造成系統(tǒng)使用的不便，如密碼復(fù)雜度、定期改密、超時退出等，在整改推行上會有較大的阻力。

5、經(jīng)費缺乏。此問題與管理層缺乏意識也有相關(guān)，整改過程中難免會需要采購一些安全設(shè)備，比如網(wǎng)絡(luò)必須具備入侵檢測手段，在經(jīng)費缺乏的條件下，無法進行入侵檢測或入侵防御設(shè)備采購，無法滿足該測評項，會導(dǎo)致最終無法通過等保測評。

測評或者說等保不是考試，不是為了應(yīng)付，而是通過等保發(fā)現(xiàn)問題解決問題，提高信息系統(tǒng)的安全防護能力。每個單位推行等保工作都會有很多阻礙，但是我們的等級保護工作又不得不做，那怎樣合情合理地開展呢？

1、針對管理層缺乏意識、經(jīng)費缺乏方面，信息化部門負責(zé)人必須肩負起信息安全管理的責(zé)任，在公司內(nèi)部不管是管理層還是普通員工，都要做好信息安全意識宣貫，網(wǎng)信部、網(wǎng)監(jiān)部門會有定期開展信息安全檢查及通報，信息化負責(zé)人可收集此類通報情況，開展管理層信息安全意識宣貫，分析網(wǎng)絡(luò)安全等級保護建設(shè)的必要性及未開展的嚴重性，落實項目經(jīng)費。

2、針對資產(chǎn)管理混亂方面，需加強制度與流程建設(shè)，開展變更后及時更新資產(chǎn)清單，定期對資產(chǎn)進行梳理。

3、針對專業(yè)人員缺乏與系統(tǒng)整改困難方面，單位可在開展項目采購時，采購第三方安全服務(wù)，協(xié)助單位開展等保測評與整改，整改過程中單位管理人員需關(guān)注變更的風(fēng)險，做好風(fēng)險評估與回退計劃，在某些測評點無法滿足要求的條件下，非一票否決項的，可采取縱深防御的思路，例如主機層面配置登錄失敗限制等，linux服務(wù)器在配置此項時容易導(dǎo)致ssh登錄出現(xiàn)故障，此項如網(wǎng)絡(luò)中具備運維審計系統(tǒng)，可通過運維審計系統(tǒng)實現(xiàn)主機登錄管理的登錄失敗限制，前提是網(wǎng)絡(luò)做好訪問控制策略限制主機只允許運維審計系統(tǒng)進行登錄管理，當(dāng)然如果主機能配置該項策略是更為安全的，分別從網(wǎng)絡(luò)層及主機層對服務(wù)器的登錄失敗進行限制。針對缺乏應(yīng)用系統(tǒng)維保的，應(yīng)用系統(tǒng)漏洞無法開展整改的，可以請第三方開發(fā)商進行二次開發(fā)，或者采用安全設(shè)備進行防護，如缺乏日志審計功能，可采用數(shù)據(jù)庫審計設(shè)備，從網(wǎng)絡(luò)層對應(yīng)用層風(fēng)險進行降低，通過網(wǎng)絡(luò)中數(shù)據(jù)庫操作流量進行抓取記錄，滿足審計要求。 

三、要點：項目的立項與采購

等保建設(shè)項目的立項，需要先梳理好單位信息系統(tǒng)資產(chǎn)，明確需要開展等保測評的信息系統(tǒng)，管理人員對系統(tǒng)出現(xiàn)問題后的嚴重程度、影響范圍要做到心里有數(shù)，才能確定信息系統(tǒng)需按照哪個級別的要求來開展測評及整改。

在梳理完系統(tǒng)資產(chǎn)后，進行風(fēng)險的評估，評估系統(tǒng)中仍缺乏哪些防護，需要采購的新設(shè)備及服務(wù)等，預(yù)留好相關(guān)的經(jīng)費與整改時間。如管理人員確實對網(wǎng)絡(luò)安全等級保護的開展無相關(guān)概念，可以對測評機構(gòu)或者信息安全服務(wù)商進行咨詢及售前的調(diào)研，了解相關(guān)概念及流程，由安全服務(wù)商給出完善的解決方案。單位對安全服務(wù)商給出的解決方案中需要采購的產(chǎn)品，仍需開展選型工作。產(chǎn)品的選型對管理人員具有極大的意義，可讓管理人員對產(chǎn)品有詳細的認知，避免安全產(chǎn)品完成采購后卻無法實現(xiàn)相關(guān)安全需求，且方便管理人員后續(xù)對設(shè)備的運維管理。

項目的立項極為重要，涉及系統(tǒng)等級的確定、經(jīng)費預(yù)算、整改時間的確定，對后續(xù)的系統(tǒng)整改有較大的影響。建議單位開展前可多與安全服務(wù)商進行溝通咨詢。

等保測評項目的采購，可直接向具有測評資質(zhì)的測評機構(gòu)采購，此類對單位技術(shù)人員的要求較高，需要單位具備專業(yè)安全管理人員且熟悉等保測評標(biāo)準及流程。如單位缺乏專業(yè)安全管理人員，可向安全服務(wù)商進行采購，由安全服務(wù)商提供全套的解決方案，此處仍建議安全產(chǎn)品的采購經(jīng)過充分的選型，可以由安全服務(wù)商推薦產(chǎn)品，但品牌在經(jīng)過充分選型后再進行采購。

四、要點：等保測評流程

等保測評的流程，主要分四步，定級備案、差距測評、安全整改、驗收測評。

定級備案可自行準備好相關(guān)材料，主要為定級備案表、定級報告，如單位已做完資產(chǎn)梳理，對填報備案材料的工作會有較大的便利，如前期未做資產(chǎn)梳理，可以在填報材料的同時時開展資產(chǎn)的梳理。此部分也可由安全服務(wù)商開展現(xiàn)場調(diào)研后協(xié)助填報。

差距測評，主要由測評機構(gòu)或安全服務(wù)商根據(jù)等保測評標(biāo)準先進行一次評估，給出系統(tǒng)問題清單或差距評估報告；評估過程中涉及滲透測試、漏洞掃描的，單位必須先做好數(shù)據(jù)備份，建立相應(yīng)的回退計劃，避免業(yè)務(wù)系統(tǒng)過于老舊在漏洞掃描時由于占用系統(tǒng)資源過多而出現(xiàn)故障，造成數(shù)據(jù)丟失。

安全整改，單位根據(jù)測評機構(gòu)或安全服務(wù)商給出的系統(tǒng)問題清單或差距評估報告，開展安全整改。單位可以由安全服務(wù)商根據(jù)問題清單編寫整改方案，評估系統(tǒng)中缺失的防護手段并進行補充，對于缺乏維保的主機或數(shù)據(jù)庫漏洞，在缺乏專業(yè)技術(shù)人員的條件下，可通過限制地址訪問的方式，規(guī)避漏洞掃描的結(jié)果，這也是一種縱深防御的方法。

驗收測評，在開展安全整改后，如合規(guī)率能達到70%，且不存在高風(fēng)險項，可由測評機構(gòu)開展驗收測評。在通過測評并拿到測評報告后，仍需將測評報告提交網(wǎng)監(jiān)進行備案，在取得報告?zhèn)浒富貓?zhí)后，整個等級保護測評項目完成。

各單位在開展等保建設(shè)時，須正確的看待等保建設(shè)這一工作，以等保這一框架來完善公司的信息安全管理體系，而非消極的采取應(yīng)付的方式來應(yīng)付等保測評。

五、總結(jié)

完成等保測評后，并不意味著你的網(wǎng)絡(luò)安全等級保護建設(shè)已經(jīng)完成，恰恰相反，這意味著你的網(wǎng)絡(luò)安全等級保護建設(shè)才剛剛開始。等保測評，只是給你提供了一個網(wǎng)絡(luò)安全保護的框架，讓你對你的系統(tǒng)的安全風(fēng)險有個更清晰的認識，給你一個從管理和技術(shù)不斷優(yōu)化完善的方向。安全建設(shè)是一個持續(xù)改進的過程，網(wǎng)絡(luò)安全的破壞遠比建設(shè)要容易，對于攻擊者來說，只需要找到系統(tǒng)的一個弱點，就可以達到入侵系統(tǒng)的目的，而對于企業(yè)人員來說，必須找到系統(tǒng)的所有弱點，不能有遺漏，才能保證系統(tǒng)不會出現(xiàn)問題。所以安全建設(shè)的縱深防御與持續(xù)改進，是必不可少的。等保的“三同步”原則，正是由此而來，同步規(guī)劃，同步建設(shè)，同步使用，讓安全建設(shè)貫穿整個系統(tǒng)生命周期。