等保2.0测评：安全管理体系建设思路（等保2.0安全管理体系包括）

在实际项目中，很多单位都太不重视等保的安全管理方面，也有很多单位比较重视，但是又不知从何入手。因此本文从等保2.0三级基本要求方面的简单介绍下安全管理体系的建设思路。

一、安全管理建设的重要性

这个很多人可能很难理解，尤其是于网络攻防的人来说，可能觉得打遍天下CTF，技术这么NB了，还要啥安全管理呢。这里举几个小例子，比如在运维管理方面，有些单位买了一台堡垒机，要求所有服务器、网络设备和安全设备都需要从堡垒机登录，但是在服务器、网络设备、安全设备上未作登录地址限制仅允许堡垒机的地址，这样就可能存在绕过堡垒机直接登录服务器的可能，在数据备份恢复方面，又比如关键的防火墙配置未及时备份，结果一场停电或者设备恢复出厂导致无法登录，更换新防火墙又没有最新的配置文件，又比如有些单位没有落实数据库系统、操作系统的管理权限分离原则，导致自己单位的业务数据库自己无法登录，却只能依靠第三方厂商解决，一旦出现数据丢失或误删除或者迁移之类，得花一笔服务费，而且数据也可能早就被泄露出去了。三分技术七分管理其实还是很有道理得，更不谈如果是社会工程学攻击场景下，再好得技术是否真的能保护重要资产。很多商业银行分行的安全产品不是那么多，架构也很简单，比如笔者遇到的某个省会城市的某个商业银行分行，安全设备其实也就几台思科四层防火墙外加2台IDS和1台日志审计，没有高大上的态势感知，也没有下一代防火墙，防火墙访问控制策略也未精细到端口级，但是，银行的安全管理方面落实的很好，比如准入控制，全行所有终端必须安装准入，没有例外，安全设备的日志每天有人分析并邮件通知，交换机和防火墙的固件版本总行会不定期发布并升级，安全预警事件专门有人负责，因此，安全防护水平不亚于很多政府的数据中心，测评分数也很高，基本都是90分以上（2019版）。这说明决定安全防护水平的并不仅仅取决于有多少渗透测试专家，有多少安全设备，更取决于日常的安全管理体系的建设和落实。

二、安全管理体系总体

在等保2.0中，安全管理体系文件主要分为管理制度、操作规程、过程记录三大类。管理制度这个比较好理解，主要就是各类管理办法规定、各类通知等，操作规程主要是各类设备操作指南，比较像CNAS的作业指导书，用于指导人员对日常设备的操作维护，过程记录则是所有管理措施的文档，包括审批记录、修订记录、巡检记录、变更记录、分析记录等。也可以这样理解：管理制度代表有没有、操作规程代表怎么做、过程记录代表做了没。理解这三大块后下面的管理体系建立就比较容易理解了。

三、安全管理制度

等保2.0中安全管理制度要求中主要有安全策略、管理制度、制定和发布、评审和修订4个要求，实践中不一定按照这个顺序，因为安全管理体系建立必须先建立组织架构才能开展后面的安全策略、管理制度等工作。

1. 该层面是安全管理体系建设的第一步，即建立安全管理组织架构、安全方针、安全策略和管理制度制定修订。每个单位的业务不同，组织结构也不同，因此，安全管理架构、安全方针和安全策略也不同，因此，根据自己业务类型建立自己的组织架构。关键原则就是，信息安全组织一定要独立于业务部门和IT部门，最好能略高于业务部门和IT部门，否则，信息安全工作开展后期会非常困难。比如大型生产制造型企业，可以在集团层面建立信息安全管理委员会，下设各个专业组，该委员会直接向董事会汇报。另外，还有一个比较重要是的，这里要明确网络安全领导小组的组成人员、工作流程和职责，最好能以正式通知的形式下发。
2. 建立好组织架构后，紧接着需要确定安全方针，安全方针是根据企业战略制定的，比如有的企业安全方针就是“1坚持以人为本；2提高人员信息安全风险意识；3确保本单位信息系统安全运行。”方针不需要太多，几句话就可以，有点像学校的校训。
3. 确定好安全方针后，需要制定安全管理策略。安全管理策略就是根据安全方针，在网络、机房、数据、应用系统、开发、实施、验收、人员等各个方面确定安全管理目标，并以管理制度、操作规程、过程记录形式确定下来，这个是企业安全管理最重要的一个环节。在安全策略制定方面，一定要结合实际情况制定，比如有些单位的系统是托管在公有云，那么在机房和网络管理这发那个可以暂时不用考虑，但是在数据安全这方面得重点考虑，比如数据如何备份恢复、数据如何迁移、数据如何加密脱敏等。建议先确定好多个层面，然后在每个层面下面再逐步展开。
4. 完成管理制度、操作规程和过程记录后，剩下的就是如何发布、修订和评审了。这个重点是1确保发布出去能到达每个基层人员手中，包括系统操作人员；2是定期检查是否存在漏洞或者不适用自己单位业务流程的地方，需要进行修订。

四、安全管理机构

等保2.0中的安全管理机构主要在岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面有要求。

1. 岗位设置方面，要求是除了需要建立指导和管理网络安全工作的委员会或领导小组和网络安全管理部门外，还需要设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。这个在大型单位容易实现，但是在小单位确实难，很多单位信息化建设的也就两三个人。但是这个倒不是必须每个岗位都是专职，可以兼职，只是兼职有限制，比如安全管理员不能兼任，必须是专职的。这个需要说明的一点就是，安全管理员、审计管理员和系统管理员主要是岗位角色，不是单个设备的账户！！！职责上要相互牵制，比如可以规定安全管理员负责所有设备、数据库、应用系统、操作系统的账户权限分配；审计管理员只负责所有所有设备、数据库、应用系统、操作系统的日志功能；系统管理员负责除了安全管理员和审计管理员外其它事务，还可以进一步细化上述职责。
2. 人员管理方面，这个同上，主要是安全管理员不能兼职，审计管理员和系统管理员可以兼职。
3. 授权和审批方面，这个主要是根据各个部门和岗位确定日常的授权和审批流程，比如网络设备配置变更方面，哪些人审批、是纸质的审批单还是电子的钉钉或者OA，通过这个可以梳理日常工作流程。
4. 沟通和合作。这个主要是针对内的部门间、上下级间如何定期协调沟通网络安全问题，可以建立简单的机制，比如每月开个短会，由网络安全部门汇总本月的主要安全事件，并提出处理建议，临时性突发事件可以通过电话会议、QQ、远程会议等方式协调沟通；对外则需要和一些业务主管部门、供应商、开发商、电信运营商、电力部门、消防部门、公安机关、通管局等单位进行定期沟通；最终形成一个沟通管理制度和联系清单。
5. 审核和检查。这里需要制定检查管理制度，定期对系统日常运行、系统漏洞和数据备份、安全保护措施有效性、策略有效性等开展安全检查，并形成安全检查报告，对于严重违反安全策略的情况可以进行通报。

五、安全管理人员

安全管理人员主要在人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面有一些要求。

1. 人员录用方面，可以在人员管理制度某个章节中制定，比如先制定每个岗位的岗位要求和人员录用管理部门，然后制定人员招聘、笔试、技能考核、背景审查、合同签订、保密协议签订等流程。这里需要注意的是，在关键信息基础设施保护条例、网络安全法等相关法律中，重要岗位必须进行背景审查，审查标准目前还没有统一，但是通常来说，如果在个人征信方面存在较大消费贷款未偿还、受过网络安全犯罪刑罚的、具有外国国籍的等情形是不宜录用的。
2. 人员离岗方面，需要在管理制度中明确离岗交接流程，注销相关账户权限、收回U盘、电脑等重要资产，建议可以在离职审批单中加入。此外，还需要在离职证明或者保密协议上承诺离职后不得泄露企业重要机密信息。
3. 安全意识教育和培训方面，1需要根据不同岗位人员建立不同的培训计划，比如针对基层操作人员，主要开展日常办公安全培训，对于运维人员，开展数据库安全、操作系统系统、安全开发等培训，对于管理层，可以开展政策法规、社会工程学培训。2需要在管理制度方面明确惩罚措施，这个项目中比较少见，一般没有，或者就是情节较轻罚款或解除合同，严重就是移送司法机关等，这类比较笼统，建议可以进一步细化，比如可以设置一般违规，警告就可以，造成数据丢失或者系统中断1小时以上等严重后果，罚款XX元，故意企业机密信息或者业务数据XX条以上，解除合同，触犯刑法的，移送司法机关处置。3则是需要对岗位人员开展技能考核，确保满足人员录用中的相关条件。这个可以通过电子行考试或者纸质考试的形式开展，一般3个月或6个月一次就够了，没必要太频繁。
4. 外部人员访问管理方面，这个可以单独制定章节，1重要区域比如机房等重要区域必须先申请后审批并承诺保密义务后，由专人陪同，记得曾经有个真实的案例就是某个体彩中心的服务器被人入侵导致中了一等奖，事后才发现是通过单独进入机房时候，偷偷把含有木马的U盘插入服务器中实现入侵的。因此，应该在管理制度中规定，机房区域必须要先申请后审批才能由专人陪同进入，且必须全程陪同。2外来人员如果要接入网络中，需要提出书面申请和审批，这个一般如果在有准入控制的网络中比较容易实现，如果没有则比较麻烦。3外来人员离开时需要清除各类网络权限和账户权限。

六、安全建设管理

在安全建设管理中，一共有定级和备案、安全方案设计、产品采购和使用、自行-软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择要求。建议可以根据每块内容单独制定一个章节，外包开发和自行开发可以合并在一起制定。

1. 定级备案，这个如果是信息系统不是很多的中小型企业，可以省略，因为定级和备案都会有第三方单位协助进行的，但是如果是大型企业，信息系统比较多，这个建议可以单独制定一个关于内部定级指南，供企业及下属企业参考，避免下属企业在定级上存在疑惑。这个可以参照下卫生行业：

1. 安全方案设计，安全方案设计主要在信息系统设计阶段需要将安全保护需求纳入，实现同步设计、同步开发、同步验收，且该安全方案需要由业务部门、开发部门、安全部门同时评审，评审完后才可进入下一阶段。如果是保密性和完整性较高的系统，必须安全设计方案中必须包含密码应用方案，对不符合国密局要求的MD5等算法要在设计方案中进行更换符合国密要求的方案，避免后期开展商密测评时又要重新整改。这个流程可以这样设计，首先由开发单位在完成需求分析时，将安全防护需求纳入需求分析报告，通过评审后，再由开发单位编写设计方案，通过评审后才可进入编码阶段。
2. 产品采购和使用，在《产品采购管理》部分中，1要求主要是安全产品必须要有安全产品销售许可证，密码产品必须有商用密码产品认证证书，并加上查询的网站，便于日常查询.2对于常用产品还需要制定产品选购目录，定期更新，要求企业内部的日常采购原则上应该从产品目录选购。
3. 自行-软件开发，可以在《软件开发管理-自行开发》章节中，制定至少应该包含开发环境和正式环境隔离、制定安全开发规范、开发文档版本控制、开发控制流程（包括变更、提交、测试等）、安全测试和后门扫描流程等内容。
4. 外包软件开发，由于软件是外包开发，因此，外包开发管理的重点主要在软件后门检测、病毒检测和开发文档提交三个方面，避免交付的软件本身带毒或者无维护文档，对后期的二次开发和升级迁移造成困难。
5. 工程实施，可以通过制定《项目管理》章节明确信息化项目的项目管理流程，比如项目可行性研究、项目立项、项目招标、项目监理、项目变更等内容。如果有条件建议还是请专业的IT监理公司比较好，可以省很多心。
6. 测试验收，项目实施完后，就是需要测试验收了，可以通过制定《项目验收管理》来明确测试和验收流程，在这个环节中，首先要制定测试验收方案，测试方案中主要包括功能测试、安全测试、密码测试等，这个也可以让开发单位编写，主要内容包括测试时间、测试内容、测试结果判定、测试原始记录、是否满足需求，然后通过《验收单》确定验收时间、地点、参加人员 、验收过程、验收结论等。
7. 系统交付，这个也可以放在《工程项目管理》章节中，也可以单独成章节，系统交付管理至少应该明确交付清单、操作培训和使用维护文档等3个方面的内容。
8. 等级测评，这个就比较简单，主要制定系统重新测评或备案的条件即可。
9. 服务供应商选择要求，可以通过制定《服务供应商管理》制度，主要规定服务供应商的资质要求，这里仅仅是服务供应商，不包括产品供应商，比如安全服务资质的有中国网络安全审查技术与认证中心的安全集成、安全运维、风险评估、应急处置、软件安全开发、灾难备份和恢复、工业控制安全和网络安全审计服务资质，等级测评服务资质需要在全国等级测评机构推荐目录，商用密码测评资质需要在商用密码应用安全性评估试点机构目录中。与服务供应商签订协议还需要明确保密义务，这个目前基本都会有的，最后，还要定期跟踪、监督服务履行情况。

七、安全运维管理

安全运维管理主要包括 环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

1. 环境管理，主要对象是机房，制定《机房管理制度》，确定巡检时间、频率、巡检人员、巡检内容，还应包括《巡检记录表》，巡检内容包括不仅限于配电、网络、消防、UPS、防雷、设备等方面，这个网上有比较成熟的模板，可以借鉴。
2. 资产管理，主要制定《资产清单》和《资产管理制度》，资产清单不用包含所有IT资产，仅包含主要资产即可，资产管理制度需要包括资产标签、资产使用登记、报废记录、维修流程、重要性等内容，还需要针对不同重要性的资产制定不同的管理办法，比如可以将服务器作为1类重要资产，PC作为2类重要资产，1类资产维护必须原厂厂家维护，2类资产维护IT部门自行即可。
3. 介质管理，介质管理中，主要针对的是备份数据硬盘或者磁带，因此，该类介质必须专门保存、查询和运输，定期还要核查，确保可以随时使用，尤其是磁带。
4. 设备维护管理，设备维护管理是运维管理的重点，主要内容有明确各类设备维护责任人；明确维护审批、维修审批、销毁审批等，如果是服务器或者PC因维护带离单位，必须经过审批，否则容易造成数据泄露，如果是笔记本维修或者电脑重新发放，需要完全恢复出厂状态后，硬盘还需要低级格式化或重复擦写3-5次，避免数据恢复造成敏感数据丢失。
5. 漏洞和风险管理，需要明确漏洞监测的措施，目前可以选择有关注国家或安全网站的漏洞库，也可以由第三方测评机构、开发单位、公安、网信等部门定期预警，有条件的还可以自建漏洞预警平台，或者通过漏洞扫描设备定期进行漏洞扫描，及时发现漏洞并采取修复措施。
6. 网络和系统安全管理，网络和系统管理是是运维管理的核心，这里和前面的人员管理中的安全管理员、系统管理员和审计管理员有密切的联系，1建议可以分别制定网络安全管理制度、系统管理制度和应用软件管理制度三大部分，每个部分分别明确安全管理员、系统管理员、审计管理员的职责和权限范围，并在安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面进行规定，2在日常操作上，还要求针对每个设备制定相应的操作规程，在日常运维上，需要针对运维操作采取记录运维日志，并定期由审计管理员进行分析，如果有运维审计的话会比较方面。3控制远程运维工具的使用，最好限制指定的远程运维工具及获取渠道，尽量避免通过teamviewer等远控工具直接远程，如果必须需要，可以指定专门的PC作为跳板机，且全程录像。4日常运维变更需要提前申请，也不用所有变更需要，但是重要变更需要，比如防火墙策略的调整、双机热备配置调整等。
7. 恶意代码防范管理，这个需要通过管理制度要求所有PC和服务器必须安装杀毒软件，很多单位害怕因为杀毒软件影响业务软件，或者觉得Linux系统可以不装，但是如果一个有业务软件的某个文件被查杀，说明这个文件确实存在问题，不排除是业务软件的后门，毕竟如今杀毒软件误报概率还是比较低的，而且仅仅查杀一般都是放到隔离区，一般人都可以直接很快恢复出来，更何况是正规的杀毒软件，都有完善的服务体系，遇到问题大概率是可以处理好的。如果有网络版防病毒或虚拟化防病毒产品，可以制定病毒库升级策略和全盘查杀策略。
8. 配置管理，配置管理这个是实践中比较少见，因为需要搜集每个设备的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数，这个不太现实，建议可以搜集每个设备的系统编号、配置文件、产品授权类型和期限，定期检查是否需要变更即可。
9. 密码管理，如果企业使用了VPN、智能钥匙等涉及密码技术的产品，这些产品需要满足密码管理局的要求，比如取得产品型号证书。随着商密测评越来越火，选择密码产品也尽可能符合国家要求，避免后期整改比较困难。
10. 变更管理，可以制定《变更管理制度》，明确变更流程，比如先制定变更方案，方案中应该报告变更范围、对象、变更内容、时间、预计影响范围、失败处理措施等，然后在审批通过后实施，实施过程中填写变更记录表，此外，如果变更失败还需要如何回滚，或者在实施前演练一次。
11. 备份与恢复管理，可以制定《数据备份与恢复管理制度》，要求包括需要备份的数据类型、备份方式、备份频度、存储介质、保存期，重要数据还需要进行恢复测试，确保备份数据有效。一般而言主要还是数据库的业务数据和网络设备安全设备的配置文件需要备份。数据库备份方法比较多，可以通过自带的计划任务，也可以通过Navicat等第三方工具自动备份，还可以通过操作系统脚本和第三方备份产品来实现。
12. 安全事件处置，主要制定《安全事件报告单》和《处置管理制度》，前者用来在安全事件发生时填写并上报，后者用来指导安全事件的处置。也可以和应急预案合在一起编写。
13. 应急预案管理，应急预案是必不可少的，这是各地网络安全检查的重点，也是《网络安全法》的要求之一，因此，一定要认真结合自己企业实际情况编写，应急预案主要包括以下几个方面的内容：1事件分级，根据安全事件划分不同的级别，比如网络中断、停电、系统被攻击、大面积PC感染病毒的级别各不相同，2上报流程，指导如何上报，不同级别上报的层次也不一样；3应急组织架构，包含哪些人哪些部门；4应急资源保障，包括经费和设备；5应急报告模板。
14. 外包运维管理，这个主要针对外包运维服务单位，可以不必制定相关的管理制度。要求外包运维服务单位需要满足国家相关规定，目前除了等保云计算要求必须在中国境内外，国家层面似乎还没有明确确定外包运维的相关规定，也可能是行业主管部门内部要求，如果有人知道也请告诉我。当然了，保险起见，还是选择具有安全运维资质的机构。

八、尾语

由于篇幅有限，仅仅对重点部分进行简单介绍，希望能指导自己单位的安全管理体系建设。同时也没有必要一味认为国外的ISO27001等管理体系比等保体系好，一是如果认真好好研究等保的基本要求和扩展要求，就会发现等保管理体系实际跟ISO27001相差无几，甚至少数领域更强于27001，二是等保更符合中国目前基本国情，而且270001如果未经认监委许可，是无法得到中国认可的，尤其是面对公安、网信办检查时，更容易合规，毕竟，如今，合规肯定合的是我国的法律法规，而不是国外的法律法规，尤其在滴滴上市审查之后，应该更有所感把。