信息來源:企業(yè)網(wǎng)
網(wǎng)絡(luò)安全一直是沒有硝煙的戰(zhàn)場(chǎng),這場(chǎng)突如其來的新冠肺炎疫情期間有更多來自外部的攻擊和威脅,多部委發(fā)布關(guān)于涉新冠肺炎疫情的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示。開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作不能松懈,等級(jí)保護(hù)測(cè)評(píng)工作應(yīng)采取合適手段繼續(xù)開展。
一直以來等級(jí)保護(hù)測(cè)評(píng)由于涉及的均為生產(chǎn)環(huán)境,采取了更多的現(xiàn)場(chǎng)測(cè)評(píng)方式,那么新冠肺炎疫情期間,在不見面、遠(yuǎn)程辦公條件下,等保工作就進(jìn)行不了么?要如何開展呢?中國軟件評(píng)測(cè)中心網(wǎng)安中心給出了以下建議。
一、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作主要內(nèi)容
首先簡(jiǎn)要介紹下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的5個(gè)方面的內(nèi)容:
-
定級(jí)確認(rèn)定級(jí)對(duì)象,參考GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等初步確認(rèn)等級(jí),組織專家評(píng)審,主管單位審核,公安機(jī)關(guān)備案審查。
-
備案持定級(jí)報(bào)告和備案表等材料到公安機(jī)關(guān)網(wǎng)安部門進(jìn)行備案。
-
安全建設(shè)以GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中對(duì)應(yīng)等級(jí)的要求為標(biāo)準(zhǔn),對(duì)定級(jí)對(duì)象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改。
-
等級(jí)測(cè)評(píng)委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象進(jìn)行等級(jí)測(cè)評(píng),形成正式的測(cè)評(píng)報(bào)告。
-
監(jiān)督檢查向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門提交測(cè)評(píng)報(bào)告,配合完成對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施情況的檢查。
了解了等保工作的主要內(nèi)容,不難發(fā)現(xiàn)等級(jí)測(cè)評(píng)只是其中的一部分,等保工作還有許多可以遠(yuǎn)程開展。
二、可遠(yuǎn)程開展的等保工作
1. 開展定級(jí)備案部分工作
網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象定級(jí)工作一般流程為:
定級(jí)和備案是一項(xiàng)專業(yè)的工作:
-
在確定定級(jí)對(duì)象時(shí),可能涉及到基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等多種對(duì)象類型。
-
初步確認(rèn)等級(jí)時(shí),需結(jié)合定級(jí)對(duì)象的具體情況,分析業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體—>綜合評(píng)定對(duì)客體的侵害程度—>確定業(yè)務(wù)信息安全等級(jí);分析系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體—>綜合評(píng)定對(duì)客體的侵害程度—>確定系統(tǒng)服務(wù)安全等級(jí)=》定級(jí)對(duì)象的初步安全保護(hù)等級(jí)。
-
專家評(píng)審時(shí),應(yīng)組織信息安全專家和業(yè)務(wù)專家,對(duì)初步定級(jí)結(jié)果的合理性進(jìn)行評(píng)審,出具專家意見。
-
在公安機(jī)關(guān)備案審查時(shí),需要定級(jí)對(duì)象的運(yùn)營、使用單位根據(jù)相關(guān)管理規(guī)定,提交備案材料,包括但不限于備案表、定級(jí)報(bào)告、專家評(píng)審意見等。各地方公安機(jī)關(guān)對(duì)備案材料的要求有所不同,需要提前準(zhǔn)備。
以上工作內(nèi)容都需要專業(yè)人士和時(shí)間完成,可以在遠(yuǎn)程辦公的條件下開展工作。
定級(jí)對(duì)象的運(yùn)營、使用單位普遍實(shí)現(xiàn)了管理文檔電子化、管理流程化,等級(jí)測(cè)評(píng)機(jī)構(gòu)可以通過訪談、檢查等檢查方法,對(duì)網(wǎng)絡(luò)安全管理部分進(jìn)行差距評(píng)估。
定級(jí)對(duì)象的運(yùn)營、使用單位可以根據(jù)差距評(píng)估的結(jié)果,目前缺少的安全管理制度進(jìn)行補(bǔ)充,完成安全管理制度匯編。這個(gè)過程也可以尋求專業(yè)機(jī)構(gòu)的咨詢服務(wù)。
2. 部分網(wǎng)絡(luò)安全技術(shù)測(cè)評(píng)
對(duì)于互聯(lián)網(wǎng)可訪問的信息系統(tǒng),運(yùn)營、使用單位多通過互聯(lián)網(wǎng)+加密通道的方式進(jìn)行運(yùn)維管理和使用。這類系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng),與測(cè)評(píng)機(jī)構(gòu)充分溝通后,制定合理的、風(fēng)險(xiǎn)可控的測(cè)評(píng)方案和計(jì)劃,部分測(cè)評(píng)對(duì)象的安全技術(shù)測(cè)評(píng)可以遠(yuǎn)程進(jìn)行,如滲透測(cè)試、漏洞掃描。需要過程中留好測(cè)試記錄,比如視頻錄屏、截屏、檢測(cè)配置截圖等。
3. 源代碼安全審計(jì)
等保工作中對(duì)源代碼安全審計(jì)也有相應(yīng)要求,遠(yuǎn)程辦公環(huán)境下,工程師可以采用靜態(tài)分析工具對(duì)源代碼進(jìn)行安全審計(jì),確認(rèn)安全審計(jì)問題報(bào)告,及整改情況回歸。
4.網(wǎng)絡(luò)安全意識(shí)教育和培訓(xùn)
等保工作中對(duì)安全培訓(xùn)有相應(yīng)要求如:應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和培訓(xùn),并告知相關(guān)的安全責(zé)任和懲戒措施;應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)。遠(yuǎn)程辦公環(huán)境下,完全可以開展相關(guān)培訓(xùn)。
三、可以遠(yuǎn)程洽談簽訂合同
目前大部分項(xiàng)目都可以遠(yuǎn)程進(jìn)行洽談和合同簽訂。銷售顧問、技術(shù)經(jīng)理都在線辦公,工作時(shí)間能夠滿足遠(yuǎn)程洽談的需要。