前言

作為一名從事多年信息安全的工作者，深深感覺(jué)到信息安全無(wú)小事，事事需盡心。安全防護不應該只防護外部攻擊，更多的防護工作應該從內部出發(fā)，制定完善的安全管理制度，循序漸進(jìn)的推進(jìn)安全防護工作。企業(yè)信息安全建設工作可以從多個(gè)方面來(lái)建設與完善，我在這里就介紹信息安全等級保護的基本要求加上自己從事多年的安全工作經(jīng)驗，與各位共勉，干貨在后面。

等級保護包含哪些方面

根據GB/T22239-2008 《信息安全技術(shù) 信息系統安全等級保護基本要求》、GBT 22240-2008 《信息安全技術(shù) 信息系統安全等級保護定級指南》、GB/T 28448-2012 《信息安全技術(shù) 信息系統安全等級保護測評要求》等相關(guān)標準，將等級保護分為 ‘技術(shù)’ 和 ‘管理’ 兩大模塊，其中技術(shù)部分包含：物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全及備份恢復共五個(gè)方面；管理部分包含：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理共五個(gè)方面，如下圖所示：

本篇文章具體介紹在信息安全等級保護三級要求中—安全管理機構測評過(guò)程中的經(jīng)驗分享，安全管理機構有5個(gè)測評指標，分別是崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。

如選圖所示：

我將以測評方的角度來(lái)看待安全問(wèn)題，下面開(kāi)始干活。

安全管理機構具體測評

1、崗位設置

a：應設立信息安全管理工作的職能部門(mén)，設立安全主管、安全管理各個(gè)方面的負責人崗位，并定義各負責人的職責。

測評經(jīng)驗： 此條測評項主要是檢查客戶(hù)有沒(méi)有設立安全管理部門(mén)來(lái)具體負責信息安全工作，一般來(lái)說(shuō)，政府單位會(huì )設立信息中心負責，并且會(huì )設置信息中心主任（一般就默認為安全主管），而在測評過(guò)程中發(fā)現，企業(yè)在這方面做的工作就不夠，很多企業(yè)就只是有個(gè)兼職的部門(mén)來(lái)做這個(gè)事，而且沒(méi)有相應的安全主管或安全負責人。我們在對這項進(jìn)行測評的時(shí)候，要詢(xún)問(wèn)并記錄安全管理責任部門(mén)、責任人、安全主管的具體名稱(chēng)，并要查看具體的崗位職責文件（有可能在任命文件中會(huì )提到）。

b：應設立系統管理員、網(wǎng)絡(luò )管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責。

測評經(jīng)驗 ：這條就比較容易測評了，就訪(fǎng)談客戶(hù)看看有沒(méi)有設立安全管理員、網(wǎng)絡(luò )管理員、系統管理員、數據庫管理員、機房管理員等職位，并且應提供專(zhuān)門(mén)的任職職責文件。一般來(lái)說(shuō)，既然標準都著(zhù)重提出安全、系統、網(wǎng)絡(luò )這三個(gè)管理員，所以我們也要著(zhù)重看。值得注意的是，一是安全管理員必須是專(zhuān)職的，不能由任何其他管理員兼任；二是系統管理員和數據庫管理員不能為同一自然人，這兩點(diǎn)要特別注意。但在很多真實(shí)環(huán)境中，客戶(hù)方往往都沒(méi)有專(zhuān)門(mén)設立相應的管理員，特別是安全管理員，并且根本不會(huì )出什么文件來(lái)明確各管理員的職責，本人遇到過(guò)的一個(gè)單位，整個(gè)安全部門(mén)就兩個(gè)人，這種情況就是需要整改了。

c：應成立指導和管理信息安全工作的委員會(huì )或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導委任或授權。

測評經(jīng)驗 ：在這一條測評項中，我們要詢(xún)問(wèn)客戶(hù)方是否成立了信息安全委員會(huì )或者領(lǐng)導小組，不能客戶(hù)說(shuō)成立了就成立了，我們應該要查看領(lǐng)導小組成立的正式文件，要查看這個(gè)文件中的組長(cháng)和組員，要求文件中應有每個(gè)人的聯(lián)系方式以及工作職責。值得注意的是：領(lǐng)導小組的組長(cháng)應由企業(yè)一把手擔任，雖然標準中沒(méi)說(shuō)必須，但在我國國情下（自行腦補國家信息安全領(lǐng)導小組組長(cháng)），都應該由一把手來(lái)?yè)巍?br style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important;"/>可以分享個(gè)真實(shí)的案例，我們當地的一家高校門(mén)戶(hù)網(wǎng)站被入侵，首頁(yè)發(fā)布了一些影響較大的言論，造成了一些影響，這種情況下，一把手當時(shí)是首當其沖的，所以我們測評過(guò)程中都是要求客戶(hù)要由一把手來(lái)負責安全工作。

d：應制定文件明確安全管理機構各個(gè)部門(mén)和崗位的職責、分工和技能要求。

測評經(jīng)驗：這一條中，我們要檢查部門(mén)、崗位職責文件，查看部門(mén)職責是否覆蓋物理、網(wǎng)絡(luò )、系統安全等各個(gè)方面。崗位職責文件其實(shí)也可以查看招聘要求，招聘的時(shí)候一般就會(huì )說(shuō)明此崗位的職責和需要的技能要求。一般我建議客戶(hù)的整改方案是制作一份部門(mén)的職責的文件，里面全面描述部門(mén)職責、人員劃分及職責的情況。

2、人員配備

a：應配備一定數量的系統管理員、網(wǎng)絡(luò )管理員、安全管理員等。

測評經(jīng)驗： 這一條的測評方法就是詢(xún)問(wèn)客戶(hù)系統管理員、網(wǎng)絡(luò )管理員、安全管理員的配備數量，要求是至少1人及以上。但很多客戶(hù)是達不到這種要求的，而我的建議整改是用兼職來(lái)代替，但兼職的注意事項就要參考b來(lái)實(shí)施了。

b：應配備專(zhuān)職安全管理員，不可兼任。

測評經(jīng)驗： 這一條就是要求客戶(hù)的安全管理員是專(zhuān)崗專(zhuān)職的，不能由其他職位人員來(lái)兼任。如何驗證是專(zhuān)崗專(zhuān)職呢，就查看崗位人員情況表。不過(guò)話(huà)說(shuō)回來(lái)，很多單位都沒(méi)有安全管理員…

c：關(guān)鍵事務(wù)崗位應配備多人共同管理。

測評經(jīng)驗： 這一條的測評難點(diǎn)是在關(guān)鍵事務(wù)崗位的認定，很多客戶(hù)是根本不會(huì )想到還有關(guān)鍵事務(wù)崗位這個(gè)條件的，所以我一般會(huì )給客戶(hù)解釋哪些可以認定為關(guān)鍵事務(wù)崗位，一般就是安全管理員、系統管理員、網(wǎng)絡(luò )管理員、數據庫管理員、機房管理員等，也可以包含其他的崗位，比如處理金錢(qián)的職位（和分為出納與財務(wù)是一個(gè)道理）、前臺敏感操作權限的職位等。關(guān)鍵事務(wù)崗位就要求必須是2人及以上了，或者互設為AB角。

3、授權和審批

a：應根據各個(gè)部門(mén)和崗位的職責明確授權審批事項、審批部門(mén)和批準人等。

測評經(jīng)驗：這條測評項的測評方法就是訪(fǎng)談安全主管，詢(xún)問(wèn)對哪些信息系統活動(dòng)進(jìn)行審批，審批的部門(mén)是何部門(mén)，審批人是何人。一般情況下客戶(hù)都會(huì )有這些東西，但是不會(huì )很全面，這個(gè)時(shí)候我一般就建議客戶(hù)先把一些重要的活動(dòng)進(jìn)行審批就行，包含但不限于物理訪(fǎng)問(wèn)、遠程控制、權限授予與變更、系統接入、需求變更等。

b：應針對系統變更、重要操作、物理訪(fǎng)問(wèn)和系統接入等事項建立審批程序，按照審批程序執行審批過(guò)程，對重要活動(dòng)建立逐級審批制度。

測評經(jīng)驗：這一條說(shuō)的比較清楚了，測評過(guò)程中至少要查看四份審批單：系統變更（包括權限變更、結構變更等）、重要操作（數據刪除、權限變更、數據備份等）、物理訪(fǎng)問(wèn)（訪(fǎng)問(wèn)物理機房、訪(fǎng)問(wèn)辦公環(huán)境中的敏感區域等）、系統接入（網(wǎng)絡(luò )接入、遠程控制、wifi接入等）。要查看這個(gè)審批流程中是否包含申請人、審核人、批準人，某些審批單也要查看授權的有效時(shí)間，因為遇到過(guò)授權日期已過(guò)，但授權賬號還存在的情況，這是需要特別注意的。

c：應定期審查審批事項，及時(shí)更新需授權和審批的項目、審批部門(mén)和審批人等信息。

測評經(jīng)驗：這條的測評方式是檢查審批事項的記錄，查看是否對審批事項、審批部門(mén)、審批人的變更進(jìn)行評審；詢(xún)問(wèn)安全主管是否定期審查、更新審批項目，審查周期多長(cháng)。為什么會(huì )有這一項測評，因為在實(shí)際環(huán)境中，特別是在大型企業(yè)中，往往部門(mén)很多，人員復雜，業(yè)務(wù)流程復雜，審批流程涉及人員多。存在某一人員離崗后還在使用以前的審批流程，就會(huì )導致越權操作，所以要定期審查審批事項。

d: 應記錄審批過(guò)程并保存審批文檔。

測評經(jīng)驗：這條就不用說(shuō)了，隨機抽查幾份審批文檔，看看是否與當時(shí)及當前的情況一致。

4、溝通和合作

a：應加強各類(lèi)管理人員之間、組織內部機構之間以及信息安全職能部門(mén)內部的合作與溝通，定期或不定期召開(kāi)協(xié)調會(huì )議，共同協(xié)作處理信息安全問(wèn)題。

測評經(jīng)驗：這個(gè)測評比較簡(jiǎn)單，就查看下內部有沒(méi)有在一起開(kāi)過(guò)會(huì )，有沒(méi)有一起處理過(guò)安全問(wèn)題，這個(gè)只需要客戶(hù)提供會(huì )議紀要或者處理安全問(wèn)題的過(guò)程表就行了，時(shí)間上面不需要特別的要求。

b：應加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通。

測評經(jīng)驗：這一條就不多說(shuō)，默認符合，原因不好說(shuō)，就自行理解吧。

c：應加強與供應商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織的合作與溝通。

測評經(jīng)驗：這條測評項其實(shí)也沒(méi)什么好說(shuō)的，如何算是符合呢，只要客戶(hù)能提供與安全服務(wù)商簽訂的合作合同就行，像我們自身是測評單位，肯定也會(huì )與客戶(hù)簽訂關(guān)于等保測評的合同，所以這條默認符合。

d：應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱(chēng)、合作內容、聯(lián)系人和聯(lián)系方式等信息。

測評經(jīng)驗：這一條就查看客戶(hù)能否提供外聯(lián)單位的聯(lián)系列表，為什么會(huì )要求這項內容呢，個(gè)人理解就是甲方人員變動(dòng)的時(shí)候，方便下一位接手人員能夠更快的接手工作。

e：應聘請信息安全專(zhuān)家作為常年的安全顧問(wèn)，指導信息安全建設，參與安全規劃和安全評審等。

測評經(jīng)驗：這一條就要看合同的內容了，一般只要與安全公司簽訂安全服務(wù)合同，像什么安全運維的、應急的、評估的、規劃的內容等等都是可以的。這一條主要測評是在理解“常年”二字，就是要查看合同的期限，一般來(lái)說(shuō)有連續三年以上的才算符合。

5、審核和檢查

a：安全管理員應負責定期進(jìn)行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。

測評經(jīng)驗：這一條的測評主要是看“定期”與“檢查內容”兩詞，要查看客戶(hù)有沒(méi)有提供安全檢查的報告。查看報告的時(shí)間就可以看出是不是定期的；查看檢查項就可以看出檢查了哪些方面。這一項的測評其實(shí)很大意義上來(lái)說(shuō)是系統管理員的工作，但很多系統管理員對漏洞這塊內容不太熟，所以如果是系統管理員和安全管理員一起執行此項工作是很好的。一般來(lái)說(shuō)，客戶(hù)不會(huì )做的細則，很多情況就是把相應的系統或者設備加到監控系統里面去，比如Zabbix等，但系統漏洞這塊的內容很多監控系統就沒(méi)法完成，所以這一項很多都得不了滿(mǎn)分，給個(gè)3分算高的。

b：應由內部人員或上級單位定期進(jìn)行全面安全檢查，檢查內容包括現有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

測評經(jīng)驗：這一項得滿(mǎn)分的就基本沒(méi)有了，首先要理解全面的安全檢查，僅這一塊，就很多客戶(hù)頭大了，因為根本不知道要檢查些什么。我到客戶(hù)現場(chǎng)的一般做法是就是先把客戶(hù)的各種權限授予單拿出來(lái)對比，一般就直接扣分了，再看安全管理制度的執行情況，那就基本確認0分了。這一項其實(shí)很多客戶(hù)都是做了相應的工作的，只是沒(méi)有形成完善的流程體系，所以失分比較多，我會(huì )建議客戶(hù)在以后的安全工作都要做好記錄，凸顯工作量，也好給領(lǐng)導看。

c：應制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進(jìn)行通報。

測評經(jīng)驗 ：這項測評要求看起來(lái)字不多，但是要查看的資料其實(shí)是蠻多的，一是首先要有個(gè)安全檢查表，二是要實(shí)施了安全檢查工作，三是要匯總安全檢查的數據，四是要查看是否有安全檢查報告，五是要進(jìn)行結果通報。很多企業(yè)其實(shí)在第一點(diǎn)上面就直接OVER了，這種情況太多了。。同理，基本都是零分。一般給客戶(hù)建議的就是定期做個(gè)安全檢查，如果不會(huì )，就請第三方來(lái)做。

d：應制定安全審核和安全檢查制度規范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。

測評經(jīng)驗：這一條測評項就是一個(gè)具體的制度了，客戶(hù)一般都沒(méi)有，這項的測評打分就看有沒(méi)有這個(gè)制度，只要有就得了4分，如果內容也比較全的話(huà)，就可以得5分了（一般內容都不全，4分算是比較合理的）。我一般就建議客戶(hù)在取制度名稱(chēng)的時(shí)候就直接取“安全審核和安全檢查制度”。這個(gè)制度主要拿來(lái)規范和支持安全審核和安全檢查工作的，一般內容包括但不限于規定檢查內容、檢查程序、檢查周期、檢查人員資格、檢查對象、檢查方式、檢查工具、檢查結果處理等內容。

總結

以上就是等保三級里面安全管理機構的全部測評內容，別看內容不多，但要測評起來(lái)還是很麻煩的。曾經(jīng)給一個(gè)金融行業(yè)的客戶(hù)做評估，使用標準是通用標準+行業(yè)標準，就這么點(diǎn)內容，給他們測了一下午的時(shí)間。

心得：

測評過(guò)程中，往往會(huì )遇到各種各樣的問(wèn)題，客戶(hù)的技術(shù)能力也參差不齊，講解的詳細程度也不一樣，我的感覺(jué)是每一次做測評，都像是免費送了一次安全培訓。由此可見(jiàn)，打鐵還需自身硬，企業(yè)想要做好安全工作，僅僅靠外部力量是不行的，還需要企業(yè)自身有相關(guān)的安全人才。

另外多說(shuō)一句：

等保涉及安全的各個(gè)方面， 并不是那么簡(jiǎn)單的，需要大量的安全經(jīng)驗累積，希望想從事等保測評的同志好好仔細看看，歡迎留言交流。

來(lái)源：FreeBuf