下载百度知道APP，抢鲜体验

使用百度知道APP立即抢鲜体验。你的手机镜头裏或许有别人想知道的答案

《网络安全法》明确规定信息系統运营、使用单位应当按照网络安全等级保护制度要求履行安全保护义务，如果拒不履行将会受到相应处罚。

1. 省辖市以上党政机关的偅要网站和办公信息系统；
2. 电信、广电行业的公用通信网、广播电规传输网等基础信息网络经营性公众互联网信息服务单位、互联网接叺服务单位、数据中心等单位的重要信息系统；
3. 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部門的生产、调度、管理、办公等重要信息系统。

信息系统的安全保护等级分为以下五级一至五级等级逐级增高：

信息安全等级保护工作包括 定级、备案、整改建设、等级测评、监督检查五个阶段。

等保基本要求的三种技术类型（S/A/G）

2019年5月13日在网络安全领域，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技術 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准今日正式发布2019年12月1日开始实施。

1、結构的变化：将安全管理中心从管理层面提升至技术层面

目前大量嘚数据都是保存在数据库中的数据库提供了基本的用户名/口令保护，必须有相应的用户名/口令才能查询到数据而且不同用户之间也不能随意看到对方的数据。

但是数据一旦保存在数据库里就真的安全了吗事实并非如此简单。因为在数据库中还存在一些所谓的“超级用戶”（也称为DBA——数据库管理员的英文文缩写）例如Oracle数据库中的sys和system用户，IBM DB2数据库的db2admin用户, Microsoft SQL Server或Sybase数据库的 sa用户只要用这些超级用户登录数据庫，就可以看到数据库中所有用户的数据也可以修改任何用户的数据。

为什么会存在这些超级用户呢这些超级用户是数据库创建过程Φ的缺省用户，可以认为是数据库中的“造物主”因为所有新的用户都是由他们创建的。他们就象Unix系统的 root 用户Windows的Adminstrator用户，有着至高无上嘚权力当然，为了安全一般这种超级用户的口令都被掌握在极少数人手里。

但是过度集中的权力都会带来问题当超级用户拥有最高權力的时候，意味着他或她可以做任何想做的事而且可以不留下任何痕迹。

现实世界里解决权力过度集中的方式之一就是三权分立我們想象一下，如果有人可以执行管理数据的操作有人负责控制管理数据的规则，另外还有人监督和审计前两类人的行为那么权力过度集中的问题就可以通过互相制约被解决。这就和政治学里著名的行政、立法、司法三权分立不谋而合

BMB20-2007 提出的系统管理员、安全保密管理员和咹全审计员是 3 类岗位或角色并不是指 3 个人，可以是多人各涉密信息系统应该根据实际情况，配备合理数量的安全保密管理人员以满足系统安全保密管理的需要。

1. 系统管理员主要负责系统的日常运行维护工作其主要职责是确保涉密信息系统处于无故障运行的状态。
2. 安铨保密管理员主要负责涉密信息系统的日常安全保密管理工作包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查汾析，是整个系统安全方面的主要责任人
3. 安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查，及时发现违规行为并定期向系统安全保密管理机构汇报相关情况。
   

以下是数据管理三权分立的详细规划：

【第一类】用户是数据库管悝员他们有数据的管理权（行政权）。

他们可以授予和取消普通用户数据访问的权限执行数据管理的各种操作。他们仍然能做一些特殊的需要数据库级权限的操作，例如备份整个数据库的数据但是传统的数据库管理员的“万能”的权力被大大削减，包括创建新用户嘚权限也会被收回

【第二类】用户是安全管理员，他们拥有安全规则的制定权（立法权）

和之前的由DBA管理用户权限不同的是，他们在數据库原有的权限管理之外对数据的访问控制做更周密和灵活的规则设置。例如指定某些敏感数据的集合只能被指定的用户访问如果沒有被指定，即使是DBA也无法访问又例如，即使是数据的所有者也可以被安全管理员限制不能删除自己的数据。安全管理员可以规定某些操作只能在某个时间段内执行或者某些操作只能在指定的IP地址上执行。

但是安全管理员不能为用户授予各种权限也就是说，如果要想让某个用户（包括安全管理员自己）看到另一个用户的数据还必须由另一个用户自身或者数据库管理员先对该用户授权。这是一种互楿制约的机制安全管理员可以创建新用户，可以指定新用户为某些敏感数据的允许访问者这是个必要条件。但是并不意味着这个新用戶就可以看到这些敏感数据他还需要得到DBA的授权。而DBA也不再能随意查询或修改其他用户的数据DBA原来的种种特权也可以被安全管理员根據实际需求通过命令规则进行限制。

【第三类】用户是审计管理员他们拥有数据操作的审计权（司法权）。

他们可以监督前两类用户的操作如果发现有不符合法规或内部控制要求的活动，他们可以调查这些活动的细节这些活动可能包括数据库管理员将权限授给不合适嘚用户，或者安全管理员临时取消某些安全规则以方便某些用户执行非法操作等等。

审计管理员和安全管理员一样本身都不能执行对其他用户的具体数据的操作，这是一种平衡但是审计管理员拥有一套机制，可以保护审计记录数据不会被数据库管理员或者安全管理员刪除或者篡改对于普通的数据库用户，相当于平民大众他们的日常操作不会受到任何影响，所有访问数据库的应用程序也不需要做任哬修改但是他们对敏感数据的所有操作，也可以被记录下来受到审计管理员的审计和监督。

至此滥用数据库超级用户特权的安全漏洞可以完全被堵住。整个数据管理的安全性也得到了本质的提高

系统管理员、安全保密管理员和安铨审计员分别承担本单位涉密信息系统的日常运行维护（配置）、安全保密管理（授权）及安全审计（审计）工作。“三员”权限设置相互独立、相互制约安全保密管理员与安全审计员不得由一人兼任。

（一）定期或不定期巡检确保机房设备的安全和正常运行，发现异瑺情况及时处理；
（二）掌握网络设备配置情况负责网络和设备的管理维护，及时排除故障；
（三）安装、配置涉密终端做好维护和故障处理；
（四）负责重要数据的定期备份和数据恢复。

二、安全保密管理员职责
（一）掌握本单位涉密终端的配用情况建立管理台账（包括数量、密级、责任人、责任处室、安放地点等）；
（二）管理分配用户账号及相应权限，定期更改口令；
（三）负责安全设备的日瑺管理和维护；
（四）每月对重要安全产品的日志进行分析整理及时发现安全保密隐患并妥善处理。

（一）审计涉密信息系统安全策略執行情况；
（二）每周查看安全审计记录并记录审查情况；
（三）定期备份安全审计日志，保留周期为两年；
（四）每月检查系统管理員和安全保密管理员的工作情况并进行符合性检查，形成审计记录报送主管领导；
（五）在工作中发现问题应立即报告主管领导。

【背景】服务器宕机，好捉急！有些人对服务器宕机没什么但对于那些赚起钱来堪比印钞机的互联网公司一分、甚至一秒服务器宕机都无法容忍，这种情况如何避免呢——双机热备方案。

【需求】保证服务器正常运行提高服务器的高可用性，避免服务器单点故障比如说:服务器宕机对于一些需要实时在线的用户而言，网站打开不等于丢失了客户更有甚者丢失数据，造成更大的经济损失

【原理】双机热备即使用两台服务器互相备份。当一台服务器出现故障时可由另一台服务器承担服务任务，从而在不需要人工干预的情况丅自动保证系统能持续对外提供服务。

双机热备采用两台服务器（尽量配置完全相同不一样存在未知风险），使用磁盘阵列共享数据而两台服务器采用一主、一备方式。

两台服务器将以一个虚拟IP连接外网将服务请求发送其中一台服务器完成工作。同时服务器通过惢跳线侦测另一台服务器的工作状态；当一台服务器出现故障时，另一台根据心跳做出判断切换为主、接管工作。对于用户而言这一過程是全自动的，切换时间很短(服务器的应用不同切换的时间不同)。

所谓的站库分离简单说，就是网站和数据库不在同一个服务器上数据库一般用的是内网网络，速度快些安全也好很多。
对于站库分离的系统在做主机安全的测试过程中，需要分别对数据库服务器主机和应用程序服务器主机进行主机安全检测和记录

但是，数据库服务器主机若是阿里云的RDS则可忽略不测。因为此类阿里云数据库服务器主机客户没有策略管理权限，只有一个接口的管理但应用服务器即使放在阿里云也是客户自己管理的，需要进行安全测试

TX引擎，并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案彻底解决数据库运维的烦恼。

如果一个任务由10个子任务组成每个子任务单独执行需1小时，则在一台服务器上执行改任务需10小时

采用分布式方案，提供10台服务器每台服务器只负责处理一个子任务，不考虑子任务间的依赖关系执行完这个任务只需一个小时。(这种工作模式的一个典型玳表就是Hadoop的Map/Reduce分布式计算模型）

而采用集群方案同样提供10台服务器，每台服务器都能独立处理这个任务假设有10个任务同时到达，10个服务器将同时工作10小后，10个任务同时完成这样，整身来看还是1小时内完成一个任务！

小饭店原来只有一个厨师，切菜洗菜备料炒菜全干后来客人多了，厨房一个厨师忙不过来又请了个厨师，两个厨师都能炒一样的菜这两个厨师的关系是集群。为了让厨师专心炒菜紦菜做到极致，又请了个配菜师负责切菜备菜，备料厨师和配菜师的关系是分布式，一个配菜师也忙不过来了又请了个配菜师，两個配菜师关系是集群

为了具有可扩展性和高可用性特点，集群的必须具备以下两大能力：

1. 负载均衡－－负载均衡能把任务比较均衡地分咘到集群环境下的计算和网络资源
2. 错误恢复－－由于某种原因，执行某个任务的资源出现故障另一服务实体中执行同一任务的资源接著完成任务。这种由于一个实体中的资源不能工作另一个实体中的资源透明的继续完成任务的过程叫错误恢复。

分布式是指将不同的业務分布在不同的地方而集群指的是将几台服务器集中在一起，实现同一业务分布式中的每一个节点，都可以做集群而集群并不一定僦是分布式的。 分布式的每一个节点都完成不同的业务，一个节点垮了哪这个业务就不可访问了。集群有一个组织性，一台服务器垮了其它的服务器可以顶上来。

Windows系统可以使用微软自带的远程工具进行连接可以连接的系统有Windows server 和Windows 7-10 等等系列。登录控制台查看服务器系統是什么系统例如阿里云的ECS服务器：

例如Windows10系统，键盘按住win键+R键 打开运行然后输入mstsc 点击确认 打开远程工具
这个操作基本在Windows系列系统上通鼡：
打开远程桌面连接工具后输入服务器的公网IP地址点击连接：
然后输入账号和密码应用测评登录服务器：
Linux服务器远程连接

Linux一般作为服务器使用，而服务器一般放在机房你不可能在机房操作你的Linux服务器。

这时我们就需要远程登录到Linux服务器来管理维护系统Linux系统中是通过ssh服務实现的远程登录功能，默认ssh服务端口号为 22

1. 打开xshell工具，新建一个连接:
   
2. 输入服务器的公网地址然后确认:
   
3. 然后打开找到刚才新建的test进行连接:
   
4. 接下来就是输入账号名和密码应用测评，Linux默认管理员账号为root：
   

需要安装下telnet客户端系统自带的：
按下win键+R键 然后输入CMD 回车打开CMD窗口：
CMD中输叺 ssh 账号名@服务器ip地址:端口号。

云计算是一种新的计算资源使用模式云端本身还是 IT 系统，所以逻辑上同样可以划分为这四层底三层可以洅划分出很多“小块”并出租出去，这有点像立体停车房按车位大小和停车时间长短收取停车费。因此云服务提供商出租计算资源有 3 種模式，满足云服务消费者的不同需求分别是 IaaS、PaaS、SaaS，如图 1 所示
需要注意的是，云服务提供商只负责出租层及以下各层的部署、运维和管理而租户自己负责更上层次的部署和管理，两者负责的“逻辑层”加起来刚好就是一个完整的四层 IT 系统（见图 1 最左侧）

比如有一家雲服务提供商对外出租 IaaS 云计算业务，云服务提供商负责机房基础设施、计算机网络、磁盘柜和服务器/虚拟机的建设和管理而云服务消费鍺自己完成操作系统、数据库、中间件和应用软件的安装和维护。另外还要管理数据信息（如初始化、数据备份、恢复等）。

再比如叧一家云服务提供商出租 PaaS 业务，那么云服务提供商负责的层数就更多了云服务消费者只需安装自己需要的应用软件并进行数据初始化即鈳。总之云服务提供商和消费者各自管理的层数加起来就是标准的 IT 系统的逻辑层次结构。

SaaS 是“Software as a Service”的首字母缩写意为软件即服务。简言の就是软件部署在云端，让用户通过因特网来使用它即云服务提供商把 IT 系统的应用软件层作为服务出租出去，而消费者可以使用任何雲终端设备接入计算机网络然后通过网页浏览器或者编程接口使用云端的软件。这进一步降低了租户的技术门槛应用软件也无须自己咹装了，而是直接使用软件如下图所示。举例说明：企业无需购买软硬件，即可通过互联网使用OA系统、crm客户管理系统、ERP系统等管理软件
以上是SaaS服务的简介，更多关于云计算的资料可参考：

12 月 1 日等级保护 2.0 标准正式实施，鈈过因为是在年底大多数企业等级测评工作已经完成，所以重头戏应该在明年这也是国家给企业充足的学习和整改时间。那么在这個空档期，来和大家聊聊等级保护 2.0 测评时有哪些需要关心的重点吧

有关新老标准的变化，可以参考或三所的解读不再重复，这里说说仳较接地气的东西吧

这里总结了一下，针对通用安全部分三级和四级系统共有 45 条新增以及容易被忽略的要求向，如下表所示：

下面将會针对这些要求项逐条进行说明

1.机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员

按照以前的标准门禁系统可以不是电孓系统，可以通过流程和人来管控但在新的标准中要求必须是电子门禁系统，即使流程管控再严格也是不符合要求的

2.重要区域应配置苐二道电子门禁系统，控制、鉴别和记录进入的人员（四级）

针对四级系统的要求通常机房中会按照区域进行划分，但是对于重要区域嘚二道门禁一般机房目前并无配置，因此这点要注意尽快安装配备相应设施。

3.应采取措施防止静电的产生例如采用静电消除器、佩戴防静电手环等

本项其实不算大事，但是也是容易忽略的问题往往进了机房习惯性的上机就开始操作，不做除电这里可以在每排机柜仩配备一个防静电手环，在机房制度中新增一条关于静电消除的操作规范要求基本可以符合。

4.应设置冗余或并行的电力电缆线路为计算機系统供电

要求三级及以上系统所在的机房要具备双路并行电力线路来自不同供电站的电缆，目前大多数自建机房应该是不符合要求夶型 IDC 和云机房通常都有相关设计。不过介于整改比较困难应该不会作为否决项，只是扣分而已

5.应提供应急供电设施（四级）

针对四级系统的电力要求，基于三级要求还要额外配备发电机，以应对市政停电情况标准中并未提到双发电机的要求，但是介于冗余性考虑囿条件的可以配备。如果是大型数据中心要配置多少台就要看实际规模了，一般是在 10-20 台的机组采用 2N 或 N+1 的配置模式。这不是我们需要关惢的所以看看就好。

1.应在通信前基于密码应用测评技术对通信的双方进行验证或认证（四级）

通常默认情况我们 SSL/TLS 的认证是单向的，即呮对服务端认证那么对于四级系统，新标准要求必须开启双向认证即同时对客户端也要进行认证。这里额外说明一下根据公安三所專家的解读，通信加密所采用的算法应该基于国密算法（SM1、SM2、SM4、SM9 等）而非国际通用加密算法，不过介于目前大多企业采用的设备不支持國密算法另一方面国密算法的推广和应用也在逐步完善，因此个人认为此项也非否决项只是扣分项，不过未来可能会变为强制要求（有关双向认证的细节，可参考本人之前发表的等保 2.0 个人解读安全通信网络部分）

1.应能够对非授权设备私自联到内部网络的行为进行检查戓限制（入侵检测）

2.应能够对内部用户非授权联到外部网络的行为进行检查或限制（行为管理）

此处两条是东西向的访问检测与限制目湔通过 IDPS 以及行为管理设备基本可以满足相应要求，测评时可能会查看策略启用效果以及检测和阻断记录需要注意。

3.应限制无线网络的使鼡保证无线网络通过受控的边界设备接入内部网络

首次在标准中提到有关无线网络安全的要求，这里要求比较基础只要各无线 AP 或无线蕗由均通过 AD 进行管理和控制即符合。

4.应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时对其进荇有效阻断

这部分在等保 1.0 中也有过相关要求描述，但没有如此具体该项要求完全从技术上解决目前基本不太可能（当然，如果企业具备將附近基站的数据和语音分离的权限那么这想倒是可以从技术上来搞定），通常是管理为主技术为辅的方式来控制。毕竟个人热点和無线网卡等应用很难及时发现。建议重点在制度上入手形成意识、管理、流程上的多方面管控，以此达到要求

5.应删除多余或无效的訪问控制规则，优化访问控制列表并保证访问控制规则数量最小化

新要求，重点是要定期优化和清理 ACL 以及策略路由等配置测评时会查看当前安全策略配置以及规则优化和清理的记录。

6.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为

这里是对策略进行双姠（in/out）应用强调东西双向控制。

7.应采取技术措施对网络行为进行分析实现对网络攻击特别是新型网络攻击行为的分析

强调对于 APT 和 0day 一类嘚攻击检测和防护能力，介于目前态势感知和威胁平台的水平实现起来很难，而且不是每家都有这么强实力的安全团队所以，如果你叒某某家的态势感知产品通常测评中心不会为难你。对于新型攻击可以从人的角度（应急团队、安全团队）来强化管控和预警能力。

8.應能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

即对外接口的用户行为以及内部访问互联网的用户进荇单独审计如果在同一套审计平台中可以建立不同的审计任务，那么是可以满足要求的如果不行，可能就要搭建两套审计平台来实现不过也不是必须要达到的，属于扣分项

1.应能发现可能存在的已知漏洞，并在经过充分测试评估后及时修补漏洞

定期漏洞扫描工作，這次不是只扫描就 OK 了对于发现的漏洞要进行验证，确认漏洞的真实性然后对于真实漏洞进行整改。很刺激对吧要验证了哦。

2.应能够檢测到对重要节点进行入侵的行为并在发生严重入侵事件时提供报警

这明显说的就是 IDPS 嘛，同行 NGFW 也具备同样能力什么？你们没有防火墙抱歉，我只能帮你到这里了自求多福吧。这条可以直接否了你的本次测评

3.应提供异地实时备份功能，利用通信网络将重要数据实时備份至备份场地

在老标准的基础上等保 2.0 标准明确提出实时备份至异地，不过好在是对于重要数据这点各家根据实际情况来权衡吧。没囿的话肯定是 GG 了有的话看情况，不能做到实时但是有异地备份，这算是基本符合不会被判定否决，可以后期列入整改计划逐渐完善。

中小企业或者云上系统可以把这锅甩给云供应商；大型企业和自建机房/私有云的公司，建议尽可能完善不求有功，但求无过其實基本上等同于双活，只是没提切换延时的要求

4.应仅采集和保存业务必需的用户个人信息

5.应禁止未授权访问和非法使用用户个人信息

这兩条都是关于个人信息保护的要求，基本就如字面意思稍微解释一下，一方面是采集个人信息时只能采集所需的必要信息，对于这类信息你可以收集但是若未授权不得随意访问和修改信息，也就是说信息可以放在你们这，但是我不同意你就不能看，除非协助公安囷相关部门处理特殊事宜时的强制配合

另一方面，信息收集过来后不可以随便向其收集发送各种推销、广告以及恶意链接，这些操作嘟不可以也就是说，对于一些常规流氓操作进行了约束和控制虽然不知道效果如何，但起码提出了相应要求这方面，对于那些需要采集个人信息的系统是比较难搞的一项要求。靠技术展示基本不大可能所以就要尽可能的解释，从管理制度、操作规范、员工培训、懲罚制度、保密协议、流程管控方面来说明你们做得如何好，基本这样就差不多了但是，未来几年数据安全是趋势，信息安全和隐私保护都在立法阶段后续的监控也会越来越严，因此建议还是要从实际出发不要只考虑眼前的测评，多想想以后怎么跟监管解释吧

1.應对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求

2.应能对网络中发生的各类安全倳件进行识别、报警和分析

这两条要求是对日志留存的要求等保 2.0 标准不再对日志留存时间进行要求了，但是对于全流量以及安全事件日誌必须留存那么是不是可以不用再存放 6 个月了呢？

网络安全法第二十一条：

（三）采取监测、记录网络运行状态、网络安全事件的技术措施并按照规定留存相关的网络日志不少于六个月。

大家懂了吧所以以前怎么干的，还怎么干

1.应制定网络安全工作的总体方针和安铨策略，阐明机构安全工作的总体目标、范围、原则和安全框架等

2.应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安铨管理制度体系

3.应定期对安全管理制度的合理性和适用性进行论证和审定对存在不足或需要改进的安全管理制度进行修订

这三条要求中，等保 2.0 标准均有所变化尤其最后一条，要对合理性和适用性进行论证那些模板的东西已经没用了。

那么怎么来改呢方针和策略一般公司都会有，如果没有的话尽快制定 2020 的 IT 和安全规划，目标和策略其实可以很简单好比阿里的三句话策略。但是要贴合实际不要胡扯。

那么策略、制度、规程、表单（ISO 27001 的四级文档）就会配套进行修订形成一套体系，如果已通过 ISO 27001 认证的可以以此来证明自己已有安全管悝制度体系。没有的要尽快建立一套贴合业务和 IT 现状的制度，可以简单点只要能落地就好。

最后关于合理性和适用性，一般是对于淛度和流程的落地试点情况体系比较完善的企业，在制度发布或修订时会进行内部评审通过后才可正式发布。没有相关流程的企业鈳以将此作为缺失的环节，在后续制度体系中增加或完善相应管理

1.应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由單位主管领导担任或授权

这点很多公司都没做好主要体现在两个方面。一是领导小组架构和职责很明确，但是岗位责任人是职位（如總经理、安全部总监）而不是人名这样就无法做到责任落实，不符合领导小组的初衷；二是组长的任命是空口说的，没有正式的任命函或董事会级别的正式通知这两点如果都能做好，基本就没太大问题了

2.应针对系统变更、重要操作、物理访问和系统接入等事项执行審批过程，对重要活动建立逐级审批制度

老生常谈的事情凡是和安全相关的过程记录都要留存（纸质或电子记录均可），这种东西一般鈈太好凭空去造所以还是建议踏踏实实的去建流程，落实制度流程可以不够全面，但是一定要能落地能运行起来。

3.应定期进行全面咹全检查检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等

等保 2.0 标准强制要求，定期进行全面安全检查不只是技术层面，也包括制度层面通管局、工信部的安全检查是监管，不属于要求中提到的检查要各企业自行組织开展，并形成报告、对发现的问题整改、复测整改情况等今年没做，明年要至少进行一次检查工作类似银保监的安全自查评估。

4.應制定安全检查表格实施安全检查汇总安全检查数据，形成安全检查报告并对安全检查结果进行通报

结合前一项要求，除了自评估安铨检查还要制定检查表，检查过程的现状调研和检查结果记录表单也要汇总保留有点类似于风险评估，包括资产、威胁、脆弱性这裏提一句，某些厂商坑爹的评估也称为风险评估希望各位多去看看 GB/T 20984，好好了解下什么叫风评不要随便测测出个报告就叫风评。

1.应定期對不同岗位的人员进行技能考核

首次提出针对技能进行考核也就是针对不同岗位（运维、安全、开发、测试等），进行相关技能培训与栲核可以不用针对每一个 IT 相关岗位，但是要有一定的覆盖度比如今年我们主要侧重运维和安全，明年主要侧重开发和测试同时在制喥和培训考核计划中也要有体现。

1.应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定

2.应组织相关部门和有關安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定经过批准后才能正式实施

等保 2.0 标准开始，不再提倡自主定级改为由专家进行定级。一般就是由测评机构或者知名安全厂商来进行定级出具定级报告，其中包括评审和论证环节可以是会议记录，也可以是最终的评审报告或定级报告

3.应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码应用测评技术相关内容并形成配套文件

本项要求其实是对三同步的要求，即同步规划、同步建设、同步使用本項不再多说，已经很熟悉了

在业务规划的阶段，应当同步纳入安全要求引入安全措施。如同步建立信息资产管理情况检查机制指定專人负责信息资产管理，对信息资产进行统一编号、统一标识、 统一发放并及时记录信息资产状态和使用情况等安全保障措施。

在项目建设阶段通过合同条款落实设备供应商、厂商和其他合作方的责任，保证相关安全技术措施的顺利准时建设保证项目上线时，安全措施的验收和工程验收同步外包开发的系统需要进行上线前安全检测，确保只有符合安全要求的系统才能上线

安全验收后的日常运营维護中，应当保持系统处于持续安全防护水平且运营者每年对关键信息基础设施需要进行一次安全检测评估。

4.应制定代码编写安全规范偠求开发人员参照规范编写代码

5.应在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测

等保 2.0 标准首次提出咹全开发流程的要求可以理解为 SDL 体系。这里明确指出在编码阶段和测试阶段的安全性要求均为上线前安全管控。以上两条是针对自研軟件

如果没有建立 SDL 流程的企业，可以先解决安全编码部分的问题编码规范应该都会有的。上线前的安全测试这块内容目前大多都会詓做，如果没做那我敬你是个好汉。

6.应在软件交付前检测其中可能存在的恶意代码

7.应保证开发单位提供软件源代码并审查软件中可能存在的后门和隐蔽信道

这两条是对外包软件安全的要求，也是首次提出要外包开发商提供上线前安全测试报告、代码审计报告以及源代码这下甲方开心坏了吧，可以更理直气壮的怼乙方了虽然以前一直都是。但是介于刚刚实施这么靠谱的要求很多乙方是不接受的，一開始可以双方一起来进行安全测试；代码审计一般不会要求严格意义的代码审计报告可以用扫描加人工验证的方式来进行；而对于源代碼，很对乙方是说死不给的可以先提交一部分源码。但这些都是应对本次测评的准备从长远来看，以后对于外包开发要求会规范化標准化，强制化SDL

8.应通过第三方工程监理控制项目的实施过程

那么，除了以上这些乙方觉得没事了么，呵呵

明年开始，外包项目需要聘请第三方监理对整个项目过程质量进行把控和监督，并实时汇报和协调也就是说，除了甲方怼你以后还有一个第三方监理也要怼伱，爽不爽

9.应进行上线前的安全性测试，并出具安全测试报告, 安全测试报告应包含密码应用测评应用安全性测试相关内容

乙方的兄弟伱先别吐血，还没说完呢这回不是你自己，甲方也要一样受苦是不是好受一些了？这条要求也是首次提出要求系统上线前的安全测試中应包含密码应用测评应用安全性测试。

那么这个密码应用测评应用安全性测试又是个什么玩意呢。这是我在查阅了相关制度和材料嘚出的结果：

商用密码应用测评应用安全性评估

指对采用商用密码应用测评技术、产品和服务集成建设的网络和信息系统密码应用测评应鼡的合规性、正确性、有效性进行评估按照商用密码应用测评应用安全性评估管理的要求，在系统规划阶段可组织专家或委托测评机構进行评估；在系统建设完成后以及运行阶段，由测评机构进行评估

《密码应用测评法》（《密码应用测评法草案》已于 2019 年 6 月 10 日经国务院常务会议讨论通过）要求「国家对关键信息基础设施的密码应用测评应用安全性进行分类分级评估，按照国家安全审查的要求对影响或鍺可能影响国家安全的密码应用测评产品、密码应用测评相关服务和密码应用测评保障系统进行安全审查」《信息安全等级保护商用密碼应用测评管理办法》规定：「国家密码应用测评管理局和省、自治区、直辖市密码应用测评管理机构对第三级及以上信息系统使用商用密码应用测评的情况进行检查」。在国家密码应用测评管理局印发的《信息安全等级保护商用密码应用测评管理办法实施意见》中规定「苐三级及以上信息系统的商用密码应用测评应用系统应当通过国家密码应用测评管理部门指定测评机构的密码应用测评测评后方可投入運行」。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用测评应用和测评要求此外，在新版《网络安全等级保護条例》（征求意见稿）明确要求在规划、建设、运行阶段开展密码应用测评应用安全性评估

为规范商用密码应用测评应用安全性评估笁作，国家密码应用测评管理局制定了《商用密码应用测评应用安全性评估管理办法》、《商用密码应用测评应用安全性测评机构管理办法》等有关规定对测评机构、网络运营者、管理部分三类对象提出了要求，对评估程序、评估方法、监督管理等进行了明确同时，组織编制了《信息系统密码应用测评应用基本要求》《信息系统密码应用测评测评要求》等标准及《商用密码应用测评应用安全性评估测評过程指南（试行）》《商用密码应用测评应用安全性评估测评作业指导书（试行）》等指导性文件，指导测评机构规范有序开展评估工莋其中，《信息系统密码应用测评应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理鉯及安全管理六个方面提出密码应用测评应用安全性评估指标

现阶段，商用密码应用测评应用安全性评估试点工作正在有序开展经过層层评审，截止 2018 年 6 月第一批共有 10 家测评机构符合测评机构能力要求具备独立承担并规范开展试点测评任务的能力。中科院 DCS 中心作为首批通过的优秀测评机构正在积极参与密码应用测评应用安全性评估的各项试点工作，为我国密码应用测评事业的发展贡献自己的力量

个囚感觉，这项要求类似可信计算在标准实施初期不做强制要求，以鼓励方式建议企业开展但在后期随着技术和要求的成熟，会逐渐成為强制要求项所以，明年各位可以不用太担心先了解一下就好。

1.应编制并保存与保护对象相关的资产清单包括资产责任部门、重要程度和所处位置等内容

2.应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施

对于资产的管理要求当前大多數企业拥有自己的管控平台，对于 IT 资产进行统一管理主要就是资产梳理和分级分类。如果没有这类平台可以用堡垒机临时替代一下，起码这里不会被扣成零分

3.应对信息分类与标识方法做出规定，并对信息的使用、传输和存储等进行规范化管理

这里是对数据治理提出要求在管理制度中明确对于信息资产的分类和标识依据和规范。目前大多企业属于空白领域明年有关数据安全和数据治理会很热门，因為明年 3 月 DSMM 会正式发布本项要求其实不用很在意，明年测评时除了一些大厂大家基本同一起跑线，你没做我也没做没关系，列入后续嘚工作计划中

4.应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补

这里的要求哃前边安全管理中心的全面安全检查可以结合到一起来看因为最终目的相一致，过程也相似

5.应严格控制远程运维的开通，经过审批后財可开通远程运维接口或通道操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道

等保 2.0 标准首次提出对于远程运维嘚要求原则上不开通远程运维接口。注意这里是说远程运维，而不是远程用户接入通常运维人员一般都应该在机房或办公环境内操莋，除非特殊情况会进行远程运维操作，按照要求以后此类操作要事先审批通过后开通临时接口，操作完成后关闭接口

如果没有远程运维需求的企业，这点不用关心有些企业受业务所限，必须远程操作那么就要按照要求把相关制度规定，流程审批记录，操作记錄接口关闭记录都留存好，以备现场检查

6.对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序（信息泄露应急预案）

7.应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练（出演练外要组织应急预案的专项培训）

这两条放在┅起来说，都是新要求先说第一条关于信息泄露重大安全事件，要建立独立处理和报告程序不能同 BCP 程序一样。个人观点可能除了应ゑ处理外，大公司（阿里、腾讯）还要考虑对外公告和说明情况的流程这部分，因为没有先例所以不知道什么样的流程算标准方案。建议各家可以交流讨论下也可以借鉴一下国外的预案。

第二条比较好理解也是新要求，说的是要针对应急预案每年进行培训不是演練，是培训哦！测评时会查看培训的 PPT以及培训签到记录（可以是电子记录）和培训计划。

OK以上是我认为等级保护 2.0 中新增的一些重点以忣测评时要注意的内容，希望对各位能有所帮助最后，祝贺等级保护 2.0 制度顺利实施也预祝各位能早日通过新标准下的测评。文章只代表个人观点仅供参考。

*本文原创作者：宇宸本文属FreeBuf原创奖励计划，未经许可禁止转载