一般來說，需要做等保的信息系統(tǒng)都是單位重要的信息系統(tǒng)，承載著單位的核心業(yè)務(wù)。并傳輸和存儲著大量的敏感信息。

這樣的信息系統(tǒng)是個(gè)香餑餑，肯定會被內(nèi)外部的不法分子盯上（外部多點(diǎn)，內(nèi)部少點(diǎn)）。所以，我們需要從多層級、多維度來建設(shè)整體的安全防御體系。

這個(gè)整體安全防御體系，站在等保的視角下主要有這幾大塊，每一大塊里面又有很多小的要求。

• 安全技術(shù)要求

• 安全管理要求

• 安全運(yùn)營要求

那么今天這篇就先聊一下安全技術(shù)要求，明天后天聊一下安全管理要求和安全運(yùn)營要求吧。

安全技術(shù)要求，站在等保2.0的視角又分為以下幾個(gè)小塊：

• 物理環(huán)境安全要求

• 通信網(wǎng)絡(luò)安全要求

• 區(qū)域邊界安全要求

• 計(jì)算環(huán)境安全要求

每個(gè)小塊內(nèi)容雖然有點(diǎn)繁瑣，但是理解了就不麻煩了。開始吧！

1、物理環(huán)境安全要求

物理環(huán)境如果出問題，很可能會導(dǎo)致網(wǎng)絡(luò)癱瘓、網(wǎng)絡(luò)設(shè)備不能用，那么信息系統(tǒng)肯定也不可用了撒。所以物理環(huán)境是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的前提和基礎(chǔ)。

既然是前提和基礎(chǔ)，等保2.0中就把物理環(huán)境作為第一個(gè)測評大項(xiàng)寫在前面的。物理和環(huán)境安全主要包括機(jī)房建設(shè)、設(shè)備設(shè)施的防盜防破壞、防火、防水、電力供應(yīng)、電磁防護(hù)等，需要在數(shù)據(jù)中心機(jī)房的建設(shè)過程中嚴(yán)格按照國家相關(guān)標(biāo)準(zhǔn)進(jìn)行機(jī)房建設(shè)、綜合布線、安防建設(shè)，并經(jīng)過相關(guān)部門的檢測和驗(yàn)收。如果是按照國家標(biāo)準(zhǔn)建設(shè)的機(jī)房，物理環(huán)境一般都能過等保三級。

目前很多信息系統(tǒng)都是上云的，什么政務(wù)云、阿里云、華為云、騰訊云。這個(gè)物理和環(huán)境安全就很省事了，相當(dāng)于把這部分技術(shù)要求轉(zhuǎn)移給了云廠商了。

2、通信網(wǎng)絡(luò)安全要求

這個(gè)要求其實(shí)就是希望網(wǎng)絡(luò)整體架構(gòu)和傳輸線路要可靠、穩(wěn)定并具有保密性。想一想，如果傳輸過程中都有問題，服務(wù)器防護(hù)得很好有啥用呢？

所以，這塊也算是一個(gè)基礎(chǔ)的安全技術(shù)要求。等保2.0中就把安全通信網(wǎng)絡(luò)作為第二個(gè)測評大項(xiàng)寫在了前面。

這塊內(nèi)容的細(xì)分項(xiàng)主要包括：網(wǎng)絡(luò)架構(gòu)安全、通信傳輸安全、區(qū)域邊界安全、防入侵、防惡意代碼、網(wǎng)絡(luò)安全審計(jì)等。當(dāng)然，等保2.0還有一個(gè)可信驗(yàn)證，不過這個(gè)可信驗(yàn)證一直沒有條件做起來，所以目前就當(dāng)成一面旗幟，指引我們前進(jìn)前進(jìn)前進(jìn)進(jìn)就行。

2.1 網(wǎng)絡(luò)架構(gòu)安全

網(wǎng)絡(luò)架構(gòu)主要強(qiáng)調(diào)的是架構(gòu)能否承載業(yè)務(wù)需要，比如一些關(guān)鍵網(wǎng)絡(luò)設(shè)備有沒有冗余部署；帶寬有沒有滿足業(yè)務(wù)高峰期數(shù)據(jù)交換要求；有沒有合理的劃分網(wǎng)段和WLAN等。

2.2 通信完整性和保密性

通信協(xié)議具有標(biāo)準(zhǔn)、公開的特征。所以，數(shù)據(jù)在網(wǎng)絡(luò)上存儲和傳輸?shù)倪^程會面臨攻擊和欺騙。很好理解吧，都知己知彼了，還不好騙你嗎?

因此，我們要使用一個(gè)法寶——密碼技術(shù)來保證通信過程中的完整性和保密性，這塊一般說是有一個(gè)SSL，就算合規(guī)了。

3、區(qū)域邊界安全要求

3.1 邊界隔離與訪問控制

隨著移動(dòng)辦公的發(fā)展，無線網(wǎng)絡(luò)的使用對網(wǎng)絡(luò)邊界的有效管控帶來了挑戰(zhàn)。為了方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)會保留大量的接入端口，這對于快捷接入到業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行辦公是非常方便的，但同時(shí)也帶來了安全風(fēng)險(xiǎn)?？赡軙?dǎo)致病毒木馬的入侵、文件的泄密等。

所以，我們要對邊界進(jìn)行隔離并進(jìn)行訪問控制。尤其要對無線網(wǎng)絡(luò)的使用進(jìn)行管控。另外，對于內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為要進(jìn)行限制或者檢查。

3.2 防入侵和防病毒

目前計(jì)算機(jī)病毒的傳播不再依賴移動(dòng)介質(zhì)傳播了，主要是網(wǎng)絡(luò)傳播。這種網(wǎng)絡(luò)形態(tài)的病毒一旦通過網(wǎng)絡(luò)邊界傳入局域網(wǎng)內(nèi)部，就會導(dǎo)致信息系統(tǒng)的破壞。因此，我們要在區(qū)域邊界處部署防病毒的安全設(shè)備，在網(wǎng)絡(luò)層進(jìn)行病毒查殺，防止感染系統(tǒng)內(nèi)部主機(jī)。

除了防病毒，其他來自互聯(lián)網(wǎng)、非可信網(wǎng)絡(luò)的各類網(wǎng)絡(luò)攻擊也需要通過安全措施實(shí)現(xiàn)主動(dòng)阻斷，比如端口掃描、DDoS等。

一般云上的企業(yè)級防火墻、WAF和高防就夠用了。

3.3 網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)主要是在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)上進(jìn)行流量的采集和檢測，并進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)分析，從而及時(shí)發(fā)現(xiàn)異常行為。

安全審計(jì)一直是等保比較強(qiáng)調(diào)的點(diǎn)，不僅僅網(wǎng)絡(luò)層面要審計(jì)，應(yīng)用層面、操作系統(tǒng)層面都要有審計(jì)。因?yàn)橐坏┌l(fā)生網(wǎng)絡(luò)安全事件，需要進(jìn)行事件的追蹤與分析，通過審計(jì)才能有效溯源。

4、計(jì)算環(huán)境安全要求

計(jì)算環(huán)境是哪些呢？基本上信息系統(tǒng)的所有設(shè)備、主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備都被囊括進(jìn)來了。

不過，計(jì)算環(huán)境主要包括對主機(jī)和應(yīng)用系統(tǒng)進(jìn)行身份鑒別和訪問控制、安全審計(jì)、對主機(jī)和各類終端的入侵防范和惡意代碼防護(hù)、數(shù)據(jù)保密性和完整性保護(hù)、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)等。具體包括：

4.1 主機(jī)身份鑒別

主機(jī)操作系統(tǒng)登錄必須做好身份鑒別，要提高口令的復(fù)雜度并定期更換。要有登錄失敗處理能力，要能防止鑒別信息被竊聽，這個(gè)呢，一般不太難，不管是哪種操作系統(tǒng)，都有足夠的措施讓你來實(shí)現(xiàn)這點(diǎn)。防竊聽使用加密技術(shù)就行了。

4.2 主機(jī)訪問控制

訪問控制，在等保2.0中，級別越大，要求越嚴(yán)。主機(jī)訪問控制主要為了保證用戶對主機(jī)資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給主機(jī)系統(tǒng)帶來了很大的安全風(fēng)險(xiǎn)。用戶必須擁有合法的用戶標(biāo)識符，在制定好的訪問控制策略下進(jìn)行操作，杜絕越權(quán)非法操作。 

4.3 系統(tǒng)審計(jì)

系統(tǒng)審計(jì)要能覆蓋到每個(gè)能登錄主機(jī)的用戶，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。除此之外，審計(jì)記錄要得到有效保護(hù)。

4.4 惡意代碼防范

除了在網(wǎng)絡(luò)層采取必要的病毒防范措施外，必須在主機(jī)部署惡意代碼防范軟件進(jìn)行監(jiān)測與查殺，同時(shí)保持惡意代碼庫的及時(shí)更新。

4.5 數(shù)據(jù)完整性與保密性

數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。 因此數(shù)據(jù)的備份十分重要，是必須考慮的問題。具體包括： 

需要采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等； 

采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。

4.6 數(shù)據(jù)備份和恢復(fù)

對于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份機(jī)制，而對于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢復(fù)是應(yīng)對突發(fā)事件的必要措施。 

這里再多說一句，應(yīng)用系統(tǒng)的要求也是一樣哈。而且應(yīng)用系統(tǒng)還強(qiáng)調(diào)剩余信息保護(hù)，釋放內(nèi)存或磁盤空間前，上一個(gè)用戶的登錄信息和訪問記錄會被完全清除或被覆蓋。

站在等保2.0的視角下看信息系統(tǒng)安全技術(shù)的要求差不多就是這些，等保2.0的一級、二級、三級要求都會隨著級別的升高而增加，我們在設(shè)計(jì)信息系統(tǒng)的安全技術(shù)體系時(shí)，可以具體的參考標(biāo)準(zhǔn)來設(shè)計(jì)。

THE END