【牛人访谈】中小企业等保合规的痛点、难点和要点

随着网络威胁不断复杂化和组织化，网络攻防的“军备竞赛”持续升级，新冠疫情带来新的网络威胁，作为网络安全的“弱势群体”，安全意识、管理、人才、资金捉襟见肘的中小企业也正面临越来越严峻的“安全鸿沟”问题。

围绕等保合规建设实现安全管理体系化，是当下中国中小企业全面提升安全防护能力的必要路径和契机。对于中小企业来说，最常见的误区是：把等保测评当成“应试”和负担。事实上等保不是考试，不是为了应付，而是通过等保发现问题解决问题，提高信息系统的安全防护能力。此外，等保只是网络安全的手段而不是目的，是起点而不是终点。与安全能力“三同步”建设和投资策略匹配的“合规”，才是高效实现“持续安全”和“动态安全”的基础。

安全牛邀请到了行业资深从业者蔡培特先生，就中小企业等保合规的“痛点”、“难点”和“要点”，给出了深入浅出，简明扼要的分析和建议，也是中小企业网络安全建设不可错过的“快速指南”：

蔡培特

多年IT从业经验，从事过运营商网络集成、运营商安全运维、测评机构。为大量大、中、小政企单位开展过安全评估、等保测评、安全加固、体系建设等工作，现从事甲方企业安全建设。

一、痛点：自主开展等保合规建设的意义

自2017年6月1日《中华人民共和国网络安全法》发布以来，各政企单位等保测评如火如荼的开展。那么为什么要开展等级保护工作呢？主要有以下几个原因:

第一、满足国家相关法律法规和制度的要求。等级保护是我国网络安全的基本政策，网络安全法规定了我国实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。单位未开展网络安全等级保护的，发生网络安全事故或受到监管机构检查，单位处一万以上十万以下罚款，责任人处五千以上五万以下罚款。目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。

第二、项目管理可控。自主开展等级保护工作而非由监管机构检查后责令整改，对单位来说能掌握更多的主动权，时间上也相对充裕许多，在项目管理的角度上来讲，时间管理、质量管理及成本管理更加可控。

第三、安全管理体系化，防护能力提升。通过等级保护工作，发现单位信息系统与国家安全标准之间存在的差距，对系统资产的梳理、系统存在的风险点、制度流程的缺陷会有一个更加清晰的认识，查明目前系统存在的安全隐患和不足，通过安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，在相关管理流程上会更体系化。

二、难点：等保测评的问题及解决方案

中小企业在开展等级保护测评，多多少少都会出现些问题，笔者结合自身工作经历，对所遇的主要问题进行了一个归纳。

1、管理层缺乏意识。单位管理层在网络安全方面缺乏意识，认为业务系统能正常运行，并未出现故障，网络安全等级保护的建设没有开展的必要。又或者认为业务系统在内网运行，未开放互联网访问，可不开展网络安全等级保护建设。

2、资产管理混乱。管理人员对信息系统的资产管理缺乏完整的交接，没有清晰全面的资产清单，造成资产管理的混乱。

3、缺乏专业人员。单位未配备专业的信息安全管理人员，单位内部可能相关IT管理人员就1至2个，负责网络管理及桌面运维，说起网络安全等级保护，可能是一头雾水，对网络安全等级保护如何开展没有概念，无从入手。

4、系统整改难度大、整改周期长。单位业务系统维保过期，主机层面漏洞、数据库层面漏洞、应用层面漏洞及网络层面的漏洞整改需要专业技术人员；业务系统存在的漏洞，整改会对生产业务造成影响，或是造成系统使用的不便，如密码复杂度、定期改密、超时退出等，在整改推行上会有较大的阻力。

5、经费缺乏。此问题与管理层缺乏意识也有相关，整改过程中难免会需要采购一些安全设备，比如网络必须具备入侵检测手段，在经费缺乏的条件下，无法进行入侵检测或入侵防御设备采购，无法满足该测评项，会导致最终无法通过等保测评。

测评或者说等保不是考试，不是为了应付，而是通过等保发现问题解决问题，提高信息系统的安全防护能力。每个单位推行等保工作都会有很多阻碍，但是我们的等级保护工作又不得不做，那怎样合情合理地开展呢？

1、针对管理层缺乏意识、经费缺乏方面，信息化部门负责人必须肩负起信息安全管理的责任，在公司内部不管是管理层还是普通员工，都要做好信息安全意识宣贯，网信部、网监部门会有定期开展信息安全检查及通报，信息化负责人可收集此类通报情况，开展管理层信息安全意识宣贯，分析网络安全等级保护建设的必要性及未开展的严重性，落实项目经费。

2、针对资产管理混乱方面，需加强制度与流程建设，开展变更后及时更新资产清单，定期对资产进行梳理。

3、针对专业人员缺乏与系统整改困难方面，单位可在开展项目采购时，采购第三方安全服务，协助单位开展等保测评与整改，整改过程中单位管理人员需关注变更的风险，做好风险评估与回退计划，在某些测评点无法满足要求的条件下，非一票否决项的，可采取纵深防御的思路，例如主机层面配置登录失败限制等，linux服务器在配置此项时容易导致ssh登录出现故障，此项如网络中具备运维审计系统，可通过运维审计系统实现主机登录管理的登录失败限制，前提是网络做好访问控制策略限制主机只允许运维审计系统进行登录管理，当然如果主机能配置该项策略是更为安全的，分别从网络层及主机层对服务器的登录失败进行限制。针对缺乏应用系统维保的，应用系统漏洞无法开展整改的，可以请第三方开发商进行二次开发，或者采用安全设备进行防护，如缺乏日志审计功能，可采用数据库审计设备，从网络层对应用层风险进行降低，通过网络中数据库操作流量进行抓取记录，满足审计要求。

三、要点：项目的立项与采购

等保建设项目的立项，需要先梳理好单位信息系统资产，明确需要开展等保测评的信息系统，管理人员对系统出现问题后的严重程度、影响范围要做到心里有数，才能确定信息系统需按照哪个级别的要求来开展测评及整改。

在梳理完系统资产后，进行风险的评估，评估系统中仍缺乏哪些防护，需要采购的新设备及服务等，预留好相关的经费与整改时间。如管理人员确实对网络安全等级保护的开展无相关概念，可以对测评机构或者信息安全服务商进行咨询及售前的调研，了解相关概念及流程，由安全服务商给出完善的解决方案。单位对安全服务商给出的解决方案中需要采购的产品，仍需开展选型工作。产品的选型对管理人员具有极大的意义，可让管理人员对产品有详细的认知，避免安全产品完成采购后却无法实现相关安全需求，且方便管理人员后续对设备的运维管理。

项目的立项极为重要，涉及系统等级的确定、经费预算、整改时间的确定，对后续的系统整改有较大的影响。建议单位开展前可多与安全服务商进行沟通咨询。

等保测评项目的采购，可直接向具有测评资质的测评机构采购，此类对单位技术人员的要求较高，需要单位具备专业安全管理人员且熟悉等保测评标准及流程。如单位缺乏专业安全管理人员，可向安全服务商进行采购，由安全服务商提供全套的解决方案，此处仍建议安全产品的采购经过充分的选型，可以由安全服务商推荐产品，但品牌在经过充分选型后再进行采购。

四、要点：等保测评流程

等保测评的流程，主要分四步，定级备案、差距测评、安全整改、验收测评。

定级备案可自行准备好相关材料，主要为定级备案表、定级报告，如单位已做完资产梳理，对填报备案材料的工作会有较大的便利，如前期未做资产梳理，可以在填报材料的同时时开展资产的梳理。此部分也可由安全服务商开展现场调研后协助填报。

差距测评，主要由测评机构或安全服务商根据等保测评标准先进行一次评估，给出系统问题清单或差距评估报告；评估过程中涉及渗透测试、漏洞扫描的，单位必须先做好数据备份，建立相应的回退计划，避免业务系统过于老旧在漏洞扫描时由于占用系统资源过多而出现故障，造成数据丢失。

安全整改，单位根据测评机构或安全服务商给出的系统问题清单或差距评估报告，开展安全整改。单位可以由安全服务商根据问题清单编写整改方案，评估系统中缺失的防护手段并进行补充，对于缺乏维保的主机或数据库漏洞，在缺乏专业技术人员的条件下，可通过限制地址访问的方式，规避漏洞扫描的结果，这也是一种纵深防御的方法。

验收测评，在开展安全整改后，如合规率能达到70%，且不存在高风险项，可由测评机构开展验收测评。在通过测评并拿到测评报告后，仍需将测评报告提交网监进行备案，在取得报告备案回执后，整个等级保护测评项目完成。

各单位在开展等保建设时，须正确的看待等保建设这一工作，以等保这一框架来完善公司的信息安全管理体系，而非消极的采取应付的方式来应付等保测评。

五、总结

完成等保测评后，并不意味着你的网络安全等级保护建设已经完成，恰恰相反，这意味着你的网络安全等级保护建设才刚刚开始。等保测评，只是给你提供了一个网络安全保护的框架，让你对你的系统的安全风险有个更清晰的认识，给你一个从管理和技术不断优化完善的方向。安全建设是一个持续改进的过程，网络安全的破坏远比建设要容易，对于攻击者来说，只需要找到系统的一个弱点，就可以达到入侵系统的目的，而对于企业人员来说，必须找到系统的所有弱点，不能有遗漏，才能保证系统不会出现问题。所以安全建设的纵深防御与持续改进，是必不可少的。等保的“三同步”原则，正是由此而来，同步规划，同步建设，同步使用，让安全建设贯穿整个系统生命周期。