用一句最简单的话来说,等保整改就是把信息系统中不符合等级保护要求的项目变成符合,比如等保要求企业的机房应设置温、湿度自动调节设施,那企业就应该安装精密空调系统,配置温湿度检测装置,并接入动力环境监控系统。当然,一般来说,信息系统存在的问题往往较多,不可能只有一个。如下是一个保护等级为二级的保险系统存在的安全问题及整改建议,需要做等保整改的企事业单位可作为参考,看看信息系统可能会存在哪些问题,以及如何整改。
等级保护二级保险系统主要安全问题及整改建议:
问题1:
安全通信网络:未采用可信技术进行可信验证。
整改建议:建议采用可信技术进行可信验证。
问题2:
安全区域边界:采用阿里云OSS存储,但审计记录未保存6个月。2)未采用可信技术进行可信验证。
整改建议:建议定期备份审计记录保存至少6个月。2)建议采用可信技术进行可信验证。
问题3:
安全计算环境(网络):1)阿里云控制台:开启阿里云OSS存储,但审计记录未保存6个月;2)阿里云控制台:未限定网络地址范围或接入方式对通过网络进行管理的管理终端进行限制;3)阿里云控制台:采用高级版的阿里云安全中心,未定期漏扫和形成报告,未在充分测试评估后形成测试修复报告;4)阿里云控制台、堡垒机:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;5)堡垒机:被测设备未部署异地备份策略。
整改建议:1)阿里云控制台:建议定期备份审计记录保存至少6个月;2)阿里云控制台:建议限定网络地址范围或接入方式对通过网络进行管理的管理终端进行限制;3)阿里云控制台:建议定期漏扫并形成相关记录以及及时评估修复;4)阿里云控制台、堡垒机:建议采用可信技术进行可信验证;5)堡垒机:建议部署异地备份策略。
问题4:
安全计算环境(OS):1)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:未实现基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:未实现异地备份。
整改建议:1)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:建议基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:建议部署异地备份策略。
问题5:
安全计算环境(DB):1)云数据库RDS(Mysql)【生产数据库1】:被测数据库所开启的数据库洞察审计记录保存不足180天;2)云数据库RDS(Mysql)【生产数据库1】:数据库未开启ssl传输;3)云数据库RDS(Mysql)【生产数据库1】:未开启数据库跨地域备份功能。
整改建议:1)云数据库RDS(Mysql)【生产数据库1】:建议审计记录保存180天以上;2)云数据库RDS(Mysql)【生产数据库1】:建议数据库开启ssl传输;3)云数据库RDS(Mysql)【生产数据库1】:建议开启数据库跨地域备份功能。
问题6:
安全计算环境(应用):1)沃云保系统:被测系统未实现基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)沃云保系统:被测系统未实现异地备份。
整改建议:1)沃云保系统:建议实现基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)沃云保系统:建议部署异地备份策略。
问题7:
安全管理中心:1)暂未设立审计管理员以及通过审计管理员对审计记录进行分析和处理;2)暂未设立审计管理员对审计记录进行分析和处理。
整改建议:1)建议设立审计管理员并限定审计管理员的操作方式,审计审计管理员的操作;2)建议通过审计管理员进行审计操作,对审计记录进行分析和存储等。
问题8:
安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。
整改建议:组织管理层、决策者和制度修订负责人对安全管理制度定期(例行检查,如每年一次)或不定期(当发生重大变更或紧急事故时进行)进行检查和审定,对发现有误、过时、失效等不符合情况进行修订并重新发布新版本。所制定的安全管理制度应该符合相关法律法规或者行业标准的要求、符合公司信息安全发展战略目标要求、符合公司成本效益要求、符合当前技术发展形势要求。
问题9:
安全管理人员:未对各类人员进行安全意识教育和岗位技能培训,未告知相关的安全责任和惩戒措施。
整改建议:制定网络安全教育培训方面的管理制度,明确描述信息安全教育培训职责、对象、培训内容、培训方式、培训过程管理等,并按照规定执行,保存培训记录,制定安全责任和惩戒措施方面的安全管理制度,并告知相关人员,日常工作中应按照规定严格执行。
问题10:
安全建设管理:1)未在软件开发过程中对安全性进行测试,未在软件安装前对可能存在的恶意代码进行检测;2)未进行上线前的安全性测试。
整改建议:1)软件开发过程中应对安全性进行测试,并在安装之前做代码检测;2)对信息系统进行独立的安全性测试,并出具相应测试报告。
问题11:
安全运维管理:1)未制定办公环境管理制度对不随意放置含有敏感信息的纸档文件和移动介质等作出规定;2)未制定资产清单;3)未定期执行备份数据的恢复测试。
整改建议:1)制定办公环境管理制度,并规范办公环境人员行为,包括不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等;2)编制资产清单,覆盖资产责任部门、重要程度和所处位置等内容;3)定期执行备份数据的恢复测试,所有文件和记录应妥善保存。
看到这里,可能有人问了,虽然有整改建议,但公司没有懂这方面的技术人员,也无法实施啊,怎么办?青莲网络作为等保标准制定的参与者之一,在详细整理国家相关等保规范的基础上,为企事业单位提供专业的等保整改咨询服务,我们有二十多个等保的专业技术团队,完全可以根据企事业单位信息系统存在的问题,以最短的时间完成整改,帮助客户成功通过等级测评。
| 青莲网络专业等级保护咨询整改方案 | |
| 等级保护建设差距分析服务 | 针对定级备案系统所在的系统环境进行调研,以分析信息系统当前风险状况,明确等级保护整改需求和重点。 |
| 等级保护安全整改与加固服务 | 包括重要信息系统相关的网络结构化设计,网络安全、服务器主机、数据库系统、中间件系统等设备的采购及部署,产品集成实施、主机安全基线配置、应用及数据库安全配置、主机及应用打补丁、安全审计策略配置、应用代码整改等内容。 |
| 等级保护测评辅助服务 | 重要信息系统整改完毕后,我们将按照等级保护基本要求和等级保护测评准执行一次差距测评,并根据测评结果弥补缺漏,尽力让企业等级保护测评一次通过。同时,我们还将协助测评机构开展等级测评。 |
| 等级保护管理体系建设服务 | 等级保护对安全管理体系也有要求,针对于此,我们将根据等级保护安全管理基本要求,为重要信息系统建立起符合的安全策略、安全管理制度、安全操作规范等,使企业的信息系统能在符合等保要求的环境中平稳运行。 |
| 等级保护专业咨询服务 | 技术团队为企业提供7×24小时专业等保咨询服务,解答企业关于等级保护的任何问题。 |
