安全資訊

    筆者最近工作原因不斷接觸等保相關(guān)工作，也產(chǎn)生了很多感觸、之前做過(guò)幾次分享，在此總結一下，如有疑問(wèn)或者難題歡迎留言探討，廢話(huà)不多說(shuō)先把導圖上了：

        一、測評對象：
    從測評對象上來(lái)講，等保更全面的覆蓋了互聯(lián)網(wǎng)新興行業(yè)包括云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工控系統，由于筆者行業(yè)經(jīng)驗有限，物聯(lián)網(wǎng)、工控可能并不了解，但云計算方面大致研讀了一下，在責任劃分上比較清晰，比如使用了Iaas服務(wù)，那么物理層以上的歸自己測評，Pass服務(wù)則應用級以上自己測評，如果采購了Saas服務(wù)則賬戶(hù)體系等由自己測評，總歸一句話(huà)：自己那攤子事自己測評。
        二、測評流程
    測評流程分為：確定定級對象——初步確定等級——專(zhuān)家評審簽字——主管部門(mén)簽字——公安備案審查——最終確定定級
    定級對象：其中定級對象根據系統面向對象（如面向內部還是面向社會(huì )群眾）、系統內存儲與傳輸數據的敏感程度（如是否有真實(shí)的用戶(hù)手機號、身份證等信息）以及存儲的量級等，在定性過(guò)程中其實(shí)可以考慮更同行業(yè)、同類(lèi)型系統去對比
    專(zhuān)家評審：近期卡的稍微嚴格了一些，建議聘請三位外部專(zhuān)家（具備評測資格資質(zhì)的）共同評級并簽字，備案期間會(huì )檢查；
    公安備案審查：近期臨近十月一，由于之前發(fā)文說(shuō)十月一之后公安部將不再接收等保1的報告，所以最近定級備案、等保測評的比較多，目前北京地區貌似海淀非?；鸨?，其他分局還好。
        三、測評差異項
    總體來(lái)講更加務(wù)實(shí)一些，之前演講時(shí)做了幾條總結：
    刪除過(guò)時(shí)攻防姿勢，新增應對新型攻擊要求；
    刪除審計結果報表，重視審計過(guò)程記錄；
    網(wǎng)絡(luò )邊界的訪(fǎng)問(wèn)控制細粒度強化；
    個(gè)人信息保護要求強化，強化賬戶(hù)系統；
    可信計算技術(shù)建立系統到應用的信任鏈；
    降低內部人員專(zhuān)人專(zhuān)項，加強外部人員安全管控；
    加強外部與自研服務(wù)系統安全檢測，加強漏洞風(fēng)險管理；
    管理制度方面其實(shí)大部分企業(yè)都是對內一套對外一套，對內務(wù)實(shí)對外務(wù)虛；
        四、高風(fēng)險項
    等保高風(fēng)險項很快隨之而出，其實(shí)該部分內容相對還是很實(shí)用且在基礎安全中需要關(guān)注的點(diǎn)，大概分為兩塊：1、網(wǎng)絡(luò )設備、安全設備、主機設備；2、應用系統。整體來(lái)講在細則上可以做一些總結提煉：
    1、弱口令、默認口令、
    2、遠程管理防護
    3、雙因素認證
    4、惡意代碼防范
    5、審計措施
    6、不必要服務(wù)處置
    7、已知重大漏洞修復、測試發(fā)現漏洞修復
    8、用戶(hù)權限管控
    9、訪(fǎng)問(wèn)策略管控
    10、數據完整性、保密性（傳輸、存儲）、備份恢復
    11、數據采集、存儲、使用、訪(fǎng)問(wèn)以及敏感信息處理
        五、其他實(shí)時(shí)性問(wèn)題
    其實(shí)實(shí)時(shí)性的問(wèn)題更加準確且能預測企業(yè)需求，比如筆者近期接到的一些通知，其實(shí)在其他單位也很快收到了相同的通告，并以此去分享處理方式方法，相互協(xié)助幫忙更加實(shí)用一些，也希望各位能多分享自己最近接觸到的事件。