文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。本文来了解一下等保2.0中安全通用要求中对于第二级别的安全建设管理要求首先我们出示一张对比表格看看安全区域边界要求中第二级别和第一级别的区别。控制点第一级要求第二级要求变化类型定级和备案书面说明定级理由专家论证 部门批准 公安备案从“自己定”到“专家定政府备案”安全方案设计根据等级选措施书面方案 专家论证审定从“心里有数”到“方案有据、专家把关”产品采购和使用网络安全产品合规密码产品须通过国密认证新增密码合规要求自行软件开发❌ 无✅新增开发与生产环境隔离 安全测试 恶意代码检测新增控制点外包软件开发❌ 无✅新增交付前检测恶意代码 提供设计文档和指南新增控制点工程实施指定专人负责制定安全工程实施方案从“有人管”到“有方案地管”测试验收安全性测试验收制订方案 形成报告 专门安全测试从“测过”到“有据可查地测过”系统交付交付清单 运维培训提供建设文档 运维文档新增文档交付要求等级测评❌ 无✅新增定期第三方测评 重大变更复测 机构须有资质新增控制点服务供应商选择签协议明确责任协议覆盖服务供应链各方从“管直接签约方”到“管整个供应链”我们可以看到第二级别“安全建设管理””共包含10个控制点。相比第一级新增了3个控制点分别是自行软件开发、外包软件开发和等级测评。同时对于其他控制点都有增强我们将会对新增部分进行讲解至于第二级别安全建设管理的详细全部要求将体现在汇总表格上。首先是控制点定级和备案要求增强新增专家论证部门批准公安备案。第一级只要求“书面说明”第二级增加专家论证、部门批准、公安机关备案简单说就是不能自己拍脑袋定级。要把定级的理由写清楚请专家评审经过单位领导批准再到公安机关正式备案。这是因为第一级系统只影响个人自己定级没问题。第二级系统可能影响企业或社会定级不准可能导致保护措施不足或成本浪费。专家论证保合理性公安备案合法化是等保制度的法定程序。要求建立规范的定级与备案流程确保定级结果的合理性和合法性。定级不是“自己说了算”必须经过专家论证、部门批准、公安备案三道关口。最低底线是1. 书面定级报告说明定级方法和理由2. 组织专家论证有记录3. 定级结果经部门批准4. 向主管部门和公安机关提交备案材料。第二点是安全方案设计要求增强的是书面方案专家论证审定。第一级只要求“选基本措施”第二级要求方案要论证、批准才能干。简单说就是要求制定书面的安全方案将安全保护等级要求转化为具体的技术实现措施并通过专家论证确保方案的合理性和可行性。这因为没有设计图就施工安全措施容易“东一榔头西一棒子”。第二级系统必须有系统性、规范化的安全设计方案且经专家把关确保安全措施与风险水平匹配。要求是制定书面的安全方案将安全保护等级要求转化为具体的技术实现措施并通过专家论证确保方案的合理性和可行性。最低底线是1. 有书面的安全方案2. 方案内容符合定级要求3. 组织专家论证审定4. 方案经批准后方可实施。第三点是产品采购和使用要求增强的是密码产品合规要求。第一级只要求“安全产品合规”第二级明确要求密码产品要通过国密认证。简单说就是买防火墙、VPN等安全产品不仅要买正规的如果涉及密码产品如加密机、VPN中的国密算法模块还必须符合国家密码管理局的要求。这是因为密码技术是网络安全的根基。第二级系统涉及的数据安全要求提高若密码产品不合规整个加密体系可能形同虚设。国家密码管理局的认证就是为了确保密码技术安全可控。要求是明确网络安全产品须符合国家有关法规标准特别是密码产品必须采用国家密码管理主管部门批准的算法和产品确保密码技术的合规性和自主可控。最低底线是1. 采购的网络安全产品符合国家有关规定2. 采购的密码产品符合国家密码管理主管部门要求有相关认证证书第四点是自行软件开发这是新增的控制点原文是a) 应将开发环境与实际运行环境物理分开测试数据和测试结果受到控制b) 应在软件开发过程中对安全性进行测试在软件安装前对可能存在的恶意代码进行检测。简单说就是如果你们公司自己开发软件如自研OA必须① 开发环境和生产环境物理分开不能连到同一台服务器② 测试数据和结果受控不能用真实用户数据③ 开发过程中就要做安全测试④ 上线前还要做恶意代码检测。这是因为自研软件的安全漏洞是攻击者的主要入口。如果开发过程不规范可能引入SQL注入、后门等严重漏洞。第二级系统必须从源头控制软件质量——开发环境隔离防代码外泄/污染上线前检测防带毒上线。这是从“买成品”到“管过程”的拓展。要求是建立安全的软件开发流程包括开发与生产环境的隔离、测试数据的保护、开发过程中的安全性测试和上线前的恶意代码检测。最低底线是1. 开发环境与生产环境物理隔离2. 测试数据和结果受控管理3. 开发过程中进行安全性测试4. 软件安装前检测恶意代码。第五点是外包软件开发这也是新增的控制点。原文是a) 应在软件交付前检测其中可能存在的恶意代码b) 应保证开发单位提供软件设计文档和使用指南。简单说就是如果软件是外包给第三方开发的必须在交付前检查有没有恶意代码并且要求开发方提供设计文档逻辑结构和使用指南。这是因为第三方开发可能存在供应链安全风险开发方可能在代码中预留后门或者提供了不安全的组件。要求提供设计文档防止系统成为“没人敢动的黑盒”上线前检测恶意代码防止外包代码“携毒入场”。要求是对外包开发的软件进行安全检测和文档管理防止第三方引入恶意代码或留下隐蔽后门并确保系统可维护性。最低底线是1. 软件交付前检测恶意代码2. 开发单位提供软件设计文档和使用指南。第六点是工程实施要求增强的是“制定实施方案”。第一级只要求“指定专人”第二级要求有计划、有方案地实施。简单说就是要求对安全工程实施过程进行规范化管理通过制定实施方案明确施工步骤、责任人、时间节点和质量标准确保工程按计划、高质量完成。这是因为没有方案实施过程就可能“按感觉做”导致安全措施遗漏或质量不达标。第二级系统的安全要求更复杂必须有规范的实施方案作为执行的“施工蓝图”。要求是对安全工程实施过程进行规范化管理通过制定实施方案明确施工步骤、责任人、时间节点和质量标准确保工程按计划、高质量完成。最低底线是1. 指定专人负责工程实施管理2. 制定安全工程实施方案含步骤、责任、时间节点。第七点是测试验收要求增强的是“制订方案形成报告安全性测试”。第一级只要求“安全性测试验收”第二级要求有方案、有报告、有专门的安全测试。简单说就是系统上线前不能直接开干。要有测试验收方案按方案测出报告。特别是还要专门做安全性测试如渗透测试、漏洞扫描出安全测试报告。这是因为第一级系统小、影响小“测没测”很难追溯。第二级系统上线前必须有据可查——方案规定了测什么报告记录了测的结果安全性测试验证了系统“没有明显的安全漏洞”。这是工程质量的“可追溯化”升级。要求是建立标准化的测试验收流程不仅测试功能还要测试安全性并形成书面报告作为系统上线的依据。最低底线是1. 制订测试验收方案2. 按方案实施测试验收形成报告3. 上线前进行安全性测试出具安全测试报告。第八点是系统交付要求增强的是“提供建设文档运维文档”。第一级只要求“交付清单培训”第二级要求文档齐全。简单说就是系统建好了不是口头说一声就行。要清点设备、软件、文档培训运维人员还要提供整个建设过程的所有文档和运行维护需要的文档。这是因为“黑盒”系统交给运维以后出问题谁都搞不清楚。第二级系统要求建设文档和运维文档齐全确保后续可维护性——知道怎么搭的才知道怎么修、怎么改。要求是规范系统交付过程确保交付内容的完整性和可运维性特别是建设文档和运维文档的提供为系统后续运行维护提供技术依据。最低底线是1. 制定交付清单清点设备、软件、文档2. 对运维人员进行技能培训3. 提供建设过程文档和运行维护文档。第九点是等级测评这也是新增的控制点。原文是a) 应定期进行等级测评发现不符合相应等级保护标准要求的及时整改b) 应在发生重大变更或级别发生变化时进行等级测评c) 应确保测评机构的选择符合国家有关规定。简单说就是系统上线后不能不管。要定期找有资质的第三方测评机构做等级测评发现问题及时整改如果系统有重大变更如升级架构或定级变化也要马上重新测评。这是因为第一级系统“不强制测评”是否合规无人验证。第二级系统必须由独立的第三方来验证安全措施是否到位这是等保制度的核心监督机制——通过测评发现差距推动整改形成“建设-测评-整改”闭环。要求是第三方测评机构定期开展等级测评验证系统是否满足相应等级的安全要求并推动闭环整改测评机构须具备国家认可的资质。最低底线是1. 定期进行等级测评2. 测评发现问题及时整改3. 重大变更或级别变化时重新测评4. 测评机构符合国家规定有资质。第十点是服务供应商选择要求增强的是“覆盖供应链各方”。第一级只要求“签协议明确责任”第二级要求把责任传递到整个供应链。简单说就是找外包公司做安全服务必须选合规的服务商并且协议中要明确整个供应链各方的安全义务——不仅仅是直接签合同的那家公司还包括它的下游分包商。这是因为第二级系统可能涉及多层外包如A公司总包、B公司分包。如果只约束直接签约的AB出了问题仍然可能波及系统。要求协议覆盖供应链各方防止“责任断层”。要求是对服务供应商进行全供应链安全管理确保安全责任不因外包而稀释。最低底线是1. 服务商选择符合国家规定2. 签订的协议中明确服务供应链各方的网络安全义务。汇总要求表格如下控制点原文通俗解释原文第二级最低要求底线为什么新增后果维度定级和备案7.1.9.1不能自己拍脑袋定级。要把定级的理由写清楚请专家评审经过单位领导批准再到公安机关正式备案。a) 书面说明保护对象的安全保护等级及确定等级的方法和理由b) 组织相关部门和安全技术专家对定级结果的合理性和正确性进行论证和审定c) 定级结果经过相关部门的批准d) 将备案材料报主管部门和相应公安机关备案。1. 书面定级报告说明定级方法和理由2. 组织专家论证有记录3. 定级结果经部门批准4. 向主管部门和公安机关提交备案材料。第一级系统只影响个人自己定级没问题。第二级系统可能影响企业或社会定级不准可能导致保护措施不足或成本浪费。专家论证保合理性公安备案合法化是等保制度的法定程序。安全方案设计7.1.9.2不能只凭感觉买设备、做配置。要根据定级结果做一份完整的安全方案经过专家评审批准后才能动手实施。a) 根据安全保护等级选择基本安全措施根据风险分析结果补充和调整安全措施b) 根据保护对象的安全保护等级进行安全方案设计c) 组织相关部门和安全专家对安全方案的合理性和正确性进行论证和审定批准后才能正式实施。1. 有书面的安全方案2. 方案内容符合定级要求3. 组织专家论证审定4. 方案经批准后方可实施。没有设计图就施工安全措施容易“东一榔头西一棒子”。第二级系统必须有系统性、规范化的安全设计方案且经专家把关确保安全措施与风险水平匹配。产品采购和使用7.1.9.3买防火墙、VPN等安全产品不仅要买正规的如果涉及密码产品如加密机、VPN中的国密算法模块还必须符合国家密码管理局的要求。a) 应确保网络安全产品采购和使用符合国家有关规定b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。1. 采购的网络安全产品符合国家有关规定2.采购的密码产品符合国家密码管理主管部门要求有相关认证证书。密码技术是网络安全的根基。第二级系统涉及的数据安全要求提高若密码产品不合规整个加密体系可能形同虚设。国家密码管理局的认证就是为了确保密码技术安全可控。自行软件开发7.1.9.4如果你们公司自己开发软件如自研OA必须① 开发环境和生产环境物理分开不能连到同一台服务器② 测试数据和结果受控不能用真实用户数据③ 开发过程中就要做安全测试④ 上线前还要做恶意代码检测。a)应将开发环境与实际运行环境物理分开测试数据和测试结果受到控制b)应在软件开发过程中对安全性进行测试在软件安装前对可能存在的恶意代码进行检测。1. 开发环境与生产环境物理隔离2. 测试数据和结果受控管理3. 开发过程中进行安全性测试4. 软件安装前检测恶意代码。自研软件的安全漏洞是攻击者的主要入口。如果开发过程不规范可能引入SQL注入、后门等严重漏洞。第二级系统必须从源头控制软件质量——开发环境隔离防代码外泄/污染上线前检测防带毒上线。这是从“买成品”到“管过程”的拓展。外包软件开发7.1.9.5如果软件是外包给第三方开发的必须在交付前检查有没有恶意代码并且要求开发方提供设计文档逻辑结构和使用指南。a)应在软件交付前检测其中可能存在的恶意代码b)应保证开发单位提供软件设计文档和使用指南。1. 软件交付前检测恶意代码2. 开发单位提供软件设计文档和使用指南。第三方开发可能存在供应链安全风险开发方可能在代码中预留后门或者提供了不安全的组件。要求提供设计文档防止系统成为“没人敢动的黑盒”上线前检测恶意代码防止外包代码“携毒入场”。工程实施7.1.9.6不能把系统搭建工作扔给施工队就不管了。要指定专人负责盯着并且要制定安全工程实施方案写明怎么做、谁来做、什么时候做完。a) 应指定或授权专门的部门或人员负责工程实施过程的管理b)应制定安全工程实施方案控制工程实施过程。1. 指定专人负责工程实施管理2. 制定安全工程实施方案含步骤、责任、时间节点。没有方案实施过程就可能“按感觉做”导致安全措施遗漏或质量不达标。第二级系统的安全要求更复杂必须有规范的实施方案作为执行的“施工蓝图”。测试验收7.1.9.7系统上线前不能直接开干。要有测试验收方案按方案测出报告。特别是还要专门做安全性测试如渗透测试、漏洞扫描出安全测试报告。a)应制订测试验收方案并依据测试验收方案实施测试验收形成测试验收报告b)应进行上线前的安全性测试并出具安全测试报告。1. 制订测试验收方案2. 按方案实施测试验收形成报告3. 上线前进行安全性测试出具安全测试报告。第一级系统小、影响小“测没测”很难追溯。第二级系统上线前必须有据可查——方案规定了测什么报告记录了测的结果安全性测试验证了系统“没有明显的安全漏洞”。这是工程质量的“可追溯化”升级。系统交付7.1.9.8系统建好了不是口头说一声就行。要清点设备、软件、文档培训运维人员还要提供整个建设过程的所有文档和运行维护需要的文档。a) 应制定交付清单并根据交付清单对所安装的设备、软件和文档等进行清点b) 应对负责运行维护的技术人员进行相应的技能培训c)应提供建设过程文档和运行维护文档。1. 制定交付清单清点设备、软件、文档2. 对运维人员进行技能培训3. 提供建设过程文档和运行维护文档。“黑盒”系统交给运维以后出问题谁都搞不清楚。第二级系统要求建设文档和运维文档齐全确保后续可维护性——知道怎么搭的才知道怎么修、怎么改。等级测评7.1.9.9系统上线后不能不管。要定期找有资质的第三方测评机构做等级测评发现问题及时整改如果系统有重大变更如升级架构或定级变化也要马上重新测评。a)应定期进行等级测评发现不符合相应等级保护标准要求的及时整改b)应在发生重大变更或级别发生变化时进行等级测评c)应确保测评机构的选择符合国家有关规定。1. 定期进行等级测评2. 测评发现问题及时整改3. 重大变更或级别变化时重新测评4. 测评机构符合国家规定有资质。第一级系统“不强制测评”是否合规无人验证。第二级系统必须由独立的第三方来验证安全措施是否到位这是等保制度的核心监督机制——通过测评发现差距推动整改形成“建设-测评-整改”闭环。服务供应商选择7.1.9.10找外包公司做安全服务必须选合规的服务商并且协议中要明确整个供应链各方的安全义务——不仅仅是直接签合同的那家公司还包括它的下游分包商。a) 应确保服务供应商的选择符合国家的有关规定b)应与选定的服务供应商签订相关协议明确整个服务供应链各方需履行的网络安全相关义务。1. 服务商选择符合国家规定2. 签订的协议中明确服务供应链各方的网络安全义务。第二级系统可能涉及多层外包如A公司总包、B公司分包。如果只约束直接签约的AB出了问题仍然可能波及系统。要求协议覆盖供应链各方防止“责任断层”。总结如果说第一级是“有流程、有人管、有记录”重在“流程闭环”那么第二级就是在第一级基础上扩展到软件开发领域、强化等级测评管理——从“如何买”延伸到“如何做”从“上线就行”升级到“上线前必须测评、上线后定期测评”。一句话第一级安全建设靠自觉。第二级定级要专家评审、备案要公安机关、建设要方案、软件要检测、上线要测评——外部监督机制全面介入。