相对于三级等保而言,二级等保要求没那么高,企业也更容易通过。但即便如此,企业还是要打起十二万分精神,把等保这件事情落到实处,尤其是对于之前没做过等保的企业而言。九蚂蚁为国内各公司提供二级等保解决方案,一下是九蚂蚁曾经做过的一个保险系统等级保护合规实践,需要申办等级保护的公司可作为参考:
一、保险系统简介&公司等保需求
保险系统实现了包括保险产品咨询,产品应用解决方案定制,以及在线购置等各项业务的网上办理,主要功能包括:网上咨询、 申请办理、 后台管理。同时,作为用户智能手表系统的补充和辅助系统,还可以根据可穿戴设备对用户的心率,睡眠质量等返回的数据,在APP端向用户提供健康建议,提升保险产品和客户的互动。简而言之,本次等级保护的对象有两个:核心的保险系统和涉及穿戴设备的数据处理系统。
基于实际情况,客户对九蚂蚁有三个要求:1.系统需要拿到二级等保备案证明;2.客户之前没有做过等保,所以要求九蚂蚁提供一站式的等保合规建设指导服务;3.客户系统部署在阿里公有云中,九蚂蚁需要指导客户采购安全产品并指导部署安全产品,提供技术支持服务。
二、九蚂蚁保险系统等级保护二级合规实践
根据客户的需求,九蚂蚁提出了以下解决方案:
1.安排专业等保团队,为客户提供全程等保咨询服务,及时解答客户提出的关于等级保护的任何疑问;
2.帮助客户填写和准备备案材料,移交公安机关,并申请等级测评;
3.根据客户信息系统存在的问题,提出整改建议并实施;
4.技术团队提供技术支持,并指导客户采购和部署安全产品。
最终,在九蚂蚁的帮助下,该信息系统以87分的高分通过等级测评,客户顺利备案,合规通过等级保护认证。
三、九蚂蚁整改建议
客户通过等级保护认证的关键在于通过等级测评,而通过等级测评的关键在于做好信息系统的整改工作,以降低信息系统安全风险。基于此,针对客户信息系统存在的风险问题,九蚂蚁提出了专业的整改建议并实施:
安全通信网络:未采用可信技术进行可信验证。
整改建议:建议采用可信技术进行可信验证。
安全区域边界:1)采用阿里云OSS存储,但审计记录未保存6个月;2)未采用可信技术进行可信验证。
整改建议:1)建议定期备份审计记录保存至少6个月;2)建议采用可信技术进行可信验证。
安全计算环境(网络):1)阿里云控制台:开启阿里云OSS存储,但审计记录未保存6个月;2)阿里云控制台:未限定网络地址范围或接入方式对通过网络进行管理的管理终端进行限制;3)阿里云控制台:采用高级版的阿里云安全中心,未定期漏扫和形成报告,未在充分测试评估后形成测试修复报告;4)阿里云控制台、堡垒机:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;5)堡垒机:被测设备未部署异地备份策略。
整改建议:1)阿里云控制台:建议定期备份审计记录保存至少6个月;2)阿里云控制台:建议限定网络地址范围或接入方式对通过网络进行管理的管理终端进行限制;3)阿里云控制台:建议定期漏扫并形成相关记录以及及时评估修复;4)阿里云控制台、堡垒机:建议采用可信技术进行可信验证;5)堡垒机:建议部署异地备份策略。
安全计算环境(OS):1)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:未实现基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:未实现异地备份。
整改建议:1)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:建议基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)生产对外入口服务器、生产环境服务器1、生产5-channel专用、生产7-deccommon专用、沃乐动1:建议部署异地备份策略。
安全计算环境(DB):1)云数据库RDS(Mysql)【生产数据库1】:被测数据库所开启的数据库洞察审计记录保存不足180天;2)云数据库RDS(Mysql)【生产数据库1】:数据库未开启ssl传输;3)云数据库RDS(Mysql)【生产数据库1】:未开启数据库跨地域备份功能。
整改建议:1)云数据库RDS(Mysql)【生产数据库1】:建议审计记录保存180天以上;2)云数据库RDS(Mysql)【生产数据库1】:建议数据库开启ssl传输;3)云数据库RDS(Mysql)【生产数据库1】:建议开启数据库跨地域备份功能。
安全计算环境(应用):1)沃云保系统:被测系统未实现基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)沃云保系统:被测系统未实现异地备份。
整改建议:1)沃云保系统:建议实现基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2)沃云保系统:建议部署异地备份策略。
安全管理中心:1)暂未设立审计管理员以及通过审计管理员对审计记录进行分析和处理;2)暂未设立审计管理员对审计记录进行分析和处理。
整改建议:1)建议设立审计管理员并限定审计管理员的操作方式,审计审计管理员的操作;2)建议通过审计管理员进行审计操作,对审计记录进行分析和存储等。
安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。
整改建议:组织管理层、决策者和制度修订负责人对安全管理制度定期(例行检查,如每年一次)或不定期(当发生重大变更或紧急事故时进行)进行检查和审定,对发现有误、过时、失效等不符合情况进行修订并重新发布新版本。所制定的安全管理制度应该符合相关法律法规或者行业标准的要求、符合公司信息安全发展战略目标要求、符合公司成本效益要求、符合当前技术发展形势要求。
安全管理人员:未对各类人员进行安全意识教育和岗位技能培训,未告知相关的安全责任和惩戒措施。
整改建议:制定网络安全教育培训方面的管理制度,明确描述信息安全教育培训职责、对象、培训内容、培训方式、培训过程管理等,并按照规定执行,保存培训记录,制定安全责任和惩戒措施方面的安全管理制度,并告知相关人员,日常工作中应按照规定严格执行。
安全建设管理:1)未在软件开发过程中对安全性进行测试,未在软件安装前对可能存在的恶意代码进行检测;2)未进行上线前的安全性测试。
整改建议:1)软件开发过程中应对安全性进行测试,并在安装之前做代码检测;2)对信息系统进行独立的安全性测试,并出具相应测试报告。
安全运维管理:1)未制定办公环境管理制度对不随意放置含有敏感信息的纸档文件和移动介质等作出规定;2)未制定资产清单;3)未定期执行备份数据的恢复测试。
整改建议:1)制定办公环境管理制度,并规范办公环境人员行为,包括不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等;2)编制资产清单,覆盖资产责任部门、重要程度和所处位置等内容;3)定期执行备份数据的恢复测试,所有文件和记录应妥善保存。
