要求很多,企业该如何有效适配实现网络安全合规和做好风险控制?
2023年5月24日的新闻:李强签署国务院令 公布修订后的《商用密码管理条例》,相信只要是职业和网络安全相关的人都已经了解到了。
笔者:国际认证信息系统审计师、软考系统分析师
很显然,随着《商用密码管理条例》修订通过,网络安全相关的合规要求又迎来了新的篇章。尤其是条例中明确了商用密码的合规与网络安全法、等级保护是相容一体的要求:
第四十一条 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
《商用密码管理条例》(1999年10月7日中华人民共和国国务院令第273号发布 2023年4月27日中华人民共和国国务院令第760号修订)
在现实中,很多企业由于不具备网络安全管理能力,对于眼前的等级保护合规已经觉得非常吃力,想做但觉得难以招架。
而另外一些企业,更多地会认为这只是个技术问题,看菜下饭就行了,能出多少钱就买多少设备,拦不拦得住就听天由命了。
其实问题的关键在于,企业的负责人并没有真正明白网络安全合规所付出的成本对企业的意义,更无论真正将其上升为会影响企业生存的风险而想办法进行控制。
因此概括一下自己的看法。
网络安全合规是法律义务。
网络安全已经纳入到总体国家安全观的其中一部分,随着《网络安全法》、《数据安全法》等法律法规的出台,网络安全合规已经是法律义务,而不是可选项。《网络安全法》中最基本的法律义务:日志留存6个月,在我这里几乎是每篇文章都会提到。
但合规需要成本,所以关键是合规的意义,也就是合规所付出的成本,能带来什么。
除了国家安全、法律义务外,对企业本身最直接的获益,是控制风险,避免或减少损失。
进一步的是,如果企业出现了网络安全事件且被认定没有履行法律义务,是要接受行政处罚影响企业信用的。这种无形损失比有形损失可能还更大。
典型例子:
注意!这些不履行个人信息保护、网络安全保护义务的违法行为会被处罚!
可见,企业主动控制网络安全风险是必须的。
控制风险要先进行风险评估。
风险评估方法不少,可以参考的是我之前翻译的
以及信息安全技术国家标准:
GB/T 20984-2022《信息安全技术 信息安全风险评估方法》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=FDA38AB7D08A715C6B6D69DFDEABB2C0
国家标准全文公开系统
GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=3C00616F48E427C6291FB15B54B5192F
国家标准全文公开系统
两者的内容总体是一致的,差别在于国家标准的行文体裁和CIS RAM不同,后者属于实践过程,行文用词会更平易,有具体实施过程说明。对于没有标准阅读背景的人群会更容易理解,企业也容易自主进行。
对于上规模的企业,应该寻求更加专业的风险评估服务,全面梳理评估自身风险因素。自主评估的最大缺点不是在评估能力,而是在是否足够客观。
风险控制容不得侥幸心理。
风险无处不在,而且不是低头装着看不见就不存在。对于抗风险能力薄弱的中小企业,可能只要出现一次风险控制失败(通常就是完全没控制),企业就无法延续。
即使是大企业,也不一定能承受一次失控的网络安全风险,因为如果出现的是数据泄漏事件,很可能导致巨额赔偿的民事诉讼。
通过实施风险控制,也就是审计、安全行业所熟知的风险控制手段:降低、缓解、转移、规避、接受包括忽略(这得经过了准确评估)之后,才能实现以较少的成本避免更大的损失。
CIS Critical Controls,缩写CIS CC,或称CIS关键控制(措施集,有18大项),是体系性、管理优先的风险控制措施。大多数人认为风险控制就是靠堆安全软硬件,但这是错的。不能把技防措施和管理措施混淆在一起。
网络安全3分靠技术,7分靠管理。而这7分管理的100%实质是对人的约束。正所谓人是生产力中最活跃的因素,同样也是风险控制中最大的风险来源。某行业大咖也说了,网络安全的本质是人与人的对抗。这句话值得品味。
CIS CC 是独立在各种信息安全认证体系之外但又能和相关认证要求条款相关联的的网络安全风险管理控制措施。其独立性使得CIS CC更具包容性和更具可操作性。最新版本的CIS CC共18个大项,可以在此详细了解:
但是有效的安全控制需要不仅需要有风险评估,还要通过安全基线(安全基准)提供实施支撑。
安全措施其实已经很丰富。
但是说到成本依然是头痛。每个企业都会寻求最低成本且能达到一定程度合规的风控措施,成年人的既要又要始终是常态。
而安全基线就是这样一种设计。在经过相对有效的风险评估后,设定安全基线,按基线实施安全控制,务求以最小的成本应对可能的风险。
在实际中,安全基线往往连带出安全基准、安全策略。安全基准、安全策略一般是指安全加固的具体技术措施要求,只要不怕麻烦,严格按这些要求进行各种安全加固,总比中门大开然后再来亡羊补牢的损失要少很多。
CIS Benchmarks,又称CIS基准要求,是目前最完整的安全基准设置和审计指引。
就算小企业确实没能力实施什么体系性的网络安全管理措施和建立技防能力,但只要按CIS基准要求的指引,对手头的信息设备做一次全面的加固设置,就已经能把大量的脚本小子、菜鸟黑客挡在门外。
CIS基准是来自社区安全专家的共同产物,这些安全专家也包括了国内各个大厂比如阿里云、腾讯云等等的专业人员。通过社区成员协力持续更新:
网络安全加固基准:CIS Benchmarks 2023年5月的更新
CIS基准目前只有英文文本,看懂不算难,但还是有些障碍。我打算抽取觉得比较关键的片段做翻译介绍。比如其中如何在Windows操作系统上通过组策略设置实现基准加固的过程。
顺带提一下,对于Linux,有一套可以在系统安装阶段就发挥作用的安全加固,也就是OpenSCAP:
其实国内也有完整的安全基线要求,这就回到了我们一开始的话题:等级保护和等保测评。
等级保护是体系性的要求,等保的分级机制也就是设定了不同级别的安全基线。
大多数企业要实施的是二级等保,等保测评机构已经把合规要求细化为了大量具体的测评项目,企业只需要按要求逐项整改实现即可通过测评,不仅实现网络安全合规,还能切实有效地实施了基本的网络安全技防防护措施。
如果能坚持执行等级保护所要求的各种日常网络安全管理要求,企业的网络安全防护能力是可以扎实地上一个台阶的。
需要指出的是,等级保护测评的具体项目是随着时间不断发展,不断扩充和细化的。
等级保护的标准比如GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》,实质是框架性的要求,具体的测评项目是对这个框架条款的落地实施要求。具体可以参考:
信息技术是持续不断发展变化的,网络安全攻防手段也同时在不断演化,所以即使通过了二级等保测评,还必须安排定期复测,不然跟不上网络安全形势。
等保测评项目看上去纷繁复杂,但高度精简归纳起来,就是如下6个方面的要素是否齐备:1、管理制度;2、技术规程;3、角色责任;4、日常管理;5、应急处置;6、技防能力。
这些要素对企业实际没有多大执行难度。问题只在于常态化的管理要求要执行,这需要有合规安排的角色和人员。人员是刚性成本,而且按当前等保标准要求,外包还不能完全解决问题。
事实上等保要求日趋复杂和深度专业化,没有足够背景的人根本无法胜任安全三员(安全主管、安全管理员、安全审计员),尤其是《数据安全法》实施后,对三员的能力要求是再上了一个台阶,能真实胜任三员的人暂时还是凤毛麟角。
我认为,二级等保应该再细分出一个预备级,该级允许将三员外包,同时配套网络安全外包服务资质资格等相关管理和技术标准要求制约规范外包服务商,从而减轻小型企业配置安全三员的成本压力,进一步扶持网络安全外包服务商的发展,也扩大了网络安全等级保护的有效覆盖范围。只要权责设计得到,可以认为属于三赢。
作为公众号文章并不打算深入探讨什么。写得太长读者寥寥(手动掩面)。只想重复一个观点:
网络安全风险属于典型的“小概率必发生”,企业如果无视网络安全风险,放任不管,迟早是要在这件事上栽跟头。
就如同电影《无间道》的台词:“出来混,迟早要还的”。
本页网址二维码: