信息來(lái)源：企業(yè)網(wǎng)

網(wǎng)絡(luò)安全一直是沒有硝煙的戰(zhàn)場(chǎng)，這場(chǎng)突如其來(lái)的新冠肺炎疫情期間有更多來(lái)自外部的攻擊和威脅，多部委發(fā)布關(guān)于涉新冠肺炎疫情的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示。開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作不能松懈，等級(jí)保護(hù)測(cè)評(píng)工作應(yīng)采取合適手段繼續(xù)開展。

一直以來(lái)等級(jí)保護(hù)測(cè)評(píng)由于涉及的均為生產(chǎn)環(huán)境，采取了更多的現(xiàn)場(chǎng)測(cè)評(píng)方式，那么新冠肺炎疫情期間，在不見面、遠(yuǎn)程辦公條件下，等保工作就進(jìn)行不了么?要如何開展呢?中國(guó)軟件評(píng)測(cè)中心網(wǎng)安中心給出了以下建議。

一、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作主要內(nèi)容

首先簡(jiǎn)要介紹下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的5個(gè)方面的內(nèi)容：

• 定級(jí)確認(rèn)定級(jí)對(duì)象,參考GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等初步確認(rèn)等級(jí),組織專家評(píng)審,主管單位審核,公安機(jī)關(guān)備案審查。
• 備案持定級(jí)報(bào)告和備案表等材料到公安機(jī)關(guān)網(wǎng)安部門進(jìn)行備案。
• 安全建設(shè)以GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中對(duì)應(yīng)等級(jí)的要求為標(biāo)準(zhǔn),對(duì)定級(jí)對(duì)象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改。
• 等級(jí)測(cè)評(píng)委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象進(jìn)行等級(jí)測(cè)評(píng),形成正式的測(cè)評(píng)報(bào)告。
• 監(jiān)督檢查向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門提交測(cè)評(píng)報(bào)告,配合完成對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施情況的檢查。

了解了等保工作的主要內(nèi)容，不難發(fā)現(xiàn)等級(jí)測(cè)評(píng)只是其中的一部分，等保工作還有許多可以遠(yuǎn)程開展。

二、可遠(yuǎn)程開展的等保工作

1. 開展定級(jí)備案部分工作

網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象定級(jí)工作一般流程為:

定級(jí)和備案是一項(xiàng)專業(yè)的工作：

• 在確定定級(jí)對(duì)象時(shí)，可能涉及到基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等多種對(duì)象類型。
• 初步確認(rèn)等級(jí)時(shí)，需結(jié)合定級(jí)對(duì)象的具體情況，分析業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體—>綜合評(píng)定對(duì)客體的侵害程度—>確定業(yè)務(wù)信息安全等級(jí);分析系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體—>綜合評(píng)定對(duì)客體的侵害程度—>確定系統(tǒng)服務(wù)安全等級(jí)=》定級(jí)對(duì)象的初步安全保護(hù)等級(jí)。
• 專家評(píng)審時(shí)，應(yīng)組織信息安全專家和業(yè)務(wù)專家，對(duì)初步定級(jí)結(jié)果的合理性進(jìn)行評(píng)審，出具專家意見。
• 在公安機(jī)關(guān)備案審查時(shí)，需要定級(jí)對(duì)象的運(yùn)營(yíng)、使用單位根據(jù)相關(guān)管理規(guī)定，提交備案材料，包括但不限于備案表、定級(jí)報(bào)告、專家評(píng)審意見等。各地方公安機(jī)關(guān)對(duì)備案材料的要求有所不同，需要提前準(zhǔn)備。

以上工作內(nèi)容都需要專業(yè)人士和時(shí)間完成，可以在遠(yuǎn)程辦公的條件下開展工作。

定級(jí)對(duì)象的運(yùn)營(yíng)、使用單位普遍實(shí)現(xiàn)了管理文檔電子化、管理流程化，等級(jí)測(cè)評(píng)機(jī)構(gòu)可以通過訪談、檢查等檢查方法，對(duì)網(wǎng)絡(luò)安全管理部分進(jìn)行差距評(píng)估。

定級(jí)對(duì)象的運(yùn)營(yíng)、使用單位可以根據(jù)差距評(píng)估的結(jié)果，目前缺少的安全管理制度進(jìn)行補(bǔ)充，完成安全管理制度匯編。這個(gè)過程也可以尋求專業(yè)機(jī)構(gòu)的咨詢服務(wù)。

2. 部分網(wǎng)絡(luò)安全技術(shù)測(cè)評(píng)

對(duì)于互聯(lián)網(wǎng)可訪問的信息系統(tǒng)，運(yùn)營(yíng)、使用單位多通過互聯(lián)網(wǎng)+加密通道的方式進(jìn)行運(yùn)維管理和使用。這類系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，與測(cè)評(píng)機(jī)構(gòu)充分溝通后，制定合理的、風(fēng)險(xiǎn)可控的測(cè)評(píng)方案和計(jì)劃，部分測(cè)評(píng)對(duì)象的安全技術(shù)測(cè)評(píng)可以遠(yuǎn)程進(jìn)行，如滲透測(cè)試、漏洞掃描。需要過程中留好測(cè)試記錄，比如視頻錄屏、截屏、檢測(cè)配置截圖等。

3. 源代碼安全審計(jì)

等保工作中對(duì)源代碼安全審計(jì)也有相應(yīng)要求，遠(yuǎn)程辦公環(huán)境下，工程師可以采用靜態(tài)分析工具對(duì)源代碼進(jìn)行安全審計(jì)，確認(rèn)安全審計(jì)問題報(bào)告，及整改情況回歸。

4.網(wǎng)絡(luò)安全意識(shí)教育和培訓(xùn)

等保工作中對(duì)安全培訓(xùn)有相應(yīng)要求如：應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和培訓(xùn),并告知相關(guān)的安全責(zé)任和懲戒措施;應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)。遠(yuǎn)程辦公環(huán)境下，完全可以開展相關(guān)培訓(xùn)。

三、可以遠(yuǎn)程洽談簽訂合同

目前大部分項(xiàng)目都可以遠(yuǎn)程進(jìn)行洽談和合同簽訂。銷售顧問、技術(shù)經(jīng)理都在線辦公，工作時(shí)間能夠滿足遠(yuǎn)程洽談的需要。