三级等保测评检查下包括 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理 等 10 个层面 392 个测评项目。
按照官方的分类,公司的各岗位角色都需要在各类目下寻找自己关注的测评项目,机构实际测评过程中也会按照岗位角色性质的不同对测评项目进行分类,方便驻场的沟通。这里我也参考历年来测评经验、按照一般互联网公司的岗位角色,对测评项目进行了二次分类整理,并对一些测评项目做了笔记解读。
概要说明
安全物理环境、安全通信网络、安全区域边界 都属于网络安全范畴,使用公有云(阿里云、腾讯云等)时整改工作量会大幅降低,重点关注云控制台、云安全产品的配置和使用,关注群体主要为技术负责人、运维工程师等。
安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理 都属于安全管理范畴,重点关注各项安全制度的制定和执行这里的安全制度不仅仅是在宏观方面,比如也包含:需求变更流程、人员的录用/离岗、存储介质的管理等。关注群体主要为公司领导、产研负责人、行政负责人等。
安全计算环境独占 215 个测评项,是整改中的大头,包含数据资源、数据库、应用系统、服务器/操作系统、运维终端/终端、交换机/路由器、安全设备等,其中数据资源、数据库、应用系统是产品、研发、运维需要关注的内容,服务器/操作系统、运维终端/终端、交换机/路由器、安全设备是运维需要关注的内容。这里会拆分成多项对解读。
分类解读
网络安全
安全管理
角色:公司领导、产研负责人、行政负责人
概述:重点关注各项安全制度的制定和执行,这里的安全制度不仅仅是在宏观方面,比如也包含:需求变更流程、人员的录用/离岗、存储介质的管理等。
解读:等保三级之安全管理
数据库安全
角色:技术负责人、数据库管理员
概述:对数据库的管理、配置、审计等,也包含相应的安全产品,如堡垒机、数据库审计等。
解读:等保三级之数据库安全
应用安全
角色:技术负责人、产品、研发
概述:关注系统的功能、设计、备份、审计等。产研人员最需要直接关注的测评项目。
解读:等保三级之应用安全
物联网终端安全
角色:硬件研发部门
概述:今年新增项目,涉及物联网设备的公司,对运维终端/终端相关内容进行测评的要求。
解读:等保三级之物联网终端安全
计算环境安全
角色:技术负责人、运维工程师
概述:为了各岗位角色能更直观的了解自己需要关注的测评点,我将安全计算环境拆分出了服务器/数据库安全、应用安全、物联网终端安全 三块进行独立解读,然后安全计算环境还包括了服务器、交换机/路由器、安全设备等范畴,这些偏运维的部分我单独列为计算环境安全。
解读:等保三级之计算环境安全