等保测评如何准备材料

wen 网络安全 1

本文目录导读:

等保测评如何准备材料

  1. 核心准备工作流程
  2. 具体准备材料清单
  3. 最容易踩坑的几点提醒
  4. 推荐的时间安排
  5. 一句话总结

等保测评(信息安全等级保护测评)的准备过程,本质上是将你单位的安全管理制度技术措施日常运维记录进行系统化梳理和归档的过程,准备材料通常分为管理类技术类两大部分。

以下是详细的材料准备清单和步骤指南,适用于等保2.0标准下的三级系统(二级系统可参考,要求略低)。

核心准备工作流程

  1. 定级备案(这是前提):
    • 你需要在测评前完成系统的定级备案,拿到《信息系统安全等级保护备案证明》
    • 材料: 定级报告、备案表、专家评审意见(视当地要求)。
  2. 资产梳理

    明确被测评系统的网络拓扑、IP地址、服务器、中间件、数据库、应用软件清单。

  3. 差距分析

    对照等保2.0标准(GB/T 22239-2019),先自检或请测评机构做预评估,找出缺项。

具体准备材料清单

第一部分:安全管理制度(文档类)

这部分是评审专家最看重的“本子”,建议建立四级文档体系

  1. 一级:总体安全策略
    • 信息安全总体方针、总纲。
    • 信息安全组织机构(如:网络安全领导小组任命书)。
  2. 二级:管理制度
    • 人员安全: 录用、离职、安全培训、保密协议制度。
    • 物理安全: 机房出入管理、环境安全制度。
    • 网络安全: 网络设备巡检、配置变更、网络边界管理。
    • 主机安全: 操作系统、数据库安全配置规范、补丁管理。
    • 应用安全: 软件开发安全(SDL)、代码审查、上线测试流程。
    • 数据安全: 数据分类分级、数据备份恢复、数据脱敏、数据销毁。
    • 运维管理: 账号权限管理、日志审计、应急预案、外包运维管理。
  3. 三级:操作规程
    • 各类设备(防火墙、交换机、服务器)的配置操作手册。
    • WAF、IPS等安全设备的日常维护指南。
  4. 四级:记录表单
    • 这是最容易被忽视但最重要的部分,需要提供近3-6个月的运行记录:
      • 设备巡检记录表(每日/周/月)。
      • 系统维护记录表(配置变更记录)。
      • 账号权限审批记录(新增/删除用户申请单)。
      • 备份恢复记录(备份日志、恢复演练记录)。
      • 安全培训记录(签到表、照片、试卷)。
      • 应急预案演练记录(演练计划、脚本、总结报告)。
      • 来访登记表(机房进出记录)。

第二部分:技术安全措施(环境类)

测评机构会进行现场评测,需要提前配置好以下环境,并提供截图或配置文件:

  1. 物理环境(机房)
    • 机房门禁、视频监控记录(需保存90天以上)。
    • 温湿度、UPS、消防检测报告。
    • 机柜、设备标签清晰,无尘。
  2. 网络架构
    • 提供最新的网络拓扑图(与实际设备一致)。
    • 防火墙:访问控制策略列表(白名单策略,最小权限)。
    • IDS/IPS:已启用,且有攻击日志。
    • 区域隔离:应用区、数据库区、外网区是否划分VLAN或防火墙隔离。
  3. 主机安全(服务器、虚拟机)
    • 操作系统(Windows/Linux):禁用Guest、远端桌面、默认共享。
    • 身份鉴别: 必须启用口令复杂度(8位以上,字母+数字+特殊字符)、登录失败锁定(如5次锁定10分钟)。
    • 漏洞与补丁: 提供漏洞扫描报告,重要系统补丁已更新。
    • 杀毒软件: 已安装并更新病毒库(服务器端)。
  4. 应用安全
    • Web应用防火墙(WAF): 已启用SQL注入、XSS防护。
    • 登录机制: 应用登录需有验证码或双因素认证。
    • 口令策略: 应用系统初始密码必须强制修改,无弱口令。
    • 审计日志: 应用系统需记录用户操作日志(登录、增删改查)。
  5. 数据安全
    • 备份策略: 核心数据每天全量备份,异地保存(或云备份)。
    • 数据恢复: 准备好一次数据恢复演练的记录(测评可能会要求现场演示恢复)。
    • 加密传输/存储: 敏感数据(如密码、身份证)需加密存储,传输使用HTTPS。

第三部分:人员与机构材料

  • 网络安全责任制文件(明确谁是一把手、谁是直接责任人)。
  • 信息安全员任命书及岗位职责。
  • 第三方服务商(如云服务商、维保商)的安全资质、保密协议。

最容易踩坑的几点提醒

  1. “制度文件”与“实际执行”必须一致

    制度里写“每天检查日志”,但拿不出当天的日志记录,会被扣分。

  2. 默认口令必须改

    服务器root密码、MySQL数据库密码、交换机/防火墙默认管理账号(admin/admin123),只要被发现一个,就是高风险项。

  3. 服务器不能有“闲杂服务”

    打开不必要的端口(如21端口FTP、23端口Telnet、445端口SMB)。

  4. 审计日志要开
    • 操作系统(Linux的auditd,Windows的安全日志)、数据库的审计功能必须开启,并且日志保存时间应≥6个月
  5. 云平台情况
    • 如果系统部署在阿里云、腾讯云等,需索要云平台等保合规证明,公有云上通常遵循“责任共担”模型,你需确保自己购买的云服务(如云堡垒机、云WAF、云审计)已开启。

推荐的时间安排

  • 第1-2周: 定级备案完成,启动差距分析。
  • 第3-4周: 整改技术漏洞(改弱口令、开日志、打补丁)。
  • 第5-6周: 整理管理文档(制度、记录表单),补签运维表格。
  • 第7周: 自查并模拟测评。
  • 第8周: 正式迎接测评机构现场测评。

一句话总结

等保测评准备,核心不是“做得好”,而是“有证据证明你做得好”。

如果没有实际的日志、没有落地的制度、没有定期的培训记录,系统自动化扫描无论多安全,测评可能也过不了。

如果需要更具体的某一部分(如《网络安全管理制度》模板或《主机安全配置checklist》),可以进一步告诉我。

抱歉,评论功能暂时关闭!