关于等保测评的经验总结

关于等保测评的经验总结

• 前言
• 一、数据传输安全
• 二、计算安全
• 三、存储安全
• 四、访问安全
• 总结

前言

提示：本文总结了所做过的等保测评事项实施经验，希望通过分享给需要的同行做参考

在安全性要求比较高的系统中，通常都需要做等保测评，通过引入测评第三方的方式，来评估系统的安全性。整体上，系统安全性主要包括数据传输安全、计算安全、存储安全、访问安全这几部分。

一、数据传输安全

传输安全是指，系统与外部交互时，中间传输链路需要做到安全(不能通过中间截获到明文数据)。这需要引入传输数据加密逻辑。通常是通信双方用对称加密算法对数据加密，同时用防篡改算法来校验数据的正确性和来源合法性。

• 用于数据传输的对称加密：https协议(基于TLS协议交换SSL证书)、预埋混淆加密key
• 防篡改算法：CRC校验、累加和校验、异或校验

二、计算安全

通常将服务部署在安全的服务器(比如鲲鹏)，提供基于硬件隔离的可信执行环境。同时，在代码层面需要做静态代码漏洞扫码，对于一些敏感信息(密码、账号等)不能直接定义为字面量

三、存储安全

数据存储安全是尤为重要的，一次小的数据泄露都有可能产生大的社会影响和业务损失，需要从根本上保障数据存储的安全。具体可采取的方式有：

• 磁盘明文存储的文件(比如日志文件)中，不能出现敏感信息。
• 重要数据资产应存储到专业数据库中，并对关键的字段进行加密存储。
• 基于摘要算法建立数据存储完整性校验机制，需感知到数据被其他方式非法篡改。 另外在数据存储上，容灾也需考虑。具体容灾方案不属于安全性相关的范畴(属于可靠性相关的)，不进行赘述了。

四、访问安全

访问安全主要是一种辅助机制，通过RBAC/ABAC等权限控制模型，可以做到对菜单/按钮、接口、数据的权限控制，确保在数据的增删改查全生命周期中都是正确的访问。另外结合审计日志，可以将用户操作和数据变化进行关联，从而能够追溯异常的数据变化和用户行为。

总结

系统安全性建设过程中，等保测评往往都是需要做的。通过以上整理的安全措施，应该就可以提高系统安全性，从而较为容易通过等保测评。