在与很多客户沟通的过程中,很多客户都会问一个问题:如何构建网络安全才安全?这个问题其实很难回答。网络安全是动态的。攻击手段日新月异、层出不穷,防护措施也相应升级。网络安全需要系统建设、持续投入、长期投入。那么问题来了,既然网络安全建设没有终点,那么起点在哪里呢?答案已经呼之欲出。
分级防护从安全技术和安全管理两个方面为网络运营商提供安全建设指导,并为不同规模的客户设定最低的安全基线。安全建设的出发点是遵守安全法规。
本文主要记录等级保护学习过程中的笔记和思考。未来,不同行业级别的保护要求将陆续更新。本文提到的文档可以通过留言获取。
1.等级保护的发展历程
分级保护最早在1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)中提出,其中“第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”、“ 《第三章安全监管》还指出“计算机信息系统安全保护工作”由公安部门进行监督、检查和指导,《第四章法律责任》则指出了公安部门执法的内容。
由于缺乏配套的实施细则,147号令颁布后并没有得到很好的实施。随后几年,陆续出台了一些文件:
1999年,公安部提出清北与中科院联合编制《计算机信息系统安全防护等级划分指南》GB17859-1999(参考美国可信计算机系统评估指南和可信计算机网络系统描述),首次提出保护级别。 5个等级;
2003年,中央办公厅、国务院办公厅印发《国家信息化领导小组关于加强信息安全工作的意见》(中办发[2003]27号),明确指出“实施信息安全等级保护”;
2006年,四部委签署《关于印发《信息安全等级保护管理办法》的通知》(工字[2006]7号);
2007年,四部门联合颁布了《信息安全等级保护管理办法》,规定了等级保护制度的基本内容、流程和工作要求,信息系统等级保护的实施与管理、备案、安全建设整改、等级保护评估和信息安全产品。和评估机构等,为信息安全等级保护发展提供规范保障;
2007年,四部门联合发布了《关于开展国家重要信息系统安全等级保护分级工作的通知》;
2008年,公安部信息安全等级保护评估中心起草发布了《信息安全技术基本要求信息系统安全等级保护(GB/T 22239-2008)》及配套相关标准,为信息安全技术提供了技术保障。支持实施分级保护;
2010年,公安部颁布了《关于推进信息安全等级保护评估体系建设并开展等级评估工作的通知》,提出了等级保护工作的阶段性目标。
至此,信息安全等级保护在我国正式开始实施和推广。
随着信息化水平的不断提升,云计算、物资传输等新技术不断涌现,原有的安全标准已经不适用于很多技术和场景。
2016年10月10日,第五届全国信息安全等级保护技术大会召开。公安部网络安全局总工程师郭启全指出,“国家对网络安全等级保护体系提出新要求,等级保护体系已进入2.0时代”。
同年,《中华人民共和国网络安全法》正式颁布,“第二十一条国家实行网络安全等级保护制度。网络运营者应当按照本法的要求履行下列安全保护义务:网络安全分级保护系统,保护网络免受干扰、破坏或未经授权的访问,防止网络数据泄露、被窃取、篡改。” 《网络安全法》的颁布标志着分级保护进入了新时代,而我们经常听到的口号就是“不做分级保护就是违法”。
2017年1-2月,西南标准化委员会发布了网络安全等级保护技术要求系列标准和评价要求系列标准; 《安全法》生效。
经过内部多次修订和调整,《信息安全技术和网络安全等级保护基本要求》(GB/T22239-2019)于2019年5月13日正式发布,同年12月1日正式实施,配套标准也于同年发布。
2021年6月分级保护评价标准发生变化,主要体现在综合评分计算公式上; 11月,不再发布等级保护评估机构推荐目录,并将等级保护评估机构资质认证纳入国家认证体系。
2.等级保护的5个流程
2007年,四部门联合颁布了《信息安全等级保护管理办法》,规定了5项等级保护标准动作,并沿用至今。 Level Security 2.0在5个标准动作的基础上,增加了风险评估等动作,这次我主要记录一下我理解的5个标准动作的内容。
2.1定级
分级实施时主要参考两个维度:S业务信息安全等级和A系统服务安全等级。根据对不同对象的侵害程度,分为1-5级。 S、A分别分级,采用先高不低的原则(S3A2、S2A3均为三级)。还有一个参数G: 一般安全服务级别。
在实际操作过程中,由于难以界定对国家、社会等客体的侵权程度,一般以行业要求或同行业、同规模客户的评级为依据。
2级是一个独立的分级。初步分级后,三级需组织专家评审,并由主管部门审查。专家评审组由至少三名信息安全专家和业务专家组成,其中一名应为高级防护评估员,信息安全专家一般从当地网络安全专家库中选拔。
分级的一般流程如下:
2.2备案
根据《信息安全等级保护备案实施细则》(工信安[2007]1360号):
(一)地级以上公安机关公共信息网络安全监察部门受理辖区内备案单位的备案。
(二)省级备案单位所属的信息系统及其跨地区(市)网络运行由省级公安机关公共信息网络安全监管部门受理备案。
(三)在京中央直属单位,跨省或者全国统一联网运行并由主管部门统一分级的信息系统,由所在单位公共信息网络安全监察局受理并备案。公安部等信息系统由北京市公安局办理。网络安全监管部门受理备案。
(四)非本市中央直属单位的信息系统由所在地省级公安机关公共信息网络安全监察部门(或者地级公安机关公共信息网络安全监察部门)受理并备案。其指定的安全机关)。
5)跨省或全国范围运行应用的分行系统,由主管部门统一联网分级的信息系统(包括由上级主管部门分级并在本地应用的信息系统),当地市级上述公安机关公共信息网络安全监察部门受理备案。
备案流程应准备以下材料(参考):
1)附件1:XX系统安全等级保护备案表(表1、表2、表3、表4)
2)附件2:XX系统网络安全等级防护等级报告
3)附件3:XX系统拓扑及说明
4)附件4:XX系统安全组织管理制度
5)附件5:XX系统安全防护设施设计实施方案或改造实施方案
6)附件6:XX系统使用的信息安全产品清单及其认证、销售许可证
7)附件7:XX系统安全防护等级专家评审意见
8)附件8:主管部门关于信息系统安全防护等级审批的意见
9)附件9:XX系统安全等级评估报告
10)附件10:XX单位网络安全等级保护工作组名单
整体流程完成后,公安机关会出具备案证明,有的地方要通过安全评估后才会出具备案证明。
2.3建设/整改
级防护建设,可参考安全生产厂家的安全建设建议,或参考评估公司的安全建设预测、评估及整改报告。
二级推荐产品:防火墙、日志审计、堡垒主机、主机防病毒
三级推荐产品:防火墙(支持防病毒)、上网行为管理、日志审计、堡垒主机、数据库审计、主机防病毒、漏洞扫描、态势感知
2.4测评
评估机构可采用国家网络安全等级保护工作协调小组办公室推荐的名单,按照《信息安全等级保护评估机构非现场备案实施规则》的要求,开展工作在推荐区域内开展等级保护评估机构建设。异地开展等级评价项目的,应当到评价地办理备案手续。 (本省院校评价由本省评价机构进行)
根据国家网络安全等级保护工作协调小组最新要求,今后不再公布推荐名单,等级保护评估机构资质认证将纳入国家认证体系。
平等保护考核的评分方式从2021年6月开始改变,各地区执行情况存在差异,但均按照此标准执行。评分公式如下:
与2019版“最短距离法”相比,主要变化如下:2021版公式改为缺陷扣除法;技术和管理不再一定各占50%,分级保护工作管理部门可以给予关注系数(y)来调整技术和管理的比例;评价指标分为一般性、重要性和关键性。未达到关键评价指标的,扣3倍基准分;未达到重要评价指标的,扣2倍基准分。从网络与信息系统运营者的角度来看,评估模板修订的主要重点是关键评估指标、重要评估指标以及如何评估数据资源。三级通用标准共211项指标,其中关键指标137项,占比65%;重要指标71项,占比34%;一般指标3项,占1%。总体而言,如果超过三分之一的关键指标未达到,评估可能会打“0”分。从确定的137个关键指标出发,结合客户在MLG建设中的实际情况,本次修订是为了突出MLG建设过程中的以下几个方面:态势感知、高级威胁检测、数据库安全(数据库审计、数据库加密) )、数据库脱敏、数据库防火墙等)等
2.5监督检查
公安部门牵头开展检查。
3.等保1.0与2.0的主要差异
等保2.0相比等保1.0主要变化有五点:
3.1名称上的变化
名称由“信息系统安全等级保护”变更为“网络安全等级保护”。
3.2法律效力不同
《网络安全法》第二十一条规定“国家实行网络安全等级保护制度,要求网络运营者按照网络安全等级保护制度的要求履行安全保护义务”。实施网络安全等级保护制度已上升为法律义务。
3.3保护对象有扩展
等级保障1.0主要是关于信息系统的。但等保2.0将网络基础设施(无线电网、电信网、专用通信网等)、云计算平台/系统、采用移动互联网技术的系统、物联网、工业控制系统纳入等级保护对象范围。
3.4 控制措施分类不同
分级安全1.0按照技术和管理五个方面的要求进行分级。技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
平等保护2.0有一个很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理要求分为安全管理制度、安全管理机构、安全人员管理、安全施工管理、安全运行维护管理。此外,等保2.0的基本要求、评价要求、安全设计技术要求框架保持一致,即“一个中心、三层防护”。
3.5内容进行了扩充
级担保1.0有分级、备案、建设整改、等级评定、监督检查等五项规定动作。 MEP 2.0除了分级、备案、建设整改、等级评价、监督检查外,还增加了风险评估、安全监测、通报预警、案件调查、数据保护、灾难备份、应急处置等内容。