本期关键词:
安全运行与维护、网络等级保护、
安全自查和持续改进、服务商管理和监控、等级测评
前面我们将安全设计与实施看了一遍,接下来我们则进入安全运行与维护,如图所示进入第四层左侧部分安全运行与维护。有关右侧部分应急响应与保障另文说明之,应急这块在《网络安全法》中有第二十五条单独进行规范,所以也是非常重要的一个工作。完成上个阶段实施后,就进入运行和维护阶段,这是网络生命周期的工作常态。
该阶段的目标是按照等级保护对象安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
这些内容在《网络安全等级保护基本要求》中,涉及从技术到管理众多测评项。我一再说,落实等级保护工作从规划已经开始,而不是测评才开始。从规划开始就遵循“三同步”原则叫规划时确定安全保护等级,也就确定了安全保护目标,才能形成更加科学的安全实施方案,否则后期要么造成财政浪费要么就是二次建设增加成本;在建设期间需要按照对应安全级别要求开展建设,动态调整,满足对应网络安全等级级别,这个阶段是安全建设;测评完成后,发现的安全问题叫安全整改。
等级测评后发现的有很多问题是在安全规划之初,因对网络安全工作了解不深入不全面,遗留问题。安全建设过程中未考虑周全的地方,在安全整改过程中也是一个补救过程。
安全建设整改是等级保护最终的落脚点,目的是提升网络安全综合防护水平和能力。
做过网络安全等级保护测评的朋友,对安全运行与维护应该比较熟悉。对于扎实开展了规划设计实施的朋友其实对这块应该更熟悉。这涉及到运行管控、变更管控、状态监控、服务商管控、等级测评、检查改进等几部分内容。
接下来我们将展开探讨:
第一阶段:运行管理和控制
该阶段又可以由运行管理职责确定、运行管理过程控制两部分内容构成。
运行管理职责确定是需要输入安全详细设计方案,安全组织机构表,根据划分运行管理角色、授予管理权限、定义人员职责,通过对运行管理活动或任务的角色划分,并授予相应的管理权限,来达到确定安全运行管理的具体人员和职责的目标。应至少划分为系统管理员、安全管理员和安全审计员。最终输出运行管理人员角色和职责表。
划分运行管理角色应注意:根据管理制度和实际运行管理需求,划分运行管理需要的角色及用户,并由系统管理员创建角色及用户。越高安全保护等级的运行管理角色划分越细。
定义人员职责应注意:根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管理角色的职责。由安全审计员对系统管理员、安全管理员操作日志进行审计。
运行管理过程控制是需要输入运行管理需求,运行管理人员角色和职责表。通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。最终输出各类运行管理操作规程。
建立操作规程应注意:将操作过程或流程规范化,并形成指导运行管理人员工作的操作规程,操作规程作为正式文件处理。操作规程应至少覆盖运维人员、使用用户等的各类操作,如:移动介质使用规程、终端使用规程、数据库操作规程等。安全保护等级越高的系统,对更多的操作要形成操作规程文件。
这个阶段的工作是由运营、使用单位完成。
第二阶段:变更管理和控制
该阶段又可以由变更需求和影响分析、变更过程控制两部分内容构成。
变更需求和影响分析是需要输入变更需求,通过对运行与维护过程中的变更需求和变更影响的分析,来确定变更的类别,计划后续的活动内容。最终形成变更方案。
变更需求分析应注意:对运行与维护过程中的变更需求进行分析,确定变更的内容、变更资源需求和变更范围等,判断变更的必要性和可行性。
变更影响分析应注意:对运行与维护过程中的变更可能引起的后果进行判断和分析、确定可能产生的影响大小、确定进行变更的先决条件和后续活动等。
明确变更的类别应注意:确定等级保护对象是局部调整还是重大变更。如果是由等级保护对象类型发生变化、承载的信息资产类型发生变化、等级保护对象服务范围发生变化和业务处理自动化程度发生变化等原因引起等级保护对象安全保护等级发生变化的重大变更,则需要重新确定等级保护对象安全保护等级,返回到等级保护实施过程的等级保护对象定级阶段。如果是局部调整,则确定需要配套进行的其他工作内容。
制定变更方案则需要依据上面变更需求分析、变更影响分析、明确变更的类别进行方案开发。
变更过程控制是需要输入变更方案,通过变更内容审核和审批、建立变更过程日志、形成变更结果报告,确保运行与维护过程中的变更实施过程受到控制,各项变化内容进行记录,保证变更对业务的影响最小。最终输出并更结果报告。
变更内容审核和审批应注意:对变更目的、内容、影响、时间和地点以及人员权限进行审核,以确保变更合理、科学的实施。按照机构建立的审批流程对变更方案进行审批。
建立变更过程日志应注意:按照批准的变更方案实施变更,对变更过程各类系统状态、各种操作活动等建立操作记录或日志。
形成变更结果报告应注意:收集变更过程的各类相关文档,整理、分析和总结各类数据,形成变更结果报告,并归档保存。
这个阶段的工作是由运营、使用单位完成。
第三阶段:安全状态监控
该阶段又可以由监控对象确定、监控对象状态信息收集、监控状态分析和报告三部分内容构成。
监控对象确定需要输入安全详细设计方案,系统验收报告等,通过对安全关键点分析、形成监控对象列表,确定可能会对等级保护对象安全造成影响的因素,即确定安全状态监控的对象。最终输出监控列表。
安全关键点分析应注意:对影响系统、业务安全性的关键要素进行分析,确定安全状态监控的对象,这些对象可能包括防火墙、人侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象;也可能包括安全标准和法律法规等外部对象。
形成监控对象列表应注意:根据确定的监控对象,分析监控的必要性和可行性、监控的开销和成本等因素,形成监控对象列表。
监控对象状态信息收集需要输入监控对象列表,通过选择监控工具、状态信息收集,收集安全状态监控的信息,识别和记录入侵行为,对等级保护对象的安全状态进行监控。最终输出安全状态信息。
选择监控工具应注意:根据监控对象的特点、监控管理的具体要求、监控工具的功能、性能特点等,选择合适的监控工具。
监控工具也可能不是自动化的工具,而只是由各类人员构成的,遵循一定规则进行操作的组织或者是两者的综合。
状态信息收集应注意:收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等;或者是来自外部环境的安全标准和法律法规的变更信息。
监控状态分析和报告需要输人安全状态信息,通过对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。最终输出安全状态分析报告。
状态分析应注意:对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势。
影响分析应注意:根据对安全状况变化的分析,分析这些变化对安全的影响,通过判断他们的影响决定是否有必要作出响应。
这个阶段的工作是由运营、使用单位完成。
该阶段又可以由安全状态自查、改进方案制定、安全改进实施三部分内容构成。
安全状态自查需要输入等级保护对象详细描述文件、变更结果报告、安全状态分析报告,通过对等级保护对象的安全状态进行自查,为等级保护对象的持续改进过程提供依据和建议,确保等级保护对象的安全保护能力满足相应等级安全要求。安全自查报告。最终输出安全自查报告。这点需要给大家强调一下,其实公安机关每年都有安全监督检查,其前期阶段也是需要各单位进行安全自查,在这个过程中可以把工作做在平时,以便更好的应对公安机关要求以及自查后的临检工作。
确定自查对象和自查方法应注意:确定检查的对象和方法,确定本次安全自查的范围及安全自查工具、调研表格等。
制定自查计划和自查方案应注意:确定自查工作的角色和职责,确定自查工作的方法,成立安全自查工作组。制定安全自查工作计划和安全自查方案,说明安全自查的范围、对象、工作方法等,准备安全自查需要的各类表单和工具。
安全自查实施应注意:根据安全自查计划,通过询问、检查和测试等多种手段,进行安全状况自查,记录各种自查活动的结果数据,分析安全措施的有效性、安全事件产生的可能性和定级对象的实际改进需求等。
安全自查结果和报告应注意:总结安全自查的结果,提出改进的建议,并产生安全自查报告。将安全自查过程的各类文档、资料归档保存。
改进方案制定需要输入安全自查报告,依据安全检查的结果,调整等级保护对象的安全状态,保证等级保护对象安全防护的有效性。最终输出安全改进方案。
在这里,再多说一句。很多单位在等级保护测评结束后,公安机关要求限期整改,感觉到疑惑。网络安全工作开展的目标和态度如果正确了,其实这点理论上没有什么可以感觉疑惑的,网络安全最终的目标或目的是达到整体安全。工作目标和目的在,与公安机关要求理论上没关系,而是应该主动完成整改工作。不然,你的安全工作做得是什么呢?难道只是别人给你评一个分数吗?这只是面子问题,没有解决里子存在的问题。
安全改进的立项应注意:根据安全检查结果确定安全改进的策略,如果涉及安全保护等级的变化,则应进入安全保护等级保护实施的一个新的循环过程;如果安全保护等级不变,但是调整内容较多、涉及范围较大,则应对安全改进项目进行立项,重新开始安全实施/实现过程;如果调整内容较小,则可以直接进行安全改进实施。
该阶段又可以由服务商选择、服务商管理、服务商监控三部分内容构成。
服务商选择需要输入安全详细设计方案,实施方案等,通过对安全服务商服务能力分析、网络安全风险分析、服务内容互斥分析,来确定符合国家规定或行业规定的设计、测评、建设资质的服务商,为后续的管理和监控奠定基础。最终输出已选择的服务商,安全服务方案。这方面属于我们常规中说的供应链安全,作为网络运营、使用单位应该慎重选择安全服务机构,以免为单位引入新风险。
服务能力分析应注意:从影响系统、业务安全性等关键要素层面分析服务商服务能力,根据国家招投标相关要求,选择最佳服务商,这些要素可能包括服务商的基本情况、企业资质和人员资质、信誉、技术力量和行业经验、内部控制和管理能力、持续经营状况、服务水平及人员配备情况等。
服务商管理需要输入已选择的服务商,安全服务方案,通过人员管理、服务管理,从而对服务商从多维度进行切实有效管理,使得服务商在约定范围内开展服务工作。
——使用单位需制定服务商人员管理规定,包含但不限于上岗资质审核机制、保密协议、品行管理、服务技能考核、行为管理、系统权限管理、口令管理等。
——使用单位负责对服务商核心人员的确定和变更进行备案。
——服务商人员在为使用单位提供服务的过程中,严格遵守使用单位的各项规定、管理要求,服从使用单位安排。
——如因服务商人员原因,给使用单位或第三方造成人员人身伤害或财产损失的,服务商应承担赔偿责任。
——服务商提供齐全进场相关资料(如企业资质、人员资质、人员名单、物资资料等),并接受使用单位的审核。
——服务商基本信息发生变更,如:法人、单位名称、银行账户等,应提前通知使用单位。
——按照约定要求服务商提供各项服务,保质保量完成服务目标;如因服务商未完成服务目标给使用单位造成损失的,应予赔偿。
——服务商确保所提供服务不存在任何侵犯第三方著作权、商标权、专利权等合法权益的情形;服务商保护好对服务过程中产生的研究成果及知识产权,未经使用单位许可,服务商不得以任何形式向任何第三方转让权利义务。
——服务商提供项目验收和考核的相关材料,配合使用单位组织开展项目结题验收和考核工作。
服务商监控需要输入服务商日常服务记录,安全服务方案,通过对服务商及其人员在服务过程中的行为进行有效监控,若发现不合规行为,限时保质整改,确保服务商服务工作持续、规范、高效。最终输出服务商分析评价报告。
在选择安全服务商过程中,需要注意包含但不限于以下注意事项:
——使用单位负责组织制定服务评审标准及办法,并依据办法对服务质量进行评审;服务商应接受使用单位对其提供服务情况进行的监督和检查,并应及时按照使用单位要求对所提供的服务进行改进或调整,使服务质量符合使用单位要求。
——使用单位对服务商日常工作进行指导,当发现服务商工作中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给使用单位造成损失的,服务商应承担全部赔偿责任。
——使用单位监管项目进展情况期间,对于重大情况服务商应及时主动报告。
——使用单位负责对服务商人员定期进行考核评价,考核方式可采用日常考核、季度考核和年度考核,也可采用适合使用单位的考核方式;如发生严重违反合作原则、伤害使用单位利益、影响服务质量等行为,使用单位有权随时向服务商提出人员撤换要求。
——服务过程中,服务商如因正当理由需要调整、变更人员的,应提前通知使用单位,做好工作交接,并获得使用单位同意后方可进行。
这个阶段工作主要由运营、使用单位,网络安全服务机构等共同完成。
该阶段需要输入等级保护对象详细描述文件、等级保护对象安全保护等级定级报告、系统验收报告等文件,通过网络安全等级测评机构对已经完成等级保护建设的等级保护对象定期进行等级测评,确保等级保护对象的安全保护措施符合相应等级的安全要求。最终输出安全等级测评报告,整改需求。所以测评结束之后测评报告必不可少,另外安全整改需求也是必须,整改工作也是本文第五阶段持续改进所强调的内容。
在此阶段,网络安全等级测评机构依据有关等级保护对象安全保护等级测评的规范或标准对等级保护对象开展等级测评。运营、使用单位参考等级测评出具的安全等级测评报告,分析确定整改需求。
这个阶段是现阶段所有单位最熟知的一个阶段,也就是很多行业有硬性指标,要求所谓“过等保”。
这个阶段工作主要由主管部门,运营、使用单位,网络安全等级测评机构等共同完成。
现在,许多网络运营单位的领导和技术,把等级保护测评及备案作为最终落脚点,特别是一些单位的人认为做了测评就可以免责,所以会纠结测评分数的高低,而不是纠结技术防护水平的高低,这是本末倒置的,也是危险的。危险分多方面,至少从黑客攻击角度来说,安全隐患的存在为网络带来极大的风险,这些风险以客观的风险评估而论,是不可接受的;从监管部门角度来说,则存在造假拒不整改等各类责任,最终可能会受到行政处罚。结合黑客与监管两方面,发生重大网络安全事件,还有可能与从违反《网络安全法》衔接到《刑法》,所以网络运营者一则不要存在侥幸心理,二则不要浅尝辄止一味为了规避责任而规避责任,规避责任的最佳方式是提升网络安全能力,避免网络安全事件的发生。
扎实履行网络安全保护义务,认真落实网络安全保护制度的各个环节的工作,是规避责任最安全的方式。
-
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
-
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
-
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
-
《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019
原文始发于微信公众号(祺印说信安):闲话等级保护:要做好网络安全运行与维护
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论