网络安全等级保护:从第三级防雷击测评项引发的一点点思考

admin 2023年2月19日01:33:29评论26 views字数 2888阅读9分37秒阅读模式
《网络安全等级保护基本要求》(GB/T 22239-2019)关于第三级安全物理环境中防雷击b项,描述如下:


8.1.1.4 防雷击

测评项:b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。

仅通过上面描述,我们只知道需要防雷保安器,但是防雷保安器有不同型号和规格,这个如何选择呢?或者说,用户现场使用的规格型号的产品是否满足测评项要求呢?大抵现在测评师,看到有这个浪涌产品部署就判定符合了。我刚刚接触等级保护时,教我的测评师以及我自己也是这么认为的。后来,与一位老先生(原公安机关负责建设信息通信的老专家)探讨,他给了我一些启示,我循着这个启示不断整理材料。

网络安全等级保护:从第三级防雷击测评项引发的一点点思考

当我阅读到《信息安全技术 信息系统物理安全技术要求》这个标准时,我发现第三级物理安全技术要求是这么描写的:

6.1.8 浪涌(冲击)抗扰

6.1.8.1 系统中所应用的设备和部件对来自电源端口的浪涌(冲击)的电磁干扰应有一定的抗扰度。试验方法应按照GB/T 17626.5—1998中给出的试验方法,试验等级采用3级,试验评判结果至少应满足GB/T 17626.5—1998中的性能判据分类B的要求。

网络安全等级保护:从第三级防雷击测评项引发的一点点思考


循着这个信息,我们可以找到《电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验》GB/T 17626.5-2019,其实验等级如下表,其表格有个说明,供参考。


网络安全等级保护:从第三级防雷击测评项引发的一点点思考

通过《基本要求》、《物理安全技术要求》、《浪涌(冲击)抗扰度试验》三个标准,我们简单看过之后,那么等级保护三级防雷击的测评项b就有地方安放了。

首先,作为安全物理环境的方案,则需要《基本要求》到《物理安全技术要求》再到《浪涌(冲击)抗扰度试验》进行了解,然后选择符合对应要求的产品,这个产品在说明中应该标识有满足对应国家标准要求及相应的产品合格说明,那么在该条款上才能严格意义上符合等级保护测评三级要求,也就是才能从第一步做到真正符合。同样,测评人员至少对这些知识要有一定的理解,才能判断出部署的产品是否满足等级保护三级的要求,才能真正做到客观、公正。
试想,对一个你根本不懂或不知道的东西,你如何知道他应用的是否合理合适呢?大部分测评师就会根据看到的主观臆测了。很多测评机构的测评师感觉安全物理环境测评和安全管理制度测评是最容易的。其实,如果,你只是为了出报告而出报告,那倒确实非常简单。
但是,很多安全企业以及集成商,在很多时候会咨询我们做等级测评的专业人员,我们能够告诉别人就只有《基本要求》的测评项的那几个字,而背后的东西都不是太懂。他们也知道那几个字,大家都是成年人谁还不认识那几个字呢?那么,这个时候我们的专业性就会严重受到质疑,同时被你指导的安全厂商或集成商,也只能稀里糊涂的帮网络运营单位或使用单位建设信息系统了。
这只是一个测评项,另外还有其他测评项呢?我不知道有多少人真正去了解或愿意去了解,不过我个人不成熟的看法是,等级测评是国家政策,自然有国家政策的高度。我们应该严谨、认真对待它,协助网络运营单位或使用单位扎实推进网络安全等级保护制度,认真落实《网络安全法》要求,才能让他们在设计、建设、运行过程中最大程度的合规。
我知道,这样写肯定会得罪很多人。我听到太多拉客观的理由,给自己台阶下自我妥协的人。不过,我个人认为应该也有人会是与我志同道合。而特别一些人,既然想要从等级保护中赚钱,特别是有些号称提供相关咨询服务的企业,应该能够提供让客户做的明白的好方案,有价值的方案。
以上是一些不成熟的看法,望看到此文的有志于网络安全等级保护的方家批评指正!

  1. >>>等级保护<<<
  2. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  3. 回看等级保护:重要政策规范性文件43号文(上)
  4. 网络安全等级保护实施指南培训PPT

  5. 网络安全等级保护安全物理环境测评培训PPT

  6. 网络安全等级保护:等级保护测评过程要求PPT

  7. 网络安全等级保护:安全管理中心测评PPT

  8. 网络安全等级保护:安全管理制度测评PPT

  9. 网络安全等级保护:定级指南与定级工作PPT

  10. 网络安全等级保护:云计算安全扩展测评PPT

  11. 网络安全等级保护:工业控制安全扩展测评PPT

  12. 网络安全等级保护:移动互联安全扩展测评PPT

  13. 网络安全等级保护:第三级网络安全设计技术要求整理汇总
  14. 网络安全等级保护:等级测评中的渗透测试应该如何做
  15. 网络安全等级保护:等级保护测评过程及各方责任
  16. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  17. 网络安全等级保护:什么是等级保护?
  18. 网络安全等级保护:信息技术服务过程一般要求
  19. 网络安全等级保护:浅谈物理位置选择测评项

  20. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  21. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  22. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  23. 闲话等级保护:测评师能力要求思维导图
  24. 闲话等级保护:应急响应计划规范思维导图
  25. 闲话等级保护:浅谈应急响应与保障
  26. 闲话等级保护:如何做好网络总体安全规划
  27. 闲话等级保护:如何做好网络安全设计与实施
  28. 闲话等级保护:要做好网络安全运行与维护
  29. 闲话等级保护:人员离岗管理的参考实践
  30. 信息安全服务与信息系统生命周期的对应关系

  31. >>>工控安全<<<
  32. 工业控制系统安全:信息安全防护指南
  33. 工业控制系统安全:工控系统信息安全分级规范思维导图
  34. 工业控制系统安全:DCS防护要求思维导图
  35. 工业控制系统安全:DCS管理要求思维导图
  36. 工业控制系统安全:DCS评估指南思维导图
  37. 工业控制安全:工业控制系统风险评估实施指南思维导图
  38. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  39. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  40. >>>数据安全<<<
  41. 数据治理和数据安全

  42. 数据安全风险评估清单

  43. 成功执行数据安全风险评估的3个步骤

  44. 美国关键信息基础设施数据泄露的成本

  45. 备份:网络和数据安全的最后一道防线

  46. 数据安全:数据安全能力成熟度模型

  47. 数据安全知识:什么是数据保护以及数据保护为何重要?

  48. 信息安全技术:健康医疗数据安全指南思维导图

  49. 金融数据安全:数据安全分级指南思维导图

  50. 金融数据安全:数据生命周期安全规范思维导图


  51. >>>供应链安全<<<

  52. 美国政府为客户发布软件供应链安全指南

  53. OpenSSF 采用微软内置的供应链安全框架

  54. 供应链安全指南:了解组织为何应关注供应链网络安全

  55. 供应链安全指南:确定组织中的关键参与者和评估风险

  56. 供应链安全指南:了解关心的内容并确定其优先级

  57. 供应链安全指南:为方法创建关键组件

  58. 供应链安全指南:将方法整合到现有供应商合同中

  59. 供应链安全指南:将方法应用于新的供应商关系

  60. 供应链安全指南:建立基础,持续改进。
  61. 思维导图:ICT供应链安全风险管理指南思维导图

  62. 英国的供应链网络安全评估
  63. >>>其他<<<

  64. 网络安全十大安全漏洞

  65. 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

  66. 网络安全等级保护:应急响应计划规范思维导图

  67. 安全从组织内部人员开始

  68. VMware 发布9.8分高危漏洞补丁

  69. 影响2022 年网络安全的五个故事

  70. 2023年的4大网络风险以及如何应对

  71. 网络安全知识:物流业的网络安全

  72. 网络安全知识:什么是AAA(认证、授权和记账)?


原文始发于微信公众号(祺印说信安):网络安全等级保护:从第三级防雷击测评项引发的一点点思考

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月19日01:33:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护:从第三级防雷击测评项引发的一点点思考https://cn-sec.com/archives/1560360.html

发表评论

匿名网友 填写信息