如前所述,在66号文中,等级保护工作的其中一个原则是“依照标准,开展保护”。国家运用强制性法律及规范标准,要求网络运营者按照网络安全建设和管理要求,科学准确定级,实施保护策略和措施。
首先,结合陆游的一句诗来澄清一个问题“汝果欲学诗,工夫在诗外”,想要做好等级保护工作,自然你不能仅仅盯着“等级保护”字眼的国家标准或行业标准,至少作为网络责任单位这个网络运营者,是不能仅仅盯着只有“等级保护”关键字的国家标准。
等级保护是一个体系化工作,难免出现以偏概全的问题。我们结合《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)来做一点简单说明。
首先,我们看到等级保护的标准体系涉及基础类标准如GB 17859、GB/T 22239两个标准,应用类则涵盖了定级、实施、建设、测评等内容,产品类又包括但不限于操作系、数据库、网络、网关、服务器、入侵检测、PKI、交换机、路由器等,其他类则给出了风险评估、事件管理,这个分类正好对应网络安全等级保护概念的定义,三个维度覆盖到位。所以,一个全面的网络安全等级保护工作,自然不仅仅是有“等级保护”关键的国家标准实现,而是要结合网络(大网络概念,含信息系统)实际,对标准进行剪裁,不可以教条主义、本本主义。
其次,根据GB/T 22239的两大类十个小类的定义,以“安全物理环境”为例,作为网络运营者则需要考虑机房建设的国家标准的选取,这个标准则超出GB/T 22239的范围,我们建设机房时,还需要考虑防火、防盗、接地、防雷、防静电、电磁兼容与防干扰等这些安全,对应的技术和产品需要遵循对应领域的国家标准,所以在选型采购时,需要满足对应国家标准的合格品。这点遵循国家标准实际工作,自然是有对应产品的生产者负责,但是需要明白购买产品质量是有对应国标,并要求是合格品。
![网络安全等级保护:开展网络安全等级保护工作的标准依据 网络安全等级保护:开展网络安全等级保护工作的标准依据]()
作为机房基础设施集成建设的第三方,一样不能为了所谓降低成本,以次充好以不合格产品充当合格产品等,这些最终的参考依据以对应国家标准作为准绳。从这点看,我们应该理解等级保护工作不仅仅是信息化对应标准进行约束。当然,这些不是我们讨论的重点,这里讨论一下是为了让大家不要过于狭隘的理解等级保护工作。
![网络安全等级保护:开展网络安全等级保护工作的标准依据 网络安全等级保护:开展网络安全等级保护工作的标准依据]()
我们回归网络安全等级保护标准体系,刚才提及的四大类,这个是国家标准的一个大框架。行业可以根据国家标准,细化完善行业自身网络安全等级保护相关标准,以国家标准为基础,具有行业自身特点的网络安全保护标准体系。
![网络安全等级保护:开展网络安全等级保护工作的标准依据 网络安全等级保护:开展网络安全等级保护工作的标准依据]()
网络安全等级保护工作的大头在以运营、使用单位为责任主体的网络运营者,然而运营、使用单位想要做好网络安全等保护工作,离不开安全产品,安全产品满足等级保护要求是前提。但是,在以安全厂家为口径的宣传大环境下,关注网络安全等级保护中的网络产品明显弱于关注网络(信息系统),以这两年公安部网安局部署的“两高一弱”专项活动,我们看到“弱口令”这块内容,从技术视角出发是系统研发过程中,身份鉴别功能不完善造成的,然而大量的“弱口令”长期存在,甚至于现在新开发、新生产的产品可以随意设置“弱口令”,等级保护实施已经二十来年了,这些应该技术层面解决的“弱口令”设备、系统依然大量,是一个很不可思议的事情。
接下来,我们看一下网络安全等级保护的几个核心标准:以《计算机信息系统 安全等级保护划分准则》GB/17859-1999、《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020、《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019、《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019、《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019、《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018、《信息安全技术 网络安全等级保护测试评估技术指南》GB/T 36627-2018、 《信息安全技术 网络安全等级保护安全管理中心技术要求》GB/T 36958-2018、《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》GB/T 36959-2018等关键标准。
《计算机信息系统 安全等级保护划分准则》GB/17859-1999
是等级保护核心标准中,唯一一个强制性国家标准。它界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级, 第四级结构化保护级,第五级访问验证保护级。
从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
安全通用要求提出的安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”;管理要求部分为“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”,两者合计共分为10大类。安全通用要求的基本分类结构如图所示。
![网络安全等级保护:开展网络安全等级保护工作的标准依据 网络安全等级保护:开展网络安全等级保护工作的标准依据]()
安全技术要求的分类体现了“从外部到内部”的纵深防御思想,对等级保护对象的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。
安全管理要求的分类体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
网络安全等级保护五个规定动作,其中定级是等级保护工作的首要环节,是开展网络安全建设整改、等级测评、监督检查等后续工作的重要基础。《网络安全等级保护定级指南》(简称《定级指南》)依据《网络安全法》《信息安全等级保护管理办法》,从网络对国家安全、经济建设、社会生活的重要作用,信息系统承载业务的重要性以及业务对信息系统的依赖程度等方面,提出确定网络安全保护等级的方法。《定级指南》包括了定级原理、定级方法以及等级变更等内容。
《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019
《设计技术要求》规定了等级保护定级对象的安全设计技术要求,是实现《基本要求》相关技术体系要求的方法论之一,适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019
网络安全等级保护工作是遵循网络(信息系统)生命周期管理的,安全是服务网络全生命周期的,从规划设计到终止运行要经历几个阶段,《网络安全等级保护实施指南》(简称《实施指南》)用于指导网络运营使用单位,在网络从规划设计到终止运行的过程中如何按照网络安全等级保护政策、标准要求实施等级保护工作。实施的基本流程分为5个阶段:等级保护对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护、定级对象终止。
到今天,三次分享将等级保护依据的法律、法规、国家标准做了概要分析,往下其实还涉及部门规范性文件、行业标准等等,这都是大部头内容。
在“等级测评=等级保护”的大环境下,想让人们真正的去理解,并基于标准开展落实等级保护工作,实属不易。各方都想偷个懒,但是实际工作却可能因为未真实开展工作,做伪合规而背负责任。今年来,公安网安、网信部门的行政执法,也都说明了这一点,不过很多人还都是以侥幸心态和法不责众的心态去落“实”务虚的网络安全工作。网络安全很卷,但是如何提供有真实价值的服务,而不仅仅是浪费电的产品,和浪费纸张的报告,任重而道远!
参考:
关于加强信息安全保障工作的意见 (中办发〔2003〕27号)
关于信息安全等级保护工作的实施意见 (公通字〔2004〕66号)
信息安全等级保护管理办法(公通字〔2007〕43号)
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安〔2009〕1429号)
— 欢迎关注
原文始发于微信公众号(祺印说信安):网络安全等级保护:开展网络安全等级保护工作的标准依据
评论