在跟很多客户交流的过程中,不少客户都会提出一个问题:网络安全怎样建设才是安全的?这个问题其实很难回答,网络安全是动态的,攻击的手段日新月异、层出不穷,防护的措施也随之升级,网络安全需要系统性的建设,需要持续投入、长期投入。那么问题来了,既然网络安全的建设没有尽头,那起点是什么呢?答案呼之欲出。
等级保护从安全技术、安全管理两大方面为网络运营者提供了安全建设指导,为不同规模的客户设置了最低的安全基线。安全建设的起点就是等保合规。
本文主要记录等级保护学习过程中的笔记及思考。后续将会陆续更新不同行业等级保护要求,文中提到的文件可以留言获取。
1.等级保护的发展历程
等级保护最早是在国务院1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)中提出的,其中“ 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”,“第三章 安全监督”也指出了“计算机信息系统安全保护工作”由公安部门进行监督、检查、指导,“第四章 法律责任”指出了公安机关的执法内容。
由于没有配套的实施细则,147号令颁布以后并没有很好的贯彻执行。在随后的几年陆续出台了一部分文件:
1999年,公安部提出,清北、中科院联合编制《计算机信息系统安全保护等级划分准则》GB17859-1999(参考美国的可信计算机系统评估准则、可信计算机网络系统说明),首次提出等级保护分为5个等级;
2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”;
2006年,四部委会签关于印发《信息安全等级保护管理办法的通知》(公通字【2006】7号);
2007年,四部门联合出台《信息安全等级保护管理办法》,规定了等级保护制度基本内容、流程及工作要求,信息系统等级、备案、安全建设整改、等级测评等实施与管理,以及信息安全产品和测评机构等选择等,为开展信息安全等级保护工作提供了规范保障;
2007年,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》;
2008年,公安部信息安全等级保护评估中心起草并发布了《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》及配套的相关标准,等级保护的施行有了技术支撑;
2010年,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
至此,信息安全等级保护在国内正式开始施行、推广。
随着信息化水平的不断提升,云大物移等新技术如雨后春笋不断地涌现,原有的等保标准在很多技术、场景开始不适用。
2016年10月10日,第五届全国信息安全等级保护技术大会召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
同年,《中华人民共和国网络安全法》正式颁布,“ 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。网络安全法的颁布标志着等级保护进入新的时代,也有了我们常听到的口号“不做等保,就是违法。”
2017年,1-2月信安标委会发布网络安全等级保护技术要求系列标准及测评要求系列标准;5月公安部发布《网络安全等级保护定级指南》;6月1日《中华人民共和国网络安全法》正式施行。
经过多次内部修改调整以后,2019年5月13日《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)正式发布,同年12月1日正式实施,配套标准也在同年发布。
2021年,6月等级保护测评标准发生变化,主要体现在综合得分计算公式;11月等级保护测评机构推荐目录不再发布,等级保护测评机构的资质认证纳入国家认证体系。
2.等级保护的5个流程
2007年四部门联合出台的《信息安全等级保护管理办法》规定了等级保护的5个标准动作并一直沿用至今,等保2.0在5个标准动作的基础上又增加了风险评估等动作,本次主要记录我了解的五个标准动作的内容。
2.1定级
在定级的实施过程中,主要参考两个维度:S业务信息安全等级、A系统服务安全等级。根据对不同客体的侵害程度,划分为1-5级。S、A分别进行定级,采用高不就低的原则(S3A2、S2A3都是等保三级)。还有一个参数G:通用安全服务等级。
在实际的操作过程中,由于对国家、社会等客体的侵害程度定义较为困难,因此一般遵守行业要求或者同行业、同规模客户的定级情况进行定级。
等保二级为自主定级,等保三级在进行初步定级以后还需要组织专家评审、主管部门审核,其中专家评审组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,信息安全专家一般从本地网安专家库中选择。
定级一般流程如下:
2.2备案
根据《信息安全等级保护备案实施细则(公信安[2007]1360号)》:
1)地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。
2)隶属于省级的备案单位,其跨地(市) 联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。
3)隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。
4)隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。
5)跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。
备案过程应该准备如下材料(参考):
1)附件1:XX系统安全等级保护备案表(表一、二、三、四)
2)附件2:XX系统网络安全等级保护定级报告
3)附件3:XX系统拓扑结构及说明
4)附件4:XX系统安全组织机构及管理制度
5)附件5:XX系统安全保护设施设计实施方案或改建实施方案
6)附件6:XX系统使用的信息安全产品清单及其认证、销售许可证明
7)附件7:XX系统安全保护等级专家评审意见
8)附件8:主管部门审核批准信息系统安全保护等级的意见
9)附件9:XX系统安全等级测评报告
10)附件10:XX单位网络安全等级保护工作小组名单表
整体流程完成后,公安机关会颁发备案证,部分地方会在通过等保测评后才会颁发备案证。
2.3建设/整改
等级保护建设可以参考安全厂商建议进行安全建设,或者参考测评公司预测评整改报告进行安全建设。
等保二级推荐产品:防火墙、日志审计、堡垒机、主机杀毒
等保三级推荐产品:防火墙(支持防病毒)、上网行为管理、日志审计、堡垒机、数据库审计、主机杀毒、漏洞扫描、态势感知
2.4测评
测评机构可以根据国家网络安全等级保护工作协调小组办公室推荐名单,根据《信息安全等级保护测评机构异地备案实施细则》要求,等级保护测评机构的工作应在推荐区域内开展,如果在推荐地以外地区开展等级测评项目的,应到测评地办理备案手续。(本省的机构的测评由本省测评机构开展)
根据国家网络安全等级保护工作协调小组的最新要求,以后将不再公布推荐名单,等级保护测评机构的资质认证纳入国家认证体系。
等保测评的评分办法与2021年6月份开始发生变化,各地的执行情况存在差异,但是陆续会按照此标准执行,得分计算公式如下:
相比于2019版“最短距离法”,主要发生以下变化
- 2021版公式改为缺陷扣分法;
- 技术和管理不再一定是各占50%,等级保护工作管理部门能够通过给出关注系数(y)调整技术、管理占比;
- 测评指标细分为一般、重要和关键,关键测评指标不符合将扣除3倍基准分,重要测评指标不符合扣除2倍基准分。
从网络和信息系统运营者的角度来看此次等保测评模板的修订,主要的关注点在于关键测评指标、重要测评指标以及如何对数据资源进行测评。三级通用标准共有211个指标,其中关键指标137个,占比65%;重要指标71个,占比34%;一般指标3个,占比1%。整体上来看,如果超过三分之一的关键指标不符合,测评就可能得“0”分。从137个确定的关键指标结合客户开展等保建设工作中的实际情况,此次修订是突出强调在等保建设过程中加强以下方面:态势感知、高级威胁检测、数据库安全(数据库审计、数据库加密、数据库脱敏、数据库防火墙等)等。
2.5监督检查
由公安部门牵头开展检查。
3.等保1.0与2.0的主要差异
等保2.0相比等保1.0主要有五大方面的变化:
3.1名称上的变化
名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。
3.2法律效力不同
《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。
3.3保护对象有扩展
等保1.0主要是信息系统。而等保2.0将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。
3.4 控制措施分类不同
等保1.0按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外,等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性,即“一个中心,三重防护”。
3.5内容进行了扩充
等保1.0有五个规定性动作,包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。
评论(0)