【中级】网络安全等级保护政策标准和主要工作

2023-04-19
2024-02-10
10 min read
Hits

  本文是去年公安三所给中级测评师培训的第一课《网络安全等级保护政策标准和主要工作》的笔记。

等级保护 1.0 政策标准回顾

国务院 147 号令 —— 赋予了公安部管理监督等级保护工作的指责

  《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)【1994】第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

中办发[2003]27号文 —— 强调要落实等级保护制度

  《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)进一步明确要求“抓紧建立信息安全等级保护制度”

公通字[2004]66号文 —— 第一个以等级保护为主题的红头文件

  《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。

公通字[2007]43号文 —— 标志着等级保护 1.0 的正式启动

  《信息安全等级保护管理办法》(公通字[2007]43号)规定了信息安全等级保护的五个动作

  1. 定级
  2. 备案
  3. 系统建设、整改
  4. 开展等级测评
  5. 信息安全监管部门定期开展监督检查

等级保护制度

  根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。

  1. 分级保护(涉密系统):信息的重要程度决定级别,分三级。保密局负责
  2. 等级保护(非涉密系统):业务系统的重要程度;遭到破坏后的危害程度决定级别,分五级。公安部负责

等级保护 1.0 主要标准

  1. 信息安全等级保护管理办法(43号文)(上位文件)
  2. 计算机信息系统安全保护等级划分标准 GB17859-1999(上位标准)
  3. 信息系统安全等级保护实施指南 GB/T25058-2008
  4. 信息系统安全等级保护定级指南 GB/T22240-2008
  5. 信息系统安全等级保护基本要求 GB/T22239-2008
  6. 信息系统等级保护安全设计要求 GB/T25070-2010
  7. 信息系统安全等级保护测评要求 GB/T28448-2012
  8. 信息系统安全等级保护测评过程指南 GB/T28449-2012

等级保护 2.0 政策标准变化

第五十三号主席令

  **《中华人民共和国网络安全法》**已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于 2016 年 11 月 7 日通过,现予公布,自 2017 年 6 月 1 日起施行

网安法第 21 条

  国家实行网络安全等级保护制度。应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

网安法第 31 条

  国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护

2.0 时期的国家法律法规

  1. 《中华人民共和国网络安全法》(2017 年 6 月 1 日)
  2. 《中华人民共和国密码法》(2020 年 1 月 1 日)
  3. 《中华人民共和国数据安全法》(2021 年 9 月 1 日)
  4. 《中华人民共和国个人信息保护法》(2021 年 11 月 1 日)
  5. 《关键信息基础设施安全保护条例》(2021 年 9 月 1 日)

安全等级保护 2.0 时代标准调整

  1. 网络安全等级保护条例(总要求/上位文件)
  2. 计算机信息系统安全保护等级划分标准 GB17859-1999(上位标准)
  3. 网络安全等级保护实施指南 GB/T25058-2020
  4. 网络安全等级保护定级指南 GB/T22240-2020
  5. 网络安全等级保护基本要求 GB/T22239-2019
  6. 网络安全等级保护技术设计要求 GB/T25070-2019
  7. 网络安全等级保护测评要求 GB/T28448-2019
  8. 网络安全等级保护测评过程指南 GB/T28449-2018

特点 1 对象范围扩大

  新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求 + 新型应用安全扩展要求”的要求内容

特点 2 分类结构统一

  新标准**“基本要求、设计要求和测评要求”分类框架统一**,形成了**“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”**支持下的三重防护体系架构

特点 3 强化可信计算

  新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求

变化 1 名称

  由《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》再改为《网络安全等级保护基本要求》(与《网络安全法》保持一致)

变化 2 对象

  由原来的“信息系统”改为“等级保护对象”(网络和信息系统)

  安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。

变化 3 安全要求

  由原来的“安全要求”改为“安全通用要求和安全扩展要求”

  安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网、和工业控制系统提出了特殊要求,成为安全扩展要求

变化 4 章节结构 - 第三级安全要求

  1. 安全通用要求
  2. 云计算安全扩展要求
  3. 移动互联安全扩展要求
  4. 物联网安全扩展要求
  5. 工业控制系统安全扩展要求

变化 5 分类结构(2019 发布稿)

  1. 技术部分:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
  2. 管理部分:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

变化 6 增加了云计算安全扩展要求

  云计算安全扩展要求章节对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面

变化 7 增加了移动互联安全扩展要求

  移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面

变化 8 增加了物联网安全扩展要求

  物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面

变化 9 增加了工业控制系统安全扩展要求

  工业控制安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面

变化 10 增加了应用场景的说明

  增加附录 C 描述等级保护安全框架和关键技术,增加附录 D 描述云计算应用场景,附录 E 描述移动互联应用场景,附录 F 描述物联网应用场景,附录 G 描述工业控制系统应用场景,附录 H 描述大数据应用场景(安全扩展要求)

关键信息基础设施

  关键基础设施,指的是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域运行的信息系统或工业控制系统。这些系统一旦发生网络安全事故,可能影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产等造成严重损失,严重危害国计民生、公共利益和国家安全

保护对象级别重要性程度监督管理强度等级
第一级一般系统自主保护级
第二级一般系统指导保护级
第三级重要系统/关键信息基础设施监督保护级
第四级关键信息基础设施强制保护级
第五级关键信息基础设施专控保护级

关键信息基础设施保护标准体系

  1. 关键信息基础设施保护条例(征求意见稿)(总要求/上位文件)
  2. 关键信息基础设施安全保护要求(征求意见稿)
  3. 关键信息基础设施安全控制要求(征求意见稿)
  4. 关键信息基础设施安全控制评估方法(征求意见稿)

关键信息基础设施的保护要求

  关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。(网络安全法)

  关键信息基础设施,在实现网络安全等级保护相关要求的基础上,增加实现更强的要求。

等级保护工作过程及标准应用

级别定义

  五个等级的定义

  1. 第一级,受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
  2. 第二级,受到破坏后,会对公民、法人和其他阻止的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
  3. 第三级,受到破坏后,(会对公民、法人和其他组织的合法权益产生特别严重损害),对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
  4. 第四级,受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
  5. 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

定级原理

  判断定级对象受到侵害后对侵害客体的侵害程度。

受侵害的客体一般损害严重损害特别严重损害
公民、法人和其他组织的合法权益第一级第二级第二级
社会秩序、公共利益第二级第三级第四级
国家安全第三级第四级第五级

定级过程中的“S”和“A”

  系统安全包括业务信息安全和系统服务安全,“Security”是业务信息安全,“Available”是系统服务安全。

定级流程

  1. 确定定级对象
  2. 初步确定等级
  3. 专家评审
  4. 主管部门审核
  5. 公安机关备案审查

《信息系统安全等级保护备案表》

  1. 单位基本情况
  2. 信息系统情况
  3. 信息系统定级情况
  4. 第三级以上信息系统提交材料情况

定级备案基本流程

  1. 用户初步定级
  2. 编写定级报告
  3. 专家定级评审
  4. 填写备案表
  5. 提交备案材料
  6. 收到备案证明

安全建设整改的目的

  使确定了等级的等级保护对象能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。

能力目标

  1. 第一级安全保护能力应具有能够对抗来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短、系统局部范围等)、以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。
  2. 第二级安全保护能力应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难【灾难发生的强度一般、持续时间短、覆盖范围小(局部性)等】、以及其他相当危害程度(无意失误、设备故障等)的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
  3. 第三级安全保护能力应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难【灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等】以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。
  4. 第四级安全保护能力应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难【灾难发生强度大、持续时间长、覆盖范围广(多地区性)等】以及其他相当危害程度(内部人员的恶意威胁、设备的严重故障等)威胁的能力,并在威胁发生后,能够迅速恢复所有功能。

建设整改过程

  1. 差距分析
    1. 系统构成情况分析
    2. 安全保护现状分析
    3. 安全需求论证确认
  2. 总体规划
    1. 公用共享部分分析
    2. 等保体系架构设计
    3. 纵深防御架构设计
    4. 管理体系架构设计
    5. 分步实施内容规划
  3. 详细设计
    1. 物理机房安全设计
    2. 通信网络安全设计
    3. 区域边界安全设计
    4. 主机系统安全设计
    5. 应用系统安全设计
    6. 备份和恢复安全设计
    7. 其他安全技术设计
  4. 工程实施
    1. 招投标
    2. 安全集成
    3. 工程验收
    4. 试运行
    5. 等级测评

测评流程

  1. 测评准备活动
    1. 项目启动
    2. 信息收集与分析
    3. 工具和表单准备
  2. 方案编制活动
    1. 测评对象确定
    2. 测评指标确定
    3. 测评内容确定
    4. 工具测试方法确定
    5. 测评指导书开发
    6. 测评方案编制
  3. 现场测评活动
    1. 测评实施准备
    2. 现场测评和结果记录
    3. 结果确认和资料归还
  4. 报告编制活动
    1. 单项测评结果判定
    2. 单元测评结果判定
    3. 整体测评
    4. 系统安全保障评估
    5. 安全问题风险分析
    6. 等级测评结论形成
    7. 测评报告编制

计分方法

  1.0 版叫“符合率得分”,假设测 100 个指标,有 90 个符合,10 个不符合,则符合率为 90%,得分为 90 分。

  2.0 版叫“缺陷扣分法”,假设为 100 分,测 100 个指标,发现有指标不符合就扣分。“指标”分关键指标、重要指标和一般指标,关键指标扣三倍分,重要指标扣双倍分,一般指标扣一倍分。

Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.