基本概念:网络安全等级保护是指网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
发展历程:1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。随后一系列等级保护新标准的顺利发布《网络安全等级保护基本要求》、《网络安全等级保护测评要求》等,今天网络安全等级保护已进入2.0时代。
网络安全等级保护测评的发展历程
一、等级保护测评基本流程
网络安全等级保护测评的发展历程
01定级阶段——确定定级对象,初步定级,通过专家评审和主管部门审核。定级对象,主要包括基础信息网络、信息系统(例如网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。)
02备案阶段——提交定级结果向公安部门备案审查,最终确定安全保护等级(一级到五级,五级为最高级别)。
03安全建设与整改——用户根据等级保护标准对信息系统进行安全建设改造。
04等级测评阶段——等级保护测评机构测评人员入场开展测评工作并出具测评报告。
05监督检查——用户接受公安部门的定期监督与检查。
二、等级保护测评实施要求
网络安全等级保护测评包括管理测评和技术测评共十个安全层面。
等保2.0在等保1.0的基础上,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。对于使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。
等保2.0采用“一个中心三重防御”的理念(一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”),全方位主动防御、动态防御。在安全控制点测评要求上,等级二级控制点135个,等级三级控制点211个。以三级系统为例:
★安全物理环境:通过人员访谈、文档审查和实地察看的方式测评测评对象的物理安全保障情况。主要涉及机房物理环境。在内容上,测评实施过程涉及10个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。共22个安全控制点。
★安全通信网络(三重防御):通过访人员访谈、配置检查和工具测试的方式测评测评对象的网络安全保障情况。主要涉及网络互联设备、网络安全设备和网络拓扑结构。在内容上,测评实施过程涉及3个测评单元,包括:网络架构、通信传输 、可信验证。共8个安全控制点。
★安全区域边界(三重防御):通过访人员访谈、配置检查和工具测试的方式测评测评对象的网络安全保障情况。主要涉及网络互联设备、网络安全设备和网络拓扑结构。在内容上,测评实施过程涉及6个测评单元,包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。共20个安全控制点。
★安全管理中心(一个中心):通过访人员访谈、配置检查和工具测试的方式测评测评对象的网络安全保障情况。主要涉及网络互联设备、网络安全设备和网络拓扑结构。在内容上,测评实施过程涉及4个测评单元,包括:系统管理、审计管理、安全管理、集中管控。共12个安全控制点。
★ 安全计算环境(三重防御):通过人员访谈、配置检查和工具测试的方式测评测评对象的主机安全保障情况、应用安全保障情况、数据安全保障情况。主要涉及各类服务器的操作系统、数据库管理系统、 各类应用系统、信息系统的管理数据及业务数据等。在内容上,测评实施过程涉及11个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。共34个安全控制点。
★ 安全管理制度:通过人员访谈、文档审查和实地察看的方式测评测评对象的安全管理制度情况。在内容上,测评实施过程涉及4个测评单元,包括:安全策略、管理制度、制定和发布、评审和修订。共7个安全控制点。
★ 安全管理机构:通过人员访谈、文档审查的方式测评测评对象的安全管理机构情况。在内容上测评实施过程涉及5个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。共14个安全控制点。
★ 安全管理人员:通过人员访谈、文档审查的方式测评测评对象的安全管理人员情况。在内容上,测评实施过程涉及5个测评单元,包括:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。共12个安全控制点。
★ 安全建设管理:通过人员访谈、文档审查的方式测评测评对象的安全建设管理情况。在内容上,测评实施过程涉及11个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、系统测评。共34个安全控制点。
★ 安全运维管理:通过人员访谈、文档审查的方式测评测评对象的安全运维管理情况。在内容上,测评实施过程涉及14个测评单元,包括:环境管理、资产管理、介质管理、设备管理、漏洞和风险管理、网络和系统 安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。共48个安全控制点。
三、等级保护测评结果分析与报告编制
根据《网络安全等级保护测评要求》、《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》,客观、准确地分析测评证据,记录和汇总测评结果,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果。同时采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。
在等保2.0中,对测评结果得分进行划分等级,优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),需要达到70分以上才算基本符合要求 。第三级以上的系统需每年开展一次测评。
来源:freebuf.com 2020-02-17 10:24:18 by: 绿帽子技术分享
请登录后发表评论
注册