1.等级保护的技术要求和管理要求(目标描述)
《等级保护2.0》提出的等级保护安全要求由安全层面、技术要求和管理要求三个要素构成。安全层面对应等级保护安全要求的实施层次,技术要求和管理要求对应等级保护技术类要求和管理类要求两个方面。技术类安全要求通常与信息系统提供的各类技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种人员参与的活动有关,主要是通过控制各种人员的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
《等级保护2.0》提出的安全要求与其它技术标准提出的安全要求有所不同,其从物理环境、通信网络、区域边界、计算环境、安全管理中心等几个层面针对不同级别的信息系统提出了不同的要求,无论信息系统的级别如何,该标准认为信息系统的安全技术体系架构应包含物理、网络、系统、应用和数据等几个层面。技术要求与安全层面存在一定的对应关系,某些安全要求只适用于特定的安全层面,例如防雷、防火等针对物理层面的安全,边界防护、区域划分等针对网络层面的安全。而某些安全要求可以在多个层面实现,例如身份鉴别、访问控制等,可以分别针对网络层面、计算环境层面和安全管理层面的安全。
虽然安全管理要求与安全层面也存在一定的对应关系,比如设备管理、介质管理等主要适用于物理层面的安全,网络配置管理、网络漏洞扫描等适用于网络层面的安全,但是为了方便使用和理解,等级保护安全管理要求采用了“三个要素、二个过程”的组织方式提出
三个要素分为安全管理机构、安全管理制度、人员安全管理三个实施安全管理的要件,
二个过程上强调对系统建设过程和系统运维过程的管理和控制。
2.安全要求和保护模型的关系(过程分析)
等级保护安全要求的组织形式借鉴了OSI安全体系结构中安全机制、安全服务和安全层次的分类思想和要素关系,即不同安全层次实现相应的安全机制以提供不同的安全服务。等级保护安全要求的安全层次根据信息系统的构成特点扩展为物理层、网络层、系统层、应用层和数据层,鉴于信息系统中不同层面提供的安全服务主要是通过在信息系统中部署具有相关安全功能或安全机制的软硬件产品来实现的特点,等级保护安全要求中没有采用安全服务的概念,而是采用物理环境、通信网络、区域边界、计算环境和管理中心中应该实现的“安全控制”来体现。
“安全控制”的实现可能需要在信息系统中部署具有相关安全功能或安全机制的软硬件产品来实现,或通过人员的一定管理手段来实现(如通过对软硬件产品的参数配置),上述内容称为“安全要求”。等级保护安全要求的核心思想是通过在不同层面实施不同强度的安全控制,来保障信息系统具有相应的安全保护能力,安全控制主要通过在信息系统中部署或采取满足等级保护安全要求的措施来 实现。
目前流行的几种安全保护模型,无论是 IATF 信息保障技术框架还是 WPDRRC 信息安全模型均强调了在技术基础上“人’的作用。如前所述,IATF 强调了需要通过人、技术和操作来共同实现组织职能和业务运作的思想,WPDRRC 强调了人员是核心、策略是桥梁、技术是保证的思想,等级保护安全要求没有用图示模型表述人员、策略、制度、管理或操作所起到的作用和相互关系,但是在安全管理要求中强调了这些内容。
在等级保护安全管理要求中,明确了人员、策略、操作等要素所起到的作用和控制要求,信息系统的安全保护除安全技术体系框架外,还需要控制信息系统中各种人员参与的活动,包括对安全活动进行管理的机构和人员、对安全活动进行控制的策略、制度和规程,对信息系统建设过程和运维过程进行安全管理的安全要求等。
等级保护2.0新版安全要求在技术上进一步细分为物理环境、通信网络、区域边界、计算环境、安全管理中心五个层面,从层次上与IATF 模型的网络基础设施、网络边界、计算环境和支撑基础设施的划分存在一定的重合(与时俱进),
有关网络基础设施和网络边界保护的安全要求:包括通信线路的安全、网络边界的安全、 网络区域的划分、区域边界的安全和网络设备的安全等均在网络安全中提出:
有关计算环境保护的安全要求:包括服务器安全、终端安全、应用系统安全和计算环境中的数据安全在系统安全、应用安全和数据安全中分别提出,
有关支撑基础设施的相关要求:安全管理中心或平台中提出。
网络安全等级保护的主要思想是“突出重点、保护重点”。信息系统的级别不同意味着信息系统的重要程度不同,国家对不同级别的信息系统有不同的安全保护能力要求,如第三级:信息系统应能在统一的安全保护策略下具有抵御大规模、较强恶意:攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报 警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力; 在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
不同级别的信息系统具备不同的安全保护能力,意味着不同级别的信息系统并不需要全部实现 WPDRRC 模型中的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力,只有较高级别的系统应该能够应对更多的威胁,考虑更为周密的应对措施,实现 WPDRRC 模型提出的预警能力、保护能力、监测能力、响应能力、恢复能力和反击能力的大部分内容。
3.安全要求和保护模型结合使用的一种方法(经验输出)
如何看信息系统:
从外到内分析可以认为是由通信网络、 交换网络和各个网络区域构成,每个网络区域内部可能有各类主机、应用和数据;
从下到上分析可以认为信息系统是由物理、网络、主机、应用和数据几个逻辑层面构成。
如何理解将等保与保护模型结合:
对信息系统的安全保护可以首先采用 IATF 的思想,通过合理区分通信网络、交换网络和各个网络区域,形成网络基础设施保护、网络(区域)边界保护、计算环境(区域内部)保护的IATF 总体构思。
然后将等级保护安全要求中网络层面的要求落实到网络基础设施、网络(区域)边界保护处,计算环境中主机、应用和数据层面的安全要求落实到计算环境(区域内部)的保护处。
即先从网络架构上考虑从外到内的保护,再从内部层次上考虑从下到上的保护,形成纵深防御战略。
最后,由于不同级别的信息系统对预警能力、保护能力、监测能力、响应能力、恢复能力和反击能力的要求是不一样的,在形成通信网络保护、网络边界保护和计算环境保护的纵深防御战略过程中,应对比不同级别的信息系统对预警能力、保护能力、监测能力、响应 能力、恢复能力和反击能力的要求,从外到内、从各个层次实现相关能力的安全机制和措施,避免缺失某类安全机制和措施。
4. 结束语
在等级保护安全建设整改工作中,对信息系统安全保护可以充分利用 IATF 信息保障技术框架和 WPDRRC 信息安全模型的思想,考虑人员、技术和管理三个重要要素,分别从网络基础设施、网络边界和计算环境,从物理、网络、主机、应用和数据几个层面,根据信息系统的级别,有区别地实现预警、保护、检测、响应、恢复和反击等有关的安全机制和措施。
以上皆是作为10几年信息安全工作者的理解,定有不足或片面之处,望多多指正。
