之前我们谈及过等保中的定级、评审与备案三个工作项。今天讨论的则是建设整改工作部分,但是从《信息安全技术 网络安全等级保护实施指南》,这块工作则进入总体安全规划阶段,和《信息安全等级保护管理办法》五个规定动作不再是一一对应关系了。如图所示进入第二层总体安全规划。细分又包括需求分析、总体设计、建设规划,“三同步”原则为“同步规划、同步建设、同步使用”,也就是在规划之际就要考虑落实等级保护工作,而不是待测评时才考虑要“过”等保。另外,等级保护测评原则上不错在过不过,只是对相应的系统给出科学公正的评价。过不过等保与前期规划有着莫大的关系,再者等级保护测评工作的最终落脚点也是安全整改,也就是在安全整改中寻求落实等级保护工作未做到“三同步”而遗留的重大安全问题。
总体安全规划是落实等级保护工作的前期工作,也是非常重要的环节。在这个环节,网络运营、使用单位若自身实力不够,一定要找足够专业的安全服务机构或专家参与其中,提供专业的服务和指导。
总体安全规划阶段的目标是根据等级保护对象的划分情况、等级保护对象的定级情况、等级保护对象承载业务情况,通过分析明确等级保护对象安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的等级保护对象安全建设工程实施。
依据上图,我们将总体安全规划工作分成三个阶段。
第一阶段:安全需求分析
这个阶段分基本安全需求和特殊安全需求。
基本安全需求需要输入的包括等级保护对象详细描述文件、安全保护等级定级报告、等级保护对象相关的其他文档、GB/T 22239《信息安全技术 网络安全等级保护基本要求》、行业基本要求等。这个阶段对于基本安全需求涉及的子活动有确定等级保护对象范围和分析对象、形成基本安全需求。根据等级保护对象的安全保护等级,提出等级保护对象的基本安全保护需求,通过安全需求分析输出内容为基本安全需求。特殊安全需求需要输入的等级保护对象详细描述文件、安全保护等级定级报告、等级保护对象相关的其他文档等。这个阶段对于特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法,或者采用重要资产分析、重要资产安全弱点评估、 重要资产面临威胁评估、 综合风险分析。通过分析重要资产的特殊保护要求,采用需求分析或风险分析的方法,确定可能的安全风险,判断实施特殊安全措施的必要性,提出等级保护对象的特殊安全保护需求,最终输出重要资产的特殊保护要求。该阶段输入内容有等级保护对象详细描述文件、安全保护等级定级报告、基本安全需求、重要资产的特殊保护要求等。这个阶段完成安全需求分析报告。根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告完成安全需求分析报告包含但不限于 等级保护对象描述、基本安全需求描述、 特殊安全需求描述。
这个阶段的工作是运营、使用单位,网络安全服务机构共同完成。
通过总结基本安全需求和特殊安全需求,形成安全需求分析报告,最终输出安全需求分析报告。
该阶段又可以分为总体安全策略设计、安全技术体系结构设计、整体安全管理体系结构设计,最终则完成设计结果文档化。
总体安全策略设计需要输入的等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告。通过确定安全方针、制定安全策略形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象,应在立项时明确其安全保护等级,并按照相应的保护等级要求进行总体安全策略设计。最终需要输出总体安全策略文件。
安全技术体系结构设计需要输入总体安全策略文件、等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告、GB/T 22239、行业基本要求。通过设计安全技术体系架构、规定不同级别定级对象物理环境的安全保护技术措施、规定通信网络的安全保护技术措施、规定不同级别定级对象的边界保护技术措施、规定定级对象之间互联的安全技术措施、规定不同级别定级对象内部的安全保护技术措施;根据机构总体安全策略文件、等级保护基本要求、行业基本要求和安全需求,提出云计算、移动互联等新技术的安全保护策略和安全技术措施。云计算平台应至少满足其承载的最高级别定级对象的等级保护基本要求;形成等级保护对象安全技术体系结构将骨干网或城域网、通过骨干网或城域网的定级对象互联、局域网内部的定级对象互联、定级对象的边界、定级对象内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成等级保护对象的安全技术体系结构。最终需要输出等级保护对象安全技术体系结构。整体安全管理体系结构设计需要输入总体安全策略文件、等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告、GB/T 22239、行业基本要求。通过设计等级保护对象的安全管理体系框架、规定网络安全的组织管理体系和对不同级别定级对象的安全管理职责、规定不同级别定级对象的人员安全管理策略、规定不同级别定级对象机房及办公区等物理环境的安全管理策略、规定不同级别定级对象介质、设备等的安全管理策略、规定不同级别定级对象运行安全管理策略、根据机构总体安全策略文件、等级保护基本要求系列标准、行业基本要求和安全需求,提出各个不同级别定级对象的安全事件处置和应急管理策略等;规定不同级别定级对象安全事件处置和应急管理策略等。最终需要输出等级保护对象安全管理体系结构。根据安全需求分析报告、等级保护对象安全技术体系结构、等级保护对象安全管理体系结构等,对安全需求分析报告、等级保护对象安全技术体系结构和安全管理体系结构等文档进行整理,形成等级保护对象总体安全方案。等级保护对象安全总体方案应包含但不限于等级保护对象概述、总体安全策略、 等级保护对象安全技术体系结构、 等级保护对象安全管理体系结构。
第三阶段:安全建设项目规划
该阶段又可以分为安全建设目标确定、安全建设内容规划,最终则形成安全建设项目规划。
安全建设目标确定需要输入等级保护对象安全总体方案、机构或单位信息化建设的中长期发展规划。通过信息化建设中长期发展规划和安全需求调查、提出等级保护对象安全建设分阶段目标,确定各个时期的安全建设目标。最终输出等级保护对象分阶段安全建设目标。
安全建设内容规划需要输入等级保护对象安全总体方案、等级保护对象分阶段安全建设目标。通过确定主要安全建设内容,其中内容可分解为但不限于以下内容:1) 安全基础设施建设;
2) 网络安全建设;
3) 系统平台和应用平台安全建设;
4) 数据系统安全建设;
5) 安全标准体系建设;
6) 人才培养体系建设;
确定主要安全建设项目实现设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。最终输出安全建设项目列表(含安全建设内容)。
形成安全建设项目规划需要输入等级保护对象安全总体方案、等级保护对象分阶段安全建设目标、安全建设内容等,对等级保护对象分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成等级保护对象安全建设项目规划。在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目规划。输出等级保护对象安全建设项目规划。
安全建设项目规划可包含但不限于以下内容:
a) 规划建设的依据和原则;
b) 规划建设的目标和范围;
c) 等级保护对象安全现状;
d) 信息化的中长期发展规划;
e) 等级保护对象安全建设的总体框架;
f) 安全技术体系建设规划;
g) 安全管理与安全保障体系建设规划;
h) 安全建设投资估算(含测试及运维估算等内容);
这个阶段的工作主要是运营、使用单位,网络安全服务机构共同完成。
前面,我们提到有关“三同步”,在设计策划阶段很多时候可能会有更多的商务介入,其实在这个过程中网络运营、使用单位最需要的具备整体系统性把控安全能力的技术人员。技术方面也不是什么都能应承都敢应承的,一个全面的技术人员需要了解法律法规政策以及当下成熟技术,才能够给出合理化的建议。等级保护工作,遵循“三同步”原则,在设计之初需要满足《网络安全等级保护基本要求》,通过《网络安全等级保护实施指南》《网络安全等级保护安全设计技术要求》《信息系统安全工程管理要求》等标准来实现。因为《设计要求》又不包括网络的物理安全、安全管理、安全运维等方面的安全要求,所以还需要与《网络安全等级保护基本要求》等标准配合使用。所以各个标准之间的关系是互相支援,相辅相成的关系,不可钻进一个标准里出不来,更不可脱离标准主观臆断。在接下来的时间里,我们将逐步展开这方面的内容,我想无论是对于集成方还是网络运营、使用方都有参考意义和价值。
参考文件:
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019