前面我們談了定級、評審與備案三個工作項。接下來則是建設整改工作部分,但是從《信息安全技術 網絡安全等級保護實施指南》,這塊工作則進入總體安全規劃階段,和《信息安全等級保護管理辦法》五個規定動作不再是一一對應關系了。如圖所示進入第二層總體安全規劃。
細分又包括需求分析、總體設計、建設規劃,“三同步”原則為“同步規劃、同步建設、同步使用”,也就是在規劃之際就要考慮落實等級保護工作,而不是待測評時才考慮要“過”等保。另外,等級保護測評原則上不錯在過不過,只是對相應的系統給出科學公正的評價。過不過等保與前期規劃有著莫大的關系,再者等級保護測評工作的最終落腳點也是安全整改,也就是在安全整改中尋求落實等級保護工作未做到“三同步”而遺留的重大安全問題。
總體安全規劃是落實等級保護工作的前期工作,也是非常重要的環節。在這個環節,網絡運營、使用單位若自身實力不夠,一定要找足夠專業的安全服務機構或專家參與其中,提供專業的服務和指導。
總體安全規劃階段的目標是根據等級保護對象的劃分情況、等級保護對象的定級情況、等級保護對象承載業務情況,通過分析明確等級保護對象安全需求,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施計劃,以指導后續的等級保護對象安全建設工程實施。
流程大致如下圖所示:
依據上圖,我們將總體安全規劃工作分成三個階段。
第一階段:安全需求分析
這個階段分基本安全需求和特殊安全需求。
基本安全需求需要輸入的包括等級保護對象詳細描述文件、安全保護等級定級報告、等級保護對象相關的其他文檔、GB/T 22239《信息安全技術 網絡安全等級保護基本要求》、行業基本要求等。這個階段對于基本安全需求涉及的子活動有確定等級保護對象范圍和分析對象、形成基本安全需求。根據等級保護對象的安全保護等級,提出等級保護對象的基本安全保護需求,通過安全需求分析輸出內容為基本安全需求。
特殊安全需求需要輸入的等級保護對象詳細描述文件、安全保護等級定級報告、等級保護對象相關的其他文檔等。這個階段對于特殊安全需求可以采用目前成熟或流行的需求分析或風險分析方法,或者采用重要資產分析、重要資產安全弱點評估、 重要資產面臨威脅評估、 綜合風險分析。
通過分析重要資產的特殊保護要求,采用需求分析或風險分析的方法,確定可能的安全風險,判斷實施特殊安全措施的必要性,提出等級保護對象的特殊安全保護需求,最終輸出重要資產的特殊保護要求。
該階段輸入內容有等級保護對象詳細描述文件、安全保護等級定級報告、基本安全需求、重要資產的特殊保護要求等。這個階段完成安全需求分析報告。根據基本安全需求和特殊的安全保護需求等形成安全需求分析報告完成安全需求分析報告包含但不限于 等級保護對象描述、基本安全需求描述、 特殊安全需求描述。
這個階段的工作是運營、使用單位,網絡安全服務機構共同完成。
通過總結基本安全需求和特殊安全需求,形成安全需求分析報告,最終輸出安全需求分析報告。
第二階段:總體安全設計
該階段又可以分為總體安全策略設計、安全技術體系結構設計、整體安全管理體系結構設計,最終則完成設計結果文檔化。
總體安全策略設計需要輸入的等級保護對象詳細描述文件、安全保護等級定級報告、安全需求分析報告。通過確定安全方針、制定安全策略形成機構綱領性的安全策略文件,包括確定安全方針,制定安全策略,以便結合等級保護基本要求系列標準、行業基本要求和安全保護特殊要求,構建機構等級保護對象的安全技術體系結構和安全管理體系結構。對于新建的等級保護對象,應在立項時明確其安全保護等級,并按照相應的保護等級要求進行總體安全策略設計。最終需要輸出總體安全策略文件。
安全技術體系結構設計需要輸入總體安全策略文件、等級保護對象詳細描述文件、安全保護等級定級報告、安全需求分析報告、GB/T 22239、行業基本要求。通過設計安全技術體系架構、規定不同級別定級對象物理環境的安全保護技術措施、規定通信網絡的安全保護技術措施、規定不同級別定級對象的邊界保護技術措施、規定定級對象之間互聯的安全技術措施、規定不同級別定級對象內部的安全保護技術措施;根據機構總體安全策略文件、等級保護基本要求、行業基本要求和安全需求,提出云計算、移動互聯等新技術的安全保護策略和安全技術措施。云計算平臺應至少滿足其承載的最高級別定級對象的等級保護基本要求;形成等級保護對象安全技術體系結構將骨干網或城域網、通過骨干網或城域網的定級對象互聯、局域網內部的定級對象互聯、定級對象的邊界、定級對象內部各類平臺、機房以及其他方面的安全保護策略和安全技術措施進行整理、匯總,形成等級保護對象的安全技術體系結構。最終需要輸出等級保護對象安全技術體系結構。圖片
整體安全管理體系結構設計需要輸入總體安全策略文件、等級保護對象詳細描述文件、安全保護等級定級報告、安全需求分析報告、GB/T 22239、行業基本要求。通過設計等級保護對象的安全管理體系框架、規定網絡安全的組織管理體系和對不同級別定級對象的安全管理職責、規定不同級別定級對象的人員安全管理策略、規定不同級別定級對象機房及辦公區等物理環境的安全管理策略、規定不同級別定級對象介質、設備等的安全管理策略、規定不同級別定級對象運行安全管理策略、根據機構總體安全策略文件、等級保護基本要求系列標準、行業基本要求和安全需求,提出各個不同級別定級對象的安全事件處置和應急管理策略等;規定不同級別定級對象安全事件處置和應急管理策略等。最終需要輸出等級保護對象安全管理體系結構。圖片
根據安全需求分析報告、等級保護對象安全技術體系結構、等級保護對象安全管理體系結構等,對安全需求分析報告、等級保護對象安全技術體系結構和安全管理體系結構等文檔進行整理,形成等級保護對象總體安全方案。
等級保護對象安全總體方案應包含但不限于等級保護對象概述、總體安全策略、 等級保護對象安全技術體系結構、 等級保護對象安全管理體系結構。
第三階段:安全建設項目規劃
該階段又可以分為安全建設目標確定、安全建設內容規劃,最終則形成安全建設項目規劃。
安全建設目標確定需要輸入等級保護對象安全總體方案、機構或單位信息化建設的中長期發展規劃。通過信息化建設中長期發展規劃和安全需求調查、提出等級保護對象安全建設分階段目標,確定各個時期的安全建設目標。最終輸出等級保護對象分階段安全建設目標。
安全建設內容規劃需要輸入等級保護對象安全總體方案、等級保護對象分階段安全建設目標。通過確定主要安全建設內容,其中內容可分解為但不限于以下內容:
1) 安全基礎設施建設;
2) 網絡安全建設;
3) 系統平臺和應用平臺安全建設;
4) 數據系統安全建設;
5) 安全標準體系建設;
6) 人才培養體系建設;
7) 安全管理體系建設。
確定主要安全建設項目實現設計分期分批的主要建設內容,并將建設內容組合成不同的項目,闡明項目之間的依賴或促進關系等。最終輸出安全建設項目列表(含安全建設內容)。
形成安全建設項目規劃需要輸入等級保護對象安全總體方案、等級保護對象分階段安全建設目標、安全建設內容等,對等級保護對象分階段安全建設目標、安全總體方案和安全建設內容等文檔進行整理,形成等級保護對象安全建設項目規劃。在時間和經費上對安全建設項目列表進行總體考慮,分到不同的時期和階段,設計建設順序,進行投資估算,形成安全建設項目規劃。輸出等級保護對象安全建設項目規劃。
安全建設項目規劃可包含但不限于以下內容:
a) 規劃建設的依據和原則;
b) 規劃建設的目標和范圍;
c) 等級保護對象安全現狀;
d) 信息化的中長期發展規劃;
e) 等級保護對象安全建設的總體框架;
f) 安全技術體系建設規劃;
g) 安全管理與安全保障體系建設規劃;
h) 安全建設投資估算(含測試及運維估算等內容);
i) 等級保護對象安全建設的實施保障等內容。
這個階段的工作主要是運營、使用單位,網絡安全服務機構共同完成。
前面,我們提到有關“三同步”,在設計策劃階段很多時候可能會有更多的商務介入,其實在這個過程中網絡運營、使用單位最需要的具備整體系統性把控安全能力的技術人員。技術方面也不是什么都能應承都敢應承的,一個全面的技術人員需要了解法律法規政策以及當下成熟技術,才能夠給出合理化的建議。
等級保護工作,遵循“三同步”原則,在設計之初需要滿足《網絡安全等級保護基本要求》,通過《網絡安全等級保護實施指南》《網絡安全等級保護安全設計技術要求》《信息系統安全工程管理要求》等標準來實現。因為《設計要求》又不包括網絡的物理安全、安全管理、安全運維等方面的安全要求,所以還需要與《網絡安全等級保護基本要求》等標準配合使用。所以各個標準之間的關系是互相支援,相輔相成的關系,不可鉆進一個標準里出不來,更不可脫離標準主觀臆斷。
在接下來的時間里,我們將逐步展開這方面的內容,我想無論是對于集成方還是網絡運營、使用方都有參考意義和價值。
