前面我們將總體安全規(guī)劃看了一遍,接下來我們則進(jìn)入安全設(shè)計(jì)與實(shí)施,如圖所示進(jìn)入第三層安全設(shè)計(jì)與實(shí)施。該階段的目標(biāo)是按照等級保護(hù)對象安全總體方案的要求,結(jié)合等級保護(hù)對象安全建設(shè)項(xiàng)目規(guī)劃,分期分步落實(shí)安全措施。
該階段又可以分為安全方案詳細(xì)設(shè)計(jì)、技術(shù)措施的實(shí)現(xiàn)、管理措施的實(shí)現(xiàn)三個(gè)階段。如圖所示進(jìn)入第三層安全設(shè)計(jì)與實(shí)施。
設(shè)計(jì)與實(shí)施階段,是網(wǎng)絡(luò)運(yùn)營、使用單位最關(guān)心的一個(gè)階段,所以在各單位被監(jiān)督檢查過程中,存在的一個(gè)突出問題就是“重建設(shè),輕管理”,可以說是一個(gè)通病。而網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),也更熱衷這塊工作。因?yàn)楦赏辏碚撋献咄曜詈蠛贤缶涂梢阅缅X了。但是,在這個(gè)工作流程中,各方是否真的扎實(shí)落實(shí)前面的規(guī)劃和方案了呢?
安全規(guī)劃設(shè)計(jì)屬于知行合一之“知”階段,而設(shè)計(jì)與實(shí)施則時(shí)“行”的階段。以下內(nèi)容,至少可以作為網(wǎng)絡(luò)運(yùn)營、使用單位對所買服務(wù)質(zhì)量的一個(gè)參考;同理,也可以作為網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)和集成機(jī)構(gòu)對自身服務(wù)質(zhì)量做一個(gè)整體參考。有關(guān)安全服務(wù)更多信息,可以參見我公眾號相關(guān)文章以及有關(guān)國家標(biāo)準(zhǔn)。
第一階段:安全方案詳細(xì)設(shè)計(jì)
該階段又可以由技術(shù)措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)、管理措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)兩部分內(nèi)容構(gòu)成。
技術(shù)措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)是需要輸入安全總體方案、安全建設(shè)項(xiàng)目規(guī)劃、各類信息技術(shù)產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品技術(shù)說明資料、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)評價(jià)材料等,根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將等級保護(hù)對象安全總體方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上,通過結(jié)構(gòu)框架的設(shè)計(jì)、安全功能要求的設(shè)計(jì)、性能要求的設(shè)計(jì)、部署方案的設(shè)計(jì)、制定安全策略的實(shí)現(xiàn)計(jì)劃等提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔,使得在網(wǎng)絡(luò)安全產(chǎn)品采購和安全控制的開發(fā)階段具有依據(jù)。在這個(gè)過程中就涉及安全實(shí)現(xiàn)技術(shù)框架中使用到的相關(guān)網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理服務(wù)器、網(wǎng)絡(luò)防病毒、PKI、云安全防護(hù)產(chǎn)品、移動終端應(yīng)用軟件與防護(hù)產(chǎn)品等提出性能指標(biāo)要求。對需要開發(fā)的安全控制組件,提出性能指標(biāo)要求,最終輸入技術(shù)措施實(shí)施方案。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商等共同完成。
管理措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)是需要輸入安全總體方案,安全建設(shè)項(xiàng)目規(guī)劃等,根據(jù)等級保護(hù)對象運(yùn)營、使用單位當(dāng)前安全管理需要和安全技術(shù)保障需要,通過結(jié)合等級保護(hù)對象實(shí)際安全管理需要和本次技術(shù)建設(shè)內(nèi)容,確定本次安全管理建設(shè)的范圍和內(nèi)容,同時(shí)注意與等級保護(hù)對象安全總體方案的一致性。安全管理設(shè)計(jì)的內(nèi)容主要考慮:安全策略和管理制度制定、安全管理機(jī)構(gòu)和人員的配套、安全建設(shè)過程管理等,提出與等級保護(hù)對象安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容,以保證在安全技術(shù)建設(shè)的同時(shí),安全管理得以同步建設(shè),最終輸出管理措施實(shí)施方案。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共同完成。
通過輸入技術(shù)措施實(shí)施方案,管理措施實(shí)施方案,將技術(shù)措施實(shí)施方案、管理措施實(shí)施方案匯總,同時(shí)考慮工時(shí)和成本,最后形成指導(dǎo)安全實(shí)施的指導(dǎo)性文件,對技術(shù)措施實(shí)施方案中技術(shù)實(shí)施內(nèi)容和管理措施實(shí)施方案中管理實(shí)施內(nèi)容等文檔進(jìn)行整理,形成等級保護(hù)對象安全建設(shè)詳細(xì)設(shè)計(jì)方案,最終設(shè)計(jì)結(jié)果的文檔化。
安全詳細(xì)設(shè)計(jì)方案理應(yīng)包含且不限于以下內(nèi)容:
a)建設(shè)目標(biāo)和建設(shè)內(nèi)容;
b)技術(shù)實(shí)現(xiàn)方案;
c)網(wǎng)絡(luò)安全產(chǎn)品或組件安全功能及性能要求;
d)網(wǎng)絡(luò)安全產(chǎn)品或組件部署;
e)安全控制策略和配置;
f) 配套的安全管理建設(shè)內(nèi)容;
g)工程實(shí)施計(jì)劃;
h)項(xiàng)目投資概算。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共同完成。
第二階段:技術(shù)措施的實(shí)現(xiàn)
該階段又可以由網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購、安全控制的開發(fā)、安全控制集成、系統(tǒng)驗(yàn)收四部分內(nèi)容構(gòu)成。
網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購是需要輸入安全詳細(xì)設(shè)計(jì)方案,相關(guān)供應(yīng)商及產(chǎn)品信息等,按照安全詳細(xì)設(shè)計(jì)方案中對于產(chǎn)品或服務(wù)的具體指標(biāo)要求進(jìn)行采購,根據(jù)產(chǎn)品、產(chǎn)品組合或服務(wù)實(shí)現(xiàn)的功能、性能和安全性滿足安全設(shè)計(jì)要求的情況,通過制定產(chǎn)品或服務(wù)采購說明書、選擇產(chǎn)品或服務(wù),來選購所需的網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)。最終輸出需采購的網(wǎng)絡(luò)安全產(chǎn)品性能、功能和安全要求或服務(wù)機(jī)構(gòu)的能力要求(可為清單模式)。
制定產(chǎn)品或服務(wù)采購說明書應(yīng)注意:網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)選型過程首先依據(jù)安全詳細(xì)設(shè)計(jì)方案的設(shè)計(jì)要求,制定產(chǎn)品或服務(wù)采購說明書,對產(chǎn)品或服務(wù)的采購原則、采購范圍、技術(shù)指標(biāo)要求、采購方式等方面進(jìn)行說明。對于產(chǎn)品的功能、性能和安全性指標(biāo),可以依據(jù)第三方測試機(jī)構(gòu)所出具的產(chǎn)品測試報(bào)告,也可以依據(jù)用戶自行組織的網(wǎng)絡(luò)安全產(chǎn)品功能、性能和安全性選型測試結(jié)果。對于安全服務(wù)的采購需求,應(yīng)具有內(nèi)部或外部針對網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的評價(jià)結(jié)果作為參考。
選擇產(chǎn)品或服務(wù)應(yīng)注意:在依據(jù)產(chǎn)品或服務(wù)采購說明書對現(xiàn)有產(chǎn)品或服務(wù)進(jìn)行選擇時(shí),不僅要考慮產(chǎn)品或服務(wù)的使用環(huán)境、安全功能、成本(包括采購和維護(hù)成本)、易用性、可擴(kuò)展性、與其他產(chǎn)品或服務(wù)的互動和兼容性等因素,還要考慮產(chǎn)品或服務(wù)的質(zhì)量和可信性。產(chǎn)品或服務(wù)可信性是保證系統(tǒng)安全的基礎(chǔ),用戶在選擇網(wǎng)絡(luò)安全產(chǎn)品時(shí)應(yīng)確保符合國家關(guān)于網(wǎng)絡(luò)安全產(chǎn)品使用的有關(guān)規(guī)定。對于密碼產(chǎn)品的使用,應(yīng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行選擇和使用。對于網(wǎng)絡(luò)安全服務(wù),應(yīng)選取有相關(guān)領(lǐng)域資質(zhì)的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。
這個(gè)階段的工作是由網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),運(yùn)營、使用單位,測試機(jī)構(gòu)共同完成。
安全控制的開發(fā)是需要輸入安全詳細(xì)設(shè)計(jì)方案,對于一些不能通過采購現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品來實(shí)現(xiàn)的安全措施和安全功能,通過專門進(jìn)行的設(shè)計(jì)、開發(fā)來實(shí)現(xiàn)。安全控制的開發(fā)應(yīng)與系統(tǒng)的應(yīng)用開發(fā)同步設(shè)計(jì)、同步實(shí)施,而應(yīng)用系統(tǒng)一旦開發(fā)完成后,再增加安全措施會造成很大的成本投入。因此,在應(yīng)用系統(tǒng)開發(fā)的同時(shí),要依據(jù)安全詳細(xì)設(shè)計(jì)方案進(jìn)行安全控制的開發(fā)設(shè)計(jì),保證系統(tǒng)應(yīng)用與安全控制同步建設(shè)。需要做好安全措施需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編碼實(shí)現(xiàn)、測試、安全控制的開發(fā)過程需要將概要設(shè)計(jì)說明書、詳細(xì)設(shè)計(jì)說明書、開發(fā)測試報(bào)告以及開發(fā)說明書等整理歸檔等。最終需要輸出安全控制的開發(fā)過程中產(chǎn)生的所有相關(guān)文檔與記錄。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。
安全控制集成是需要輸入安全詳細(xì)設(shè)計(jì)方案,通過集成實(shí)施方案制定、集成準(zhǔn)備、集成實(shí)施、培訓(xùn)、形成安全控制集成報(bào)告等,將不同的軟硬件產(chǎn)品進(jìn)行集成,依據(jù)安全詳細(xì)設(shè)計(jì)方案,將網(wǎng)絡(luò)安全產(chǎn)品、系統(tǒng)軟件平臺和開發(fā)的安全控制模塊與各種應(yīng)用系統(tǒng)綜合、整合成為一個(gè)系統(tǒng)。安全控制集成的過程可以運(yùn)營、使用單位與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同參與、相互配合,把安全實(shí)施、風(fēng)險(xiǎn)控制、質(zhì)量控制等有機(jī)結(jié)合起來,實(shí)現(xiàn)安全態(tài)勢感知、監(jiān)測通報(bào)預(yù)警、應(yīng)急處置追蹤溯源等安全措施,構(gòu)建統(tǒng)一安全管理平臺。將安全控制集成過程相關(guān)內(nèi)容文檔化,并形成安全控制集成報(bào)告,其包含集成實(shí)施方案、質(zhì)量控制方案、集成實(shí)施報(bào)告以及培訓(xùn)考核記錄等內(nèi)容,最終輸出安全控制集成報(bào)告。從集成實(shí)施方案制定到安全控制集成報(bào)告,中間會產(chǎn)生很多過程文檔,需要各方都能夠真實(shí)深入的參與其中,并提交有內(nèi)容有價(jià)值的文檔和記錄。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。
系統(tǒng)驗(yàn)收是需要輸入安全詳細(xì)設(shè)計(jì)方案,安全控制集成報(bào)告等,通過系統(tǒng)驗(yàn)收準(zhǔn)備、組織驗(yàn)收、驗(yàn)收報(bào)告、系統(tǒng)交付,來檢驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計(jì)方案進(jìn)行建設(shè),是否實(shí)現(xiàn)了設(shè)計(jì)的功能、性能和安全性。在安全控制集成工作完成后,系統(tǒng)測試及驗(yàn)收是從總體出發(fā),對整個(gè)系統(tǒng)進(jìn)行集成性安全測試,包括對系統(tǒng)運(yùn)行效率和可靠性的測試,也包括管理措施落實(shí)內(nèi)容的驗(yàn)收。同理,這個(gè)過程需要提交的過程中的文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔、服務(wù)承諾書等等,也非常多,應(yīng)形成驗(yàn)收報(bào)告、交付清單。具體要交付哪些材料,在這里不做過多交代,待后期另文說明之。圖片
第三階段:管理措施的實(shí)現(xiàn)
該階段又可以由安全管理制度的建設(shè)和修訂、安全管理機(jī)構(gòu)和人員的設(shè)置、安全實(shí)施過程管理三部分內(nèi)容構(gòu)成。
安全管理制度的建設(shè)和修訂需要輸入安全詳細(xì)設(shè)計(jì)方案,依據(jù)國家網(wǎng)絡(luò)安全相關(guān)政策、標(biāo)準(zhǔn)、規(guī)范,通過應(yīng)用范圍明確、評估與完善、行為規(guī)范規(guī)定等,制定、修訂并落實(shí)與等級保護(hù)對象安全管理相配套的、包括等級保護(hù)對象的建設(shè)、開發(fā)、運(yùn)行、維護(hù)、升級和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)遵循的行為規(guī)范和操作規(guī)程。最終輸出安全策略、各項(xiàng)管理制度和操作規(guī)范、管理制度評審修訂記錄等。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。
應(yīng)用范圍明確應(yīng)注意:管理制度建立首先要明確制度的應(yīng)用范圍,如機(jī)房管理、賬戶管理、遠(yuǎn)程訪問管理、特殊權(quán)限管理、設(shè)備管理、變更管理、資源管理等方面。
評估與完善應(yīng)注意:管理制度是通過制度化、規(guī)范化的流程和行為約束,來保證各項(xiàng)管理工作的規(guī)范性。
行為規(guī)范規(guī)定應(yīng)注意:制度在發(fā)布、執(zhí)行過程中,要定期進(jìn)行評估,保留評估或評審記錄。根據(jù)實(shí)際環(huán)境和情況的變化,對制度進(jìn)行修改和完善,規(guī)范總體安全方針、安全管理制度、安全操作規(guī)程、安全運(yùn)維記錄和表單四層體系文件的一致性,必要時(shí)考慮管理制度的重新制定,并保留版本修訂記錄。
安全管理機(jī)構(gòu)和人員的設(shè)置需要輸入安全詳細(xì)設(shè)計(jì)方案,安全成員及角色說明書,各項(xiàng)管理制度和操作規(guī)范,通過安全組織確定、角色說明、人員安全管理、建立配套的安全管理職能部門,通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工和崗位培訓(xùn)以及各種資源的配備,保證人員具有與其崗位職責(zé)相適應(yīng)的技術(shù)能力和管理能力,為等級保護(hù)對象的安全管理提供組織上的保障。最終輸出機(jī)構(gòu)、角色與職責(zé)說明書,培訓(xùn)記錄及上崗資格證書等。
這個(gè)階段的工作是由運(yùn)營、使用單位,等級保護(hù)對象管理人員,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。
安全組織確定應(yīng)注意:識別與網(wǎng)絡(luò)安全管理有關(guān)的組織成員及其角色,例如:操作人員、文檔管理員、系統(tǒng)管理員、安全管理員等,形成安全組織結(jié)構(gòu)表。
角色說明應(yīng)注意:以書面的形式詳細(xì)描述每個(gè)角色與職責(zé),明確相關(guān)崗位人員的責(zé)任和權(quán)限范圍,并要征求相關(guān)人員的意見,要保證責(zé)任明確,確保所有的風(fēng)險(xiǎn)都有人負(fù)責(zé)應(yīng)對。
人員安全管理應(yīng)注意:針對普通員工、管理員、開發(fā)人員、主管人員以及安全人員開展特定技能培訓(xùn)和安全意識培訓(xùn),培訓(xùn)后進(jìn)行考核,合格者頒發(fā)上崗資格證書等。
安全實(shí)施過程管理需要輸入安全設(shè)計(jì)與實(shí)施階段參與各方相關(guān)進(jìn)度控制和質(zhì)量監(jiān)督要求文檔,通過整體管理、質(zhì)量管理、風(fēng)險(xiǎn)管理、變更管理、進(jìn)度管理、文檔管理等,在等級保護(hù)對象定級、規(guī)劃設(shè)計(jì)、實(shí)施過程中,對工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理,最終輸出各階段管理過程文檔和記錄。具體要交付哪些材料,在這里不做過多交代,待后期另文說明之。
這個(gè)階段的工作是由運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商共同完成。
