第24章信息安全监理
在当前数字化时代,信息安全已成为各类信息系统工程建设项目不可忽视的一个重要环节,信息安全问题关系到系统稳定、数据保密和用户信任等关键因素。信息安全监理人员需要关注信息安全政策与法规、风险评估与防范措施、安全技术及工具、应急响应能力等,帮助业主单位及承建单位提高信息安全意识,采取有效措施确保信息系统的安全性与可靠性。
本章主要介绍信息安全监理服务过程中的关键监理活动、内容、要点和标志性成果等。在监理活动方面,重点关注安全及密码设备的到货验收、安全检查指导、安全风险评估、安全整改和加固过程的监督以及网络安全等级保护测评和商用密码应用安全评估过程的跟踪,同时参与审查信息安全相关技术方案和相关文档。监理内容主要聚焦于信息安全监理的检查、审核、跟踪、测试、监督、评估和培训等实践活动。而监理要点则更多地描述了每项具体工作是否达到初步设计预定的信息安全目标,以及具体指标是否通过了等级保护测评和商用密码应用安全评估。此外,还需关注测评和评估中发现的不符合项是否完成了必要的信息安全整改。至于标志性成果,则对应于信息安全管理和实施的管理程序、审查安全方案和相关文件的监理专题报告、网络安全等级保护测评报告以及商用密码应用安全评估报告。
24.1概述
为规范网络安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进党政机关、企事业单位信息系统规范建设,信息安全监理依据当前网络安全等级保护、涉密信息系统分级保护、商用密码安全应用、关键信息基础设施保护相关要求,参照监理规范,遵循监理合同,协助业主单位识别风险、分析差距、审核承建单位的安全技术方案、配合专业第三方机构开展专业测评工作,根据测评结果组织承建单位对系统进行加固,确保信息安全强制性国家标准和行业标准在项目实施过程中得到严格落实。
24.1.1基本概念
1.信息系统
应用、服务、信息技术资产或其他信息处理组件。
2.网络安全
通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3.信息安全工程
为确保信息系统的保密性、完整性、可用性等目标而进行的系统实施过程,包括信息系统工程(含云服务类的信息系统)建设和运维阶段的安全集成。
4.信息安全监理
依据信息安全方面的标准和要求,在工程建设各阶段向业主单位提供相关咨询,并协助业主单位对承建单位在工程建设中的信息安全实施服务实施控制和管理的一种专业化服务活动,信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。
5.网络安全等级保护
国家通过制定统一的网络安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
公安机关负责网络安全等级保护工作的监督、检查、指导。
6.等级保护基本原则
自主保护原则、重点保护原则、同步建设原则、动态调整原则。
7.等级保护实施基本流程
等级保护实施基本流程包括等级保护对象定级与备案阶段,总体安全规划阶段,安全设计与实施阶段,安全运行与维护阶段和定级对象终止阶段。
8.涉密信息系统分级保护
依据国家网络安全等级保护的基本要求,对存储、处理国家秘密的计算机信息系统按照涉密程度实行分级保护。按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
涉密信息系统分级保护有特定程序要求,本教材不涉及涉密信息系统建设及监理内容。
9.密码
密码是指按特定法则编成,用以对通信双方的信息进行明密变换的符号,是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息,但这部分信息是可以再加工并恢复的,也是可以破解的。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
10.商用密码
商用密码是指采用特定变换的方法对不属于国家秘密的信息进行加密保护、安全认证的技术、产品和服务。
国家密码管理部门负责管理全国的商用密码工作。县级以上各级密码管理部门负责管理本行政区域的商用密码工作。国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作。
11.商用密码应用系统
采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
12.商用密码应用安全性评估
由国家密码管理部门认定的密码测评机构在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。
13.关键信息基础设施
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
在国家网信办统筹协调下,国务院公安部门负责指导、监督关键信息基础设施的安全保护工作。
14.关键信息基础设施安全保护
关键信息基础设施安全保护包括分析识别、安全保护、检测评估、监测预警、主动防御、事件处置六个方面。
24.1.2信息安全建设阶段划分及监理任务
按照信息安全系统的建设过程,信息安全监理划分为规划设计阶段监理、招标阶段监理、深化设计阶段监理、实施阶段监理、测试评估阶段监理、验收阶段监理。监理机构在各阶段都有明确的监理任务,如表24-1所示。
24.2规划设计阶段监理工作
本节重点介绍监理单位在信息安全系统的规划设计阶段需要执行的监理活动和主要监理内容。
业主单位在规划设计项目时,应遵循相关法律法规要求,满足等级保护、商用密码应用、关键信息基础设施保护等方面的要求。监理机构可以通过向业主单位提供规划设计咨询监理服务,协助业主单位完成相关信息安全方案,实现如下监理目标:
(1)建议并协助业主单位在规划设计阶段开展风险评估;
(2)协助业主单位明确信息系统工程的安全目标;
(3)协助业主单位确定信息系统工程的安全需求;
(4)协助业主单位申报信息系统工程安全保护等级手续。
24.2.1监理活动
信息安全系统规划设计阶段的主要监理活动如下:
(1)促使业主单位充分考虑信息系统工程的信息安全规划和设计;
(2)建议业主单位基于业务开展风险评估工作;
(3)协助业主单位根据系统的安全风险、法律法规和政策的约束,确定信息系统工程的安全目标和安全需求;
(4)检查业主单位提出的安全需求与安全目标是否一致,与国家和地方的信息安全法律、法规、政策、标准是否符合;
(5)审核信息安全设计方案中涉及网络安全等级保护、商用密码应用系统建设、关键信息基础设施保护的内容;
(6)协助业主单位制定信息安全管理制度,开展或完善安全体系建设;
(7)如适用,宜协助业主单位依据国家等级保护相关标准,确定信息安全保护等级,协助业主单位完成信息系统定级及备案工作;
(8)如适用,宜协助业主单位按照相关规定完成信息安全方案评估工作,评估结果作为项目规划立项的重要依据和申报资金的必备材料;
(9)配合业主单位按相关规定完成立项文件编制及送审工作,并及时获得相关管理部门的批复意见。
24.2.2监理内容
监理机构应组织业主单位和相关供应商进行充分沟通,分析原有系统的脆弱性及面临的安全威胁,形成完整安全需求,为网络安全等级保护方案编制、商用密码应用系统建设方案编制、关键信息基础设施保护打下坚实基础。监理机构应对各安全建设方案的完整性、合规性、针对性进行审核。
1.安全风险评估
监理机构应从如下方面对业主单位的风险评估工作提出建议:
(1)对预期的信息系统展开全方位的风险评估,应包括:
•信息系统基本情况分析;
•信息系统基本安全状况调查;
•信息系统安全组织;
•信息系统弱点漏洞分析;
•政策情况分析等。
(2)确定预期信息系统的资产,并明确资产的价值。资产包括:信息资产、纸质文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。
(3)对预期信息系统进行细致周密的脆弱性和威胁分析,发现它的脆弱点及所引发的威胁被利用后所造成的损失等。
(4)对风险进行优先级排序,并形成安全措施需求清单。
(5)如适用,建立与业务战略相一致的安全规划,制定总体的安全方针,并得到最高管理者的认可。
2.安全需求确定
监理机构应从如下方面协助业主单位确定需求:
(1)协助业主单位通过风险评估,明确信息系统工程建设的安全目标,从安全目标导出安全需求;
(2)应检查业主单位提出的安全需求与安全目标的一致性,与国家和地方信息安全法律法规、标准和政策的符合性;
(3)如适用,监理机构宜检查信息系统工程的项目建议书、可行性研究报告、初步设计方案是否包含明确的安全需求。
3.网络安全等级保护方案的审核
监理机构应配合业主单位、安全供应商完成定级备案程序。定级备案具体工作内容包括:
等级保护对象分析,定级对象确定,确定安全保护等级,对定级结果进行评审、审核和核查, 形成定级报告,完成定级结果备案。
监理机构应协助业主单位、安全供应商完成总体安全规划工作。总体安全规划的目标是根据等级保护对象的划分情况、等级保护对象的定级情况、等级保护对象承载业务情况,通过分析明确等级保护对象安全需求,设计合理的、满足等级保护要求的总体安全方案,并制订出安全实施计划,以指导后续的等级保护对象安全建设工程实施。总体安全规划阶段的工作流程包括安全需求分析、总体安全设计、安全建设项目规划。
(1)进行安全需求分析,形成需求分析报告。需求分析包括基本安全需求分析、特殊安全需求分析。
①基本安全需求分析。
全面了解等级保护对象的业务应用、业务流程情况,明确不同等级的等级保护对象的范围和边界。根据各个等级保护对象的安全保护等级,从GB/T22239《信息安全技术网络安全等级保护基本要求》、行业基本要求中选择相应等级的要求,形成基本安全需求。对于已建等级保护对象,应根据原等级测评结果分析整改需求,形成基本安全需求。
②特殊安全需求分析。
通过分析重要资产的特殊保护要求,采用需求分析或风险分析的方法,确定可能的安全风险,判断实施特殊安全措施的必要性,提出等级保护对象的特殊安全保护需求,包括:
•重要资产分析:明确等级保护对象中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器、重要应用系统等。
•重要资产安全弱点评估:检查或判断上述重要部件可能存在的弱点(包括技术和管理两方面),分析安全弱点被利用的可能性。
•重要资产面临威胁评估:分析和判断上述重要部件可能面临的威胁,包括外部、内部的威胁、威胁发生的可能性或概率。
•综合风险分析:分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。
•总结基本安全需求和特殊安全需求,形成安全需求报告。
(1)开展总体安全设计,形成总体安全设计方案。
①总体安全策略设计。
根据等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告,形成机构纲领性的安全策略文件。包括确定安全方针,制定安全策略,形成总体安全策略文件,以便结合等级保护基本要求系列标准、行业基准要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。
②安全技术体系结构设计。
根据总体安全策略文件、等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告,结合GB/T22239《信息安全技术网络安全等级保护基本要求》以及行业基本要求,完成安全技术体系结构设计。包括:安全技术体系架构设计,规定不同级别定级对象物理环境的安全保护技术措施,规定通信网络的安全保护技术措施,规定不同级别定级对象的边界保护技术措施,规定定级对象之间互连的安全技术措施,规定不同级别定级对象内部的安全保护技术措施,规定云计算、移动互联等新技术的安全保护技术措施,形成等级保护对象安全技术体系结构。
③整体安全管理体系结构设计。
等级保护对象安全管理体系框架分为四层,如图24-1所示。第一层为总体方针、安全策略,通过网络安全总体方针、安全策略明确机构网络安全工作的总体目标、范围、原则等。第二层为网络安全管理制度,通过对网络安全活动中的各类内容建立管理制度,约束网络安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范网络安全管理制度的具体技术实现细节。第四层为记录、表单,包括网络安全管理制度、操作规程实施时需填写和需保留的表单、操作记录。
④形成等级保护对象总体安全设计方案。具体包括:
•等级保护对象概述;
•总体安全策略;
•等级保护对象安全技术体系结构;
•等级保护对象安全管理体系结构。
(3)开展安全建设项目规划,形成安全建设项目规划方案。
①安全建设目标确定。
依据等级保护对象安全总体方案(一个或多个文件构成)、单位信息化建设的中长期发展规划和安全建设资金状况,确定各个时期的安全建设目标。
②安全建设内容规划。
根据安全建设目标和等级保护对象总体安全设计方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同项目,阐明项目间的依赖或促进关系等。具体包括:
•安全基础设施建设;
•网络安全建设;
•系统平台和应用平台安全建设;
•数据系统安全建设;
•安全标准体系建设;
•人才培养体系建设;
•安全管理体系建设;
•确定主要安全建设项目
③形成安全建设项目规划方案。
根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分解到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目规划。具体包括:
•规划建设的依据和原则;
•规划建设的目标和范围;
•等级保护对象安全现状;
•信息化的中长期发展规划;
•等级保护对象安全建设的总体框架;
•安全技术体系建设规划;
•安全管理与安全保障体系建设规划;
•等级保护对象安全建设的实施保障。
④形成安全建设详细设计方案。
监理机构协助业主单位、安全供应商完成安全方案详细设计工作。具体包括:
•技术措施实施方案的设计。
完成结构构架设计、安全功能要求设计、性能要求设计、部署方案设计、制订安全策略的实现计划等。
•管理措施实施内容的设计。
根据总体安全设计方案、安全建设项目规划,结合等级保护对象运营、使用单位当前安全管理需要和安全技术保障需要,提出与等级保护对象总体安全设计方案中管理部分相适应的本期安全实施内容,以保证在安全技术建设的同时,安全管理得以同步建设。
•形成安全建设详细设计方案。对技术措施实施方案中的技术实施内容和管理措施实施方案中的管理实施内容进行整理,形成等级保护对象安全建设详细设计方案。
4.商用密码应用系统建设方案的审核
商用密码应用系统建设方案的具体内容包括:项目建设背景、信息系统概述、密码应用需求分析、设计目标及设计原则、商用密码应用方案、实施保障方案(包括实施内容、实施计划、保障措施)、经费概算、商用密码产品清单、商用密码应用系统的安全管理与维护策略等。
商用密码应用方案包含技术方案、管理方案。其中,技术方案应包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面;管理方案应包括信息系统的管理制度、人员管理、建设运行和应急处置四个方面。监理机构应根据下述要点对方案进行完整性、合规性审核,确保安全设计方案满足安全需求且具有可验证性,符合相关的法律法规、政策和标准,并与信息系统工程整体建设相符。
(1)商用密码应用技术方案。商用密码应用技术方案应体现机密性、完整性、真实性、不可否认性等四个密码安全功能维度。具体保护对象或应用场景包括:
①机密性技术要求保护对象。使用密码技术的加解密功能实现机密性,信息系统中保护的对象为:
•身份鉴别信息;
•密钥数据;
•传输的重要数据;
•信息系统应用中所有存储的重要数据。
②完整性技术要求保护对象。
使用基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术实现完整性,信息系统中保护的对象为:
•身份鉴别信息;
•密钥数据;
•日志记录;
•访问控制信息;
•重要信息资源安全标记;
•重要可执行程序;
•视频监控音像记录;
•电子门禁系统进出记录;
•传输的重要数据;
•信息系统应用中所有存储的重要数据。
③真实性技术要求应用场景。
使用动态口令机制、基于对称密码算法或密码杂凑算法的信息鉴别机制、基于公钥密码算法的数字签名机制等密码技术实现真实性,信息系统中应用的场景为:
•进入重要物理区域人员的身份鉴别;
•通信双方的身份鉴别;
•网络设备接入时的身份鉴别;
•重要可执行程序的来源真实性保证;
•登录操作系统和数据库系统的用户身份鉴别;
•应用系统的用户身份鉴别。
④不可否认性技术要求保护对象。
使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性。
(2)商用密码应用管理方案。商用密码应用管理方案应体现管理制度、人员管理、建设运行、应急处置等四个密码应用管理维度,具体如下:
①密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
②密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
③建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
④处理密码应用安全相关的应急突发事件的能力要求。
(3)信息系统密码应用等级保护能力要求。信息系统密码应用自低向高划分为五个等级,参照等级保护对象应具备的基本安全保护能力要求,密码保障能力逐级增加,用一、二、三、四、五级表示。密码应用方案应按照业务实际情况选择相应级别的密码保障技术能力及管理能力。
第一级到第五级的信息系统应符合以下通用要求:
①信息系统中使用的密码算法应符合法律法规的规定和密码相关国家标准、行业标准的有关要求;
②信息系统中使用的密码技术应遵循密码相关国家标准和行业标准;
③信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。
在现阶段信息系统工程实践中,信息系统以三级安全防护能力要求最为常见,为此对第三级密码应用基本要求进行详细描述:
•物理和环境安全。具体要求如下:
a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;
b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;
c)宜采用密码技术保证视频监控音像记录数据的存储完整性;
d)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;
e)以上采用的密码产品应达到GB/T37092《信息安全技术密码模块安全要求》二级及以上安全要求。
•网络和通信安全。具体要求如下:
a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;
b)宜采用密码技术保证通信过程中数据的完整性;
c)应采用密码技术保证通信过程中重要数据的机密性;
d)宜采用密码技术保证网络边界访问控制信息的完整性;
e)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性;
f)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;
g)以上采用的密码产品应达到GB/T37092二级及以上安全要求。
•设备和计算安全。具体要求如下:
a)应采用密码技术对登录的用户进行身份鉴别,保证用户身份的真实性;
b)远程管理设备时,应采用密码技术建立安全的信息传输通道;
c)宜采用密码技术保证系统资源访问控制信息的完整性;
d)宜采用密码技术保证设备中的重要信息资源安全标记的完整性;
e)宜采用密码技术保证日志记录的完整性;
f)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证;
g)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;
h)以上采用的密码产品应达到GB/T37092二级及以上安全要求。
•应用和数据安全。具体要求如下:
a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性;
b)宜采用密码技术保证信息系统应用的访问控制信息的完整性;
c)宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性;
d)宜采用密码技术保证信息系统应用的重要数据在传输过程中的机密性;
e)宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性;
f)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性;
g)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性;
h)在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性;
i)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;
j)以上采用的密码产品应达到GB/T37092二级及以上安全要求。
•管理制度。具体要求如下:
a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理制度;
b)应根据密码应用方案建立相应密钥管理规则;
c)应对管理人员或操作人员执行的日常管理操作建立操作规程;
d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订;
e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制;
f)应具有密码应用操作规程的相关执行记录并妥善保存。
•人员管理要求。具体如下:
a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度;
b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限;
c)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;
d)对关键岗位建立多人共管机制;
e)密钥管理、密码安全审计、密码操作人员职责互相制约、互相监管,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;
f)相关设备与系统的管理和使用账号不得多人共用;
g)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能;
h)应定期对密码应用安全岗位人员进行考核;
i)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。
•建设运行要求。具体如下:
a)应依据密码相关标准和密码应用需求,制定密码应用方案;
b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节;
c)应按照应用方案实施建设;
d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行;
e)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。
•应急处置要求。具体如下:
a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置;
b)事件发生后,应及时向信息系统主管部门进行报告;
c)事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。
第三级以上(含第三级,下同)信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。监理机构应协助业主单位完成方案报审工作。
5.关键信息基础设施安全防护方案的审核
1)关键信息基础设施识别
协助业主单位分析识别关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。
2)落实关键信息基础设施安全防护要求
协助业主单位落实关键信息基础设施安全防护要求:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
3)关键信息基础设施检测评估
配合检测单位开展检测评估工作。业主单位应建立相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测及风险隐患评估,分析潜在安全风险可能引发的安全事件,为监测预警、主动防御、事件处置打下坚实基础。
4)关键信息基础设施保护制度建设
业主单位应当建立健全关键信息基础设施网络安全保护制度和责任制,设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。业主单位应当按照关键信息基础设施认定规则认定项目涉及的关键信息基础设施,监理机构可以协助业主单位编制关键信息基础设施安全保护方案、应急预案,建立健全个人信息和数据安全保护制度。
5)关键信息基础设施采购要求
关键信息基础设施建设应当优先采购安全可信的网络产品和服务。采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
24.3招标阶段监理工作
本节重点介绍监理单位在信息安全系统的招标阶段需要执行的监理活动和主要监理内容。
24.3.1监理活动
除通用招标监理活动外,信息安全系统招标时还应开展以下工作:
(1)确保招标文件中涉及安全的条款满足安全需求,并符合法律法规、政策文件和标准规范要求;
(2)确保承建合同中所提供的安全产品和服务满足招标文件要求;
(3)确保承建合同中与安全相关的条款在技术、经济上合理有效。
24.3.2监理内容
1.协助招标准备工作
监理机构应协助业务单位进行招标准备工作,具体如下:
(1)协助业主单位完成招标方案及招标方式的制定,拟定承建单位遴选标准,支撑有关信息安全招标目标;
(2)协助业主单位明确信息安全招标采购需求;
(3)检查招标文件中工程的安全目标、安全需求、工作范围,以及相关的产品及服务等技术要求是否明确,是否合法合规。
2.协助编写或审核招标文件
监理机构应从如下方面对招标文件提出监理意见:
(1)信息安全技术要求应能满足既定的安全目标与安全需求,包括功能、性能、技术指标、信息安全规划目标、国产化等。
(2)对投标单位综合履约能力的要求,应与信息安全项目相匹配,包括:
•投标单位的资质要求,例如信息安全服务相关资质、类似项目成功案例等;
•投标单位和项目组人员的资格要求,例如信息安全领域的相关资格、工作年限和项目经验等;
•投标单位的服务过程管理、质量保障体系、应急响应能力等要求。
(3)新建工程项目对原有信息系统安全性的可能影响及处理措施。
(4)如适用,审核是否明确了信息系统安全建设等级及相关测评要求,并协助采购相关测评服务。具体包括:
•根据公安部门发布的测评机构目录,协助业主单位采购信息安全等级测评服务;
•根据国家密码管理部门发布的测评机构目录,协助业主单位采购密码测评服务。
3.根据业主单位委托参与评标工作
监理机构应根据业主单位委托参与评标工作,具体如下:
(1)协助审查投标单位的资质能力,例如信息安全服务和信息系统集成等资质及类似成功案例;
(2)协助审查投标单位项目组人员的资格能力,例如信息安全领域的相关资格、工作年限和项目经验等;
(3)协助审查投标单位的服务过程管理、质量保障体系、应急响应能力,投标单位对原有信息系统安全性的可能影响及处理措施等;
(4)协助确定满足需求的投标方案和投标单位。
4.承建合同的监理
监理机构应参与承建合同的签订,协助业主单位对承建合同的如下内容进行检查,并提出监理意见:
(1)信息安全相关建设内容和技术要求应与投标文件一致;
(2)应包括适用的保密条款、安全风险控制和安全责任条款;
(3)应包括项目验收和安全测评的标准、方法及交付文档;
(4)应包括工程变更和扩展引发安全问题的处理方法;
(5)检查承建合同中安全功能、技术要求、测试标准、验收要求和质量责任条款的合理性;
(6)若发现安全需求缺失或不当,应及时告知业主单位;
(7)若项目中涉及内部敏感信息,监理机构应促使各方(业主单位、承建单位、监理机构、测评机构等)签署保密协议。
24.4设计阶段监理工作
本节重点介绍监理单位在信息安全系统的设计阶段需要执行的监理活动和主要监理内容。结合监理实践,将信息安全设计监理工作分为设计阶段和深化设计阶段两个部分进行阐述。
24.4.1设计阶段监理活动
信息安全系统设计阶段的主要监理活动如下:
(1)促使业主单位和承建单位就信息安全需求进行充分沟通,并形成一致的理解;
(2)建议承建单位根据信息安全风险评估报告和信息安全需求进行安全设计,在此期间若发现新的风险或安全需求,应及时通知业主单位和承建单位;
(3)督促承建单位对信息系统工程的安全技术要求进行规范化描述,形成安全设计方案(包括体系结构设计和详细设计);
(4)如适用,对已确定将要实行等级保护的系统,应审核设计方案是否符合相应等级保护对应的安全技术要求;
(5)审核承建单位的体系结构设计和详细设计,确保设计依据合规、安全控制措施能满足安全技术要求;
(6)协助业主单位和监理单位与信息安全相关主管部门进行充分的沟通和协调,确保安全设计方案的合规性要求;
(7)建议承建单位在进行安全设计时,充分考虑新建项目对现有系统和目标系统安全性可能造成的影响,并在设计方案中有所体现;
(8)确保安全设计方案满足信息安全需求且具有可验证性,符合相关的法律法规、政策和标准,并与信息系统工程整体建设相符;
(9)要求承建单位提交工程设计方案和工程实施组织设计方案,监理机构对其中的安全涉及内容进行审核;
(10)协助业主单位配合承建单位完成工程设计前的安全需求调查和分析工作,就设计阶段的各种变更对工程安全性的可能影响提出监理意见;
(11)督促承建单位提供与安全设计方案配套的其他安全输入。
24.4.2设计阶段监理内容
信息系统工程信息安全建设的依据包括相应的法律法规与标准规范,监理机构应协助业主单位确定适用的设计依据(宜采用最新发布的法律法规、标准规范),如GB/T9361《计算机场地安全要求》、GB/T30283《信息安全技术信息安全服务分类与代码》等。
1.体系结构设计的审核
监理机构应从如下方面对系统体系结构设计进行审核,并提出监理意见:
(1)安全设计与安全目标和安全需求的一致性。
(2)根据安全技术要求,选择安全模型时应考虑以下内容:
•安全体系结构设计的合理性;
•安全解决方案的针对性;
•安全控制措施的有效性;
•残余风险。
(3)安全控制措施应覆盖物理、主机、网络、应用、数据和信息安全管理等方面。
(4)项目各阶段的安全风险分析和控制措施的全面性、合理性。
(5)安全性检验手段应具有可操作性、有效性。
(6)如适用,应督促承建单位组织相关部门和有关安全技术专家对体系结构设计的合理性、确定性进行论证和审定。
2.详细设计的审核
监理机构应从如下方面对系统详细设计进行审核,并提出监理意见:
(1)详细设计应遵循体系结构设计,确定并明晰系统安全设计要素,如安全功能和性能、系统接口、安全控制措施、安全规范等;
(2)安全控制措施应考虑计算机设备、设施(包括机房建筑、供电、空调等)、通信与网络设备、存储设备、身份鉴别、访问控制、安全审计、系统和信息集成、产品和服务获取、配置管理、应急计划、事件响应、安全评估与认证、安全意识和培训等方面,以及针对特定需求的安全控制措施;
(3)选择具体的安全产品和服务,设计安全产品和服务中应具备的安全机制(例如配置策略等);
(4)安全产品采购和使用应符合国家有关规定;
(5)可预先对产品进行选型测试;
(6)工程实施组织设计,相关的操作指南或手册;
(7)为系统用户和管理员提供安全运行指南;
(8)应督促承建单位组织相关部门和有关安全技术专家对详细设计的合理性、正确性进行论证和审定。
24.4.3深化设计阶段监理活动
在此阶段,监理机构主要开展以下活动:
(1)复核承建单位资质、拟派人员资格;
(2)审核工程实施方案,检查实施方案与承建合同、设计方案的一致性;
(3)审核承建单位提交的工程进度计划,保证信息系统工程中的各项安全控制措施实施符合总体时间安排;
(4)审核承建单位提交的开工报审材料,具备开工条件且经业主单位批准后,及时签发开工令;
(5)督促承建单位实地了解建设环境及现状,熟悉规划设计文件,并在此基础上开展深化设计工作;
(6)协调相关方,落实物理环境、电力供应、网络通信等相关资源配置;
(7)审核深化设计阶段各方提出的变更文件;
(8)及时出具书面审核意见,并监督相关方按照要求在规定时间内落实;
(9)根据项目实际需求,配合业主单位组织深化设计评审工作。
24.4.4深化设计阶段监理内容
1.深化设计方案的审核
承建单位进场后,为确保安全物理环境满足等级保护要求,应开展现场检查工作,根据检查结果,在详细设计方案的基础上开展深化设计工作,如涉及工程变更事项,应及时履行变更程序。监理机构应及时审核并出具监理审核意见。
(1)承建单位应踏勘机房场地,了解安全设备部署的物理位置;
(2)承建单位应检查机房出入口门禁系统,确认物理访问控制措施是否满足等级保护要求;
(3)承建单位应检查机房防盗报警系统、机柜接地系统及其他防护设施,确认安全物理环境是否满足等级保护要求;
(4)承建单位应了解安全设备部署环境的线缆敷设要求及网络架构,确保安全设备接入的网络链路顺畅。
2.项目实施方案的审核
监理机构应督促承建单位编制项目实施方案。实施方案一般包括技术措施实现方案、管理措施实现方案。
1)技术措施实现方案
技术措施实现方案具体包括以下几个方面:
(1)网络安全产品或服务采购。承建单位应按照安全详细设计方案、深化设计方案、招标文件、合同文件要求进行采购,根据产品、产品组合或服务实现的功能、性能和安全性满足安全设计要求的情况来选购所需的网络安全产品或服务。
•制订产品或服务采购计划。
网络安全产品或服务选型过程要依据安全详细设计方案、深化设计方案的设计要求,制订产品或服务采购计划,对产品或服务的采购原则、采购范围、技术指标要求、采购方式等方面进行说明。对于产品的功能、性能和安全性指标,可以依据第三方测试机构所出具的产品测试报告,也可以依据用户自行组织的网络安全产品功能、性能和安全性选型测试结果。
•采购产品或服务。
在依据产品或服务采购计划对现有产品或服务进行选择时,不仅要考虑产品或服务的使用环境、安全功能、成本(包括采购和维护成本)、易用性、可扩展性、与其他产品或服务的互动和兼容性等因素,还要考虑产品或服务的质量和可信性。产品或服务的可信性是保证系统安全的基础,在选择网络安全产品时应确保符合国家关于网络安全产品使用的有关规定。对于网络安全产品及密码产品的使用,应按照公安部门、国家密码管理的相关规定进行选择和使用。对于网络安全服务,应选取有相关领域资质的网络安全服务机构。
(2)安全控制的定制开发。对于一些不能通过采购现有网络安全产品来实现的安全措施和安全功能,通过专门进行的设计、开发来实现。由于应用系统一旦开发完成后,再增加安全措施会造成很大的成本投入,安全控制的定制开发应与系统的应用开发同步设计、同步实施,保证系统应用与安全控制同步建设。
•安全措施需求分析。以规范的形式准确表达安全方案中的指标要求,在采用云计算、移动互联等新技术情况下分析特有的安全威胁,确定对应的安全措施及其同其他系统相关的接口细节。
•概要设计。概要设计要考虑安全方案中关于身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等方面的指标要求,设计安全措施模块的体系结构,定义开发安全措施的模块组成,定义每个模块的主要功能和模块之间的接口。
•详细设计。依据概要设计说明书,将安全控制的开发进一步细化,对每个安全功能模块的接口、函数要求、各接口之间的关系、各部分的内在实现机理都要进行详细的分析和细化设计。按照功能的需求和模块划分进行各个部分的详细设计,包含接口设计和管理方式设计等。详细设计是设计人员根据概要设计进行的模块设计,将总体设计所获得的模块按照单元、程序、过程的顺序逐步细化,详细定义各个单元的数据结构、程序的实现算法以及程序、单元、模块之间的接口等,作为以后编码工作的依据。
•编码实现。按照设计进行硬件调试和软件的编码,在编码和开发过程中,要关注硬件组合的安全性和编码的安全性,开展论证和测试,并保留论证和测试记录。
•测试。开发基本完成后要进行功能和安全性测试,保证功能和安全性的实现。安全性测试需要涵盖基线安全配置扫描和渗透测试,第三级以上系统应进行源代码安全审核。如有行业内或新技术专项要求,应开展专项测试,如国家政务信息化领域的网络安全等级保护三级测评、云计算环境安全控制措施测评、移动终端应用软件安全测试等。
•安全控制的开发过程文档化。安全控制的开发过程需要将概要设计说明书、详细设计说明书、开发测试报告以及开发说明书等整理归档,形成安全控制的开发过程相关文档与记录。
(3)安全控制集成。将不同的软硬件产品进行集成,依据安全详细设计方案,将网络安全产品、系统软件平台和开发的安全控制模块与各种应用系统整合成为一个系统。安全控制集成的过程可以由运营、使用单位与网络安全服务机构共同参与、相互配合,把安全实施、风险控制、质量控制等有机结合起来,实现安全态势感知、监测通报预警、应急处置追踪溯源等安全措施,构建统一安全管理平台。
•集成准备。主要工作内容是对实施环境进行准备,包括硬件设备准备、软件系统准备、环境准备。为了保证系统实施质量,承建单位应依据系统设计方案,制定一套可行的系统质量控制方案,以便有效指导系统实施过程。该质量控制方案应确定系统实施各阶段的质量控制目标、控制措施、工程质量问题的处理流程、系统实施人员的职责要求等,并提供详细的安全控制集成进度表。
•集成实施。主要工作内容是将配置好策略的网络安全产品和开发控制模块部署到实际应用环境中并调试相关策略。集成实施应严格按照集成进度安排进行,出现问题时各方应及时沟通。系统实施的各个环节应遵照质量控制方案要求,分别进行系统集成测试,逐步实现质量控制目标。例如,综合布线系统施工过程中,应及时利用网络测试仪测定线路质量,及早发现并解决质量问题。
•培训。信息安全系统建设完成后,承建单位应向业主单位、监理机构提供建设过程文档,同时需要对系统维护人员进行必要的培训,培训效果的好坏将直接影响今后系统能否安全稳定运行。
•形成安全控制集成联调测试报告。应将安全控制集成过程相关内容文档化,并形成安全控制集成联调测试报告,一般包括集成实施方案、质量控制方案、集成实施报告以及培训考核记录等内容。
2)管理措施实现方案
管理措施实现方案具体包括以下几个方面:
(1)安全管理制度的建设和修订。依据国家网络安全相关政策、标准、规范,制定、修订并落实与等级保护对象安全管理相配套的安全管理制度,包括等级保护对象的建设、开发、运行、维护、升级和改造等各个阶段和环节所应遵循的行为规范和操作规程,包括安全策略、各项管理制度和操作规范、管理制度评审修订记录。
•明确应用范围。管理制度的建立首先要明确制度的应用范围,如机房管理、账号管理、远程访问管理、特殊权限管理、设备管理、变更管理、资源管理等方面。
•规定行为规范。管理制度是通过制度化、规范化的流程和行为约束,来保证各项管理工作的规范性。
•评估与完善。制度在发布、执行过程中,要定期进行评估,保留评估或评审记录。根据实际环境和情况的变化,对制度进行修改和完善,规范总体安全方针、安全管理制度、安全操作规程、安全运维记录和表单四层体系文件的一致性,必要时考虑管理制度的重新制定,并保留版本修订记录。
(2)安全管理机构和人员的设置。
建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工和岗位培训以及各种资源的配备,保证人员具有与其岗位职责相适应的技术能力和管理能力,为等级保护对象的安全管理提供组织上的保障。文档包括机构、角色与职责说明书、培训记录及上岗资格证书等。
•安全组织确定。识别与网络安全管理有关的组织成员及其角色,例如操作人员、文档管理员、系统管理员、安全管理员等,形成安全组织结构表。
•角色说明。以书面的形式详细描述每个角色与职责,明确相关岗位人员的责任和权限范围,并征求相关人员的意见,要保证责任明确,确保所有的风险都有人负责处理。
•人员安全管理。针对普通员工、管理员、开发人员、主管人员及安全人员开展特定技能和安全意识培训,培训后进行考核,合格者颁发上岗资格证书。
24.5实施阶段监理工作
本节重点介绍监理单位在信息安全系统的实施阶段需要执行的监理活动和主要监理内容。
24.5.1监理活动
信息安全系统实施阶段的主要监理活动如下:
(1)在工程实施前,督促承建单位提供工程实施方案,确定项目组织结构;
(2)确保工程实施方案合规、合理、可操作、可核查,满足承建合同提出的建设内容和技术要求,并与安全设计方案相符;
(3)检查工程实施过程与工程实施方案的一致性;
(4)监督承建单位落实安全控制措施,确保其有效实施,且达到设计要求;
(5)确保工程中所使用的产品和服务符合安全设计方案,符合相关法律法规;
(6)监督对安全设备的到货验收,督促承建单位规范进行设备安装及系统调试;
(7)对安全子系统或安全设备进行功能与性能符合性检查;
(8)督促承建单位做好工程实施中的安全管理工作;
(9)如工程实施中存在重大变更,督促承建单位履行变更程序,并协调业主单位对系统安全性进行再评估。第三级以上信息系统发生重大变更时,信息系统的责任单位应将变更情况及时上报相应的主管部门,并按照主管部门的要求办理相关事项。
24.5.2监理内容
1.工程实施方案的审核
监理机构应对工程实施方案进行审核,审核内容具体如下:
(1)实施方案与设计方案的符合性;
(2)详细的工程实施计划、工程控制过程;
(3)安全设备安装调试计划,包括各类安全设备的采购、进场、配置、调试和管理的计划等;
(4)工程实施组织中的安全,例如工程实施人员安全管理措施、工程实施步骤安全管理措施等;
(5)如存在项目分包,审核分包工程实施的安全管理措施;
(6)依据体系结构设计和详细设计所采用的安全技术框架、安全管理策略,形成工程实施方案的配套文件;
(7)如适用,督促承建单位组织相关部门和有关安全技术专家对工程实施方案的合理性、正确性进行论证和审定。
2.安全控制措施的审核
监理机构应对安全控制措施进行审核,审核内容具体如下:
(1)确认集成到信息系统工程中的安全控制措施及其配置;
(2)确认安全控制措施达到设计要求,有效降低风险;
(3)工程实施部署后,督促承建单位对系统的运行情况进行监控,及时发现安全控制措施状态变化及安全事件,并进行适当的处置;
(4)如适用,应督促承建单位建立安全态势监控机制,监控安全防护措施功能、性能的有效性;
(5)督促承建单位对系统用户和管理员进行相关的安全意识教育和技能培训;
(6)如适用,督促承建单位建立安全控制措施的定期维护机制。
3.安全设备的验收
监理机构在安全设备验收时要重点关注以下几点:
(1)设备及其配件、模块的类型和数量与到货清单一致;
(2)安全设备具有公安部颁发的销售许可证,且在有效期内;
(3)安全设备及型号与销售许可证一致,产品销售所需的证书齐全;
(4)符合安全设计方案所规定的功能、性能;
(5)如适用,提供由第三方安全测试机构出具的测试报告;
(6)设备部署后运转正常,功能、性能达到合同要求和设计指标。
4.工程实施中的安全管理
监理机构在进行工程实施中的安全管理时要重点关注以下几点:
(1)督促承建单位指定或授权专门的部门和人员负责工程实施过程的安全管理;
(2)督促承建单位严格按照审批通过的实施方案进行施工,确保实施过程与实施方案的一致性;
(3)如适用,督促承建单位按其能力成熟度级别执行安全工程过程;
(4)审查工程实施方面的管理制度(实施过程的控制方法、人员行为准则等);
(5)审查承建单位施工人员的身份与资格;
(6)督促承建单位在施工中严格遵守业主单位的相关安全管理规定。
24.6测试评估阶段监理工作
应通过网络安全等级测评机构、密码应用安全评估机构对已经完成信息安全系统建设的等级保护对象、关键信息基础设施进行等级测评、密码应用安全评估,确保等级保护对象、关键信息基础设施的安全保护措施符合相应等级的安全要求。监理机构应跟踪测试过程,督促承建单位根据测评结果对风险项及存在的问题进行整改。
24.6.1监理活动
信息安全系统测试评估阶段的主要监理活动如下:
(1)依据相关规定,第三级以上信息系统的安全系统、商用密码应用系统建设完成后,业主单位应当委托公安部门、国家密码管理部门推荐或指定的测评机构进行等级保护、商用密码应用安全性评估,评估通过后系统方可投入运行,评估结果作为项目建设验收的必备材料。监理机构应配合测评机构完成等级保护测评、密码应用安全性评估工作,并协助业主单位完成评估结果备案。
(2)提醒业主单位与测评机构签署委托测评协议,根据业主单位委托审核协议文本,出具监理意见。
(3)提醒业主单位与测评机构及时签署保密协议,以约束测评相关方现在及将来的行为。保密协议应规定测评相关方保密方面的权利与义务。测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方如需引用或公开,应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任。
(4)提醒测试评估单位,如无业主单位授权,不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
(5)提醒相关单位在现场测评开始前对系统及数据进行备份,并对可能出现的事件制定应急处理方案。6)督促测试单位及时编制测试方案、测试报告等测试相关文件,并组卷归档。
24.6.2监理内容
信息系统安全测试评估主要包括网络安全等级保护测评、关键信息基础设施保护、商用密码应用安全性评估。鉴于关键信息基础设施保护及商用密码应用安全性评估测试内容基于网络安全等级保护测评,本节仅对网络安全等级保护测评进行详细介绍,关键信息基础设施保护和商用密码应用安全性评估过程的工作内容、监理要点与此类似,不再进行描述。
1.等级测评过程
等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。每一项测评活动都有一组确定的工作任务,如表24-2所示。
2.常见高风险及整改建议依据T/ISEAA001《网络安全等级保护测评高风险判定指引》,提出一般系统场景下的高风险及整改建议,如表24-3所示。
24.7验收阶段监理工作
信息系统的安全体系建设是信息系统工程的重要组成部分,信息安全验收能够检验信息系统安全体系设计的科学性,能够检验信息系统能否有效防范日益严峻的外部网络攻击,能够评价安全防范效果。监理机构应重视信息安全验收工作,协调配合业主单位合理规划验收流程和事项,达成验收工作目标。
24.7.1监理活动
信息安全系统验收阶段的主要监理活动如下:
(1)依据承建合同、安全设计方案、工程实施方案和实施记录、国家或地方相关标准和技术指导文件,督促承建单位进行系统测试和试运行,对信息系统工程进行安全符合性检查,以验证是否实现了工程安全设计目标和系统安全等级基本要求;
(2)监督系统测试过程,复核测试评估结论,确保建设成果满足规划设计要求;
(3)复核项目范围内的软硬件数量、部署位置、运行状态,确保符合招投标文件、承建合同的要求;
(4)协助业主单位建立验收工作机构,做好验收筹备工作,组织项目终验会议;
(5)协助验收工作机构审核承建单位提供的工程验收方案,并提出监理意见;
(6)协助业主单位对承建单位提供的验收申请资料进行评审,并提出监理意见;
(7)组织业主单位、承建单位分析相关专家评审意见,并对整改结果进行复核;
(8)适用时,可建议业主单位委托第三方机构进行安全测评和风险评估;
(9)督促承建单位及时整改发现的问题;
(10)协助业主单位收集工程设计和实施中的各种关键文档,做好监理文档的组卷归档工作。
24.7.2监理内容
1.系统测试的监理
在进行系统测试的监理时要重点关注以下几点:
(1)督促承建单位按照网络、主机、应用、数据等不同层面的安全功能和性能,采用不同的技术检测方法,设计详细的测试技术方案和控制流程,并对测试技术方案和控制流程进行审查。
(2)督促承建单位对工程实施中安装的设备或产品进行单元测试,以评估是否符合业主单位或工程的安全要求。
(3)督促承建单位在系统建设完成后、业主单位验收前,进行总体安全性测试。
(4)督促承建单位对安全测试的内容做详细的工作记录,包括安全工程测试方法、测试过程、测试指标结果等。
(5)督促承建单位及时整改测试中发现的安全问题。
(6)从以下方面对测试结果进行审查,并提出监理意见:
•系统安全功能,如用户身份鉴别、访问控制、安全审计、数据存储和传输加密等;
•系统安全性能,如系统可用性、密码算法强度、备份恢复策略等。
2.工程验收方案的审核
在进行工程验收方案的审核时要重点关注以下几点:
(1)与安全需求、设计方案和实施方案的一致性;
(2)能够从技术、管理和工程方面保障信息安全,实现安全目标与安全需求;
(3)安全设计要求和指标、实现方法及其检测、验证手段;
(4)工程交付物清单(安全体系架构图、安全配置策略、工程设计和实施文档等)齐全、完整,且与实际相符;
(5)如适用,验收步骤和验收程序可考虑信息安全测评和风险评估环节。
3.工程验收过程的监理
在进行工程验收过程的监理时要重点关注以下几点:
(1)督促承建单位在系统验收前先进行系统的测试和试运行,并进行详细的记录,对发现的问题及时整改;
(2)监理机构应建议业主单位和承建单位根据体系结构设计文件、详细设计文件及相关部门颁发的有关文件、相关信息技术和信息安全标准、设计规范、建设规范和验收规范进行项目验收;
(3)如适用,对介入工程的第三方的工作(例如风险评估、等级测评、软件评测等)过程进行监理。
24.8信息安全合规性要求
为了提醒监理单位、监理机构和监理人员在实施信息安全监理活动时,更多地关注信息安全国家法律法规要求及相关注意事项,结合监理实践,本节给出了信息安全合规性要求,为实践提供参考和指导。
24.8.1风险评估
风险评估方面的合规性要求如下:
(1)应以保障组织业务使命为导向,开展信息安全风险评估工作,以风险评估作为安全需求的输入;
(2)信息安全风险评估应贯穿信息系统的规划、设计、实施、运行维护以及废弃各个阶段;
(3)应参照GB/T20984《信息安全技术信息安全风险评估方法》,制定风险评估流程,覆盖风险评估准备、资产识别、威胁识别、脆弱性识别、己有安全措施确认、风险分析、风险处置等环节;
(4)应确保并持续改进风险评估模型、方法和工具的合理性和适用性。
24.8.2等级保护
等级保护方面的合规性要求如下:
(1)应按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的要求,落实信息安全责任主体;
(2)应按照“自主定级、自主保护”的原则,参照GB/T25058《信息安全技术网络安全等级保护实施指南》,开展等级保护的定级、备案、建设、测评、整改等工作;
(3)应参照GB/T22239《信息安全技术网络安全等级保护基本要求》中相应等级的技术和管理要求,选择并落实安全控制措施;
(4)应定期对信息系统安全状况、安全控制措施的符合情况进行自查,并按要求开展等级保护测评。
24.8.3信息安全技术体系
信息安全技术体系方面的合规性要求如下:
(1)应建立有效的信息安全技术体系,部署安全产品,选取安全服务和安全机制,保障信息安全;
(2)安全技术体系应符合“深度防御”和“动态保障”等基本原则;
(3)应制定信息系统不同层面、不同产品和系统的安全配置基线和标准作业流程(SOP)
(4)应建立持续的安全审计和安全监控机制,定期开展配置检查、漏洞扫描、渗透测试等技术检测。
24.8.4信息安全管理体系
信息安全管理体系方面的合规性要求如下:
(1)应参照GB/T22080《信息技术安全技术信息安全管理体系要求》和GB/T22081《信息技术安全技术信息安全控制实践指南》进行信息安全管理体系的建立、实现、维护和持续改进;
(2)应确定信息安全管理体系范围,制定信息安全方针,明确信息安全管理职责;
(3)应以风险评估为基础,选择控制目标和控制措施来建立信息安全管理体系;
(4)应通过信息安全方针、程序文件或制度、操作规程、记录和表单等文件的建立和实施,持续改进信息安全管理体系;
(5)对信息系统工程的业主单位和承建单位,均应要求建立信息安全管理体系。
24.8.5信息系统安全测评
信息系统安全测评方面的合规性要求如下:
(1)应做好与安全测评机构的沟通,在工程验收阶段和系统运行阶段按需开展安全测评;
(2)应协调信息系统各相关方配合测评机构开展测评工作;
(3)应做好安全测评过程中相关的技术准备、文档准备和人员准备;
(4)应对安全测评中发现的问题及时进行安全加固、安全优化等整改工作。
24.8.6应急管理
应急管理方面的合规性要求如下:
(1)应参照GB/T20986《信息安全技术网络安全事件分类分级指南》对信息安全事件进行分类、分级;
(2)应参照GB/T20985《信息技术安全技术信息安全事件管理》建立应急响应小组,制定应急响应流程,实施信息安全事件管理各过程的主要活动;
(3)应确保信息安全应急管理的人员、预案、操作、工具、资源可用性;
(4)应制定信息系统总体应急预案和各类子预案,定期进行应急预案的培训、演练和修订。
24.8.7业务连续性
业务连续性方面的合规性要求如下:
(1)应以保护组织的核心业务、核心价值,保障组织的业务持续开展为出发点,进行业务影响分析(BIA)
(2)应基于风险评估和业务影响分析结论,制订业务连续性计划和灾难恢复计划;
(3)应基于信息系统的不同层面、不同应用、不同资产,分别制定恢复时间目标RTO)、恢复点目标RPO)指标;
(4)应根据业务连续性计划和指标,建立业务连续性保障能力。
24.8.8网络安全审查
网络安全审查方面的合规性要求如下:
(1)关系国家安全和公共利益的系统所使用的重要技术产品和服务,应遵从国家网络安全审查制度;
(2)应依据产品和服务的安全性与可控性的审查结论,从技术和背景两方面评估使用信息技术产品和服务的安全风险;
(3)应评估信息技术产品和服务的提供商及其供应链的安全风险;
(4)应按需要求信息技术产品和服务的提供商做出安全性承诺。
24.9信息安全关键技术要求
为了提醒监理单位、监理机构和监理人员在实施信息安全监理活动时,更多地关注信息安全技术要求、实现约束等注意事项,结合监理实践,本节给出了信息安全关键技术要求,为信息安全监理实践提供参考和指导。
24.9.1物理安全
物理安全方面的关键技术要求如下:
(1)电子设备机房的安全设计应符合GB/T9361《计算机场地安全要求》的规定。
(2)机房物理位置选择在遵照相关技术规范的前提下,以等级保护第三级为例(下同)还必须考虑以下因素:等级保护第三级以上系统,机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(3)物理访问控制。具体包括:
•等级保护第三级以上系统,应对机房进行区域划分,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
•等级保护第三级以上系统,重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(4)防盗窃防破坏。具体包括:
•等级保护第三级以上系统,机房应安装采用光、电等技术的机房防盗报警系统;
•等级保护第三级以上系统,机房应设置监控报警系统。
(5)防雷击。等级保护第三级以上系统,应在供配电系统上设置防浪涌保护装置,防止感应雷,同时建议在使用电缆的重要弱电设备端口安装防浪涌保护装置。
(6)防火。具体包括:
•等级保护第三级以上系统,机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
•等级保护第三级以上系统,机房及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料和装饰材料;
•等级保护第三级以上系统,机房应采取区域隔离防火措施,将重要设备与其他设备隔离开,物理隔断在吊顶之上和防静电地板以下应安装防火板与建筑结构闭合。
(7)防水和防潮。等级保护第三级以上系统,在存在水管穿越的区域,以及安装精密空调的区域,应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
(8)防静电。等级保护第三级以上系统,机房的地面应采用防静电地板。
(9)温湿度控制。等级保护第三级以上系统,机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
(10)电力供应。等级保护第三级以上系统,应设置冗余或并行的电力电缆线路为计算机系统供电,有条件的建议机房所在建筑部署备用供电系统(如柴油/汽油发电机)。
(11)电磁防护。具体包括:
•等级保护第三级以上系统,应保证机房采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
•等级保护第三级以上系统,应对关键设备和磁介质进行电磁屏蔽(使用屏蔽机柜安装关键设备,使用电磁屏蔽防潮柜存放磁介质)。
(12)机房环境监控。适时关注机房环境监控的关键部位和技术实现符合相关要求。
(13)对于涉及敏感数据或关键的系统链路,还应考虑其他必要措施。
24.9.2网络安全
网络安全方面的关键技术要求如下:
(1)各种服务器及网络核心设备宜放置在专门的电子设备机房。
(2)信息网络平台中涉及的防火墙、防病毒系统等网络安全软硬件设备应通过国家相关安全测评认证机构的认证。
(3)结构安全。具体包括:
•网络全局和结构设计应保证关键网络设备的业务处理能力具备冗余空间,满足网络各个部分业务高峰期需要,等级保护第三级以上系统,应保证主要网络设备的以上能力;
•应绘制与实际部署情况相符的网络拓扑结构图,需标识出所有服务器、网络设备和安全设备,及相应的设备型号、IP地址和连接端口等,标识出安全区域划分情况;
•等级保护第三级以上系统,应在业务终端与业务服务器之间进行路由控制建立安全的访问路径,如使用静态路由或启用加密认证的相关技术手段;
•等级保护第三级以上系统,应避免将重要网段(如服务器区、数据存储区)部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段(如防火墙、网闸等);
•等级保护第三级以上系统,应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机,在核心交换机或边界设备上配置并启用QoS策略;
•应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
(4)访问控制。具体包括:
•应在网络边界处部署访问控制设备(如防火墙等),启用访问控制功能,并配置合理的访问控制策略;
•应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级,等级保护第三级以上系统要求控制粒度为端口级;
•等级保护第三级以上系统,应对进出网络Internet边界)的信息内容进行过滤,实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制;
•网络应具备会话超时中断、最大并发数限制功能;
•重要网段应采取IP/MAC地址绑定,或其他防地址欺骗手段;
•应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
•如网络提供了拨号接入功能,需要对拨号用户数量进行限制。
(5)网络设备防护。具体包括:
•应对登录网络设备的用户进行身份鉴别,网络设备的管理用户标识应具有唯一性;
•应对网络设备的管理员登录地址进行限制;
•管理用户的身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换,设备具备口令复杂度限制和口令生存周期限制功能的,应启用;
•等级保护第三级以上系统的网络中,网络设备与安全设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
•应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
•当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听,如启用SSH、HTTPS等安全协议进行远程管理登录。
(6)安全审计。具体包括:
•应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
•等级保护第三级以上系统,应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等,应能够根据记录数据进行分析,并生成审计报表。
(7)边界完整性。具体包括:
•应部署终端管理类系统对内部网络用户私自联到外部网络(如越权访问、授权的无线网络和私自安装4G或5G上网卡连接Internet)的行为进行检查,并对其进行有效阻断;
•等级保护第三级以上系统,应部署基于802.IX等认证的网络准入控制系统,对非授权设备私自联到内部网络(如非授权的终端、服务器及网络设备)的行为进行检查,并对其进行有效阻断。
(8)入侵防范。具体包括:
•应在网络边界处部署IPS、UTM等设备,或在网络核心部署IDS设备,监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
•等级保护第三级以上系统,应在检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
(9)恶意代码防范。具体包括:
•等级保护第三级以上系统,应在网络边界处部署网络反病毒设备(如防毒墙、UTM等),对恶意代码进行检测和清除;
•等级保护第三级以上系统,网络反病毒设备应具备恶意代码库自动升级和检测系统更新功能。
24.9.3主机安全
主机安全方面的关键技术要求如下:
(1)身份鉴别。具体包括:
•应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
•管理用户的身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换,设备具备口令复杂度限制和口令生存周期限制功能的,应启用;
•当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听,如启用SSL、SSH等安全协议进行远程登录;
•应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,避免操作系统与数据库系统共享同一账号进行认证;
•等级保护第三级以上系统,重要服务器应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
(2)访问控制。具体包括:
•应启用访问控制功能,依据安全策略控制用户对资源的访问;•应实现操作系统和数据库系统特权用户的权限分离;
•应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令,并及时删除多余的、过期的账户,避免共享账户的存在;
•等级保护第三级以上系统,应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
•等级保护第三级以上系统,应对重要信息资源设置敏感标记,并依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。
(3)安全审计。具体包括:
•审计范围应覆盖服务器和重要客户端上的每个操作系统用户和数据库用户;
•审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件,审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
•等级保护第三级以上系统,应保护审计进程,避免受到未预期的中断,并保护审计记录,避免受到未预期的删除、修改或覆盖等;
•等级保护第三级以上系统,应能够根据记录数据进行分析,并生成审计报表。
(4)剩余信息保护。具体包括:
•等级保护第三级以上系统,应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
•等级保护第三级以上系统,应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
(5)入侵防范。具体包括:
•操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新;
•等级保护第三级以上系统,应部署HIDS类系统,当检测到对重要服务器进行入侵的行为时,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
•等级保护第三级以上系统,所属服务器应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
(6)恶意代码防范。应安装杀毒软件,建议使用企业版杀毒软件,等级保护第三级以上系统,应使用与网络防恶意代码产品不同的恶意代码库,能够进行病毒库升级。
(7)资源控制。具体包括:
•应通过设定终端接入方式、网络地址范围等条件限制终端登录,并根据安全策略设置登录终端的操作超时锁定;
•应部署ITMN监控系统,对服务器和网络设备的运行状况进行监测,包括监视服务器的CPU、硬盘、内存、网络等资源,以及网络设备的CPU、内存、端口状态和带宽的使用情况等。
24.9.4应用系统安全
应用系统安全方面的关键技术要求如下:
(1)身份鉴别。具体包括:
•应提供专用的登录控制模块对登录用户进行身份标识和鉴别,启用身份鉴别、用户身份标识唯一性检查功能,并根据安全策略配置相关参数;
•应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
•应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施,并根据安全策略配置相关参数;
•等级保护第三级以上系统,重要应用系统应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
(2)访问控制。具体包括:
•应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
•访问控制覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
•应由授权主体配置访问控制策略,并严格限制默认用户访问权限,授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约关系;
•等级保护第三级以上系统,应具有对重要信息资源设置敏感标记的功能,并依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。
(3)安全审计。具体包括:
•应提供覆盖每个用户的安全审计功能,对应用系统重要安全事件进行审计,审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等;
•等级保护第三级以上系统,应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
•等级保护第三级以上系统,应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
(4)通信完整性和保密性。具体包括:
•应采用校验码技术,等级保护第三级以上系统,需要采用密码技术或其他等效手段保证通信过程中数据的完整性;
•在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证,等级保护第三级以上系统,应对通信过程中的整个报文或会话过程进行加密,保证通信过程中数据的保密性。
(5)剩余信息保护。具体包括:
•等级保护第三级以上系统,应保证用户鉴别信息所在存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
•等级保护第三级以上系统,应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
(6)抗抵赖。等级保护第三级以上系统,应采用数字签名或其他等效手段,为数据原发者或接收者提供数据原发证据和数据接收证据。
(7)软件容错。具体包括:
•应提供数据有效性检验功能,保证通过人机接口或通信接口输入的数据格式或长度符合系统设定要求;
•等级保护第三级以上系统,应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
(8)资源控制。具体包括:
•应用系统应具备会话超时断开、最大并发连接数限制和单点登录控制功能;
•应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源。
24.9.5数据备份与灾难恢复
数据备份与灾难恢复方面的关键技术要求如下:
(1)数据完整性。具体包括:
•应检测出系统管理数据、鉴别信息在传输过程中完整性是否受到破坏,等级保护第三级以上系统,还应对重要业务数据进行检测,并在检测到完整性错误时采取必要的恢复措施;
•应检测出系统管理数据、鉴别信息在存储过程中完整性是否受到破坏,等级保护第三级以上系统,还应对重要业务数据进行检测,并在检测到完整性错误时采取必要的恢复措施。
(2)数据保密性。具体包括:
•应采用加密或其他保护措施实现鉴别信息的存储保密性,等级保护第三级以上系统,还应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;
•应采用加密或其他保护措施实现鉴别信息的传输保密性,等级保护第三级以上系统,还应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。
(3)备份和恢复。具体包括:
•应能够对重要信息进行备份和恢复,等级保护第三级以上系统,应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;
•等级保护第三级以上系统,应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
•应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性,等级保护第三级以上系统,应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;
•等级保护第三级以上系统,应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障。
576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
