第24章信息安全监理
在当前数字化时代,信息安全已成为各类信息系统工程建设项目不可忽视的一个重要环节,信息安全问题关系到系统稳定、数据保密和用户信任等关键因素。信息安全监理人员需要关注信息安全政策与法规、风险评估与防范措施、安全技术及工具、应急响应能力等,帮助业主单位及承建单位提高信息安全意识,采取有效措施确保信息系统的安全性与可靠性。
本章主要介绍信息安全监理服务过程中的关键监理活动、内容、要点和标志性成果等。在监理活动方面,重点关注安全及密码设备的到货验收、安全检查指导、安全风险评估、安全整改和加固过程的监督以及网络安全等级保护测评和商用密码应用安全评估过程的跟踪,同时参与审查信息安全相关技术方案和相关文档。监理内容主要聚焦于信息安全监理的检查、审核、跟踪、测试、监督、评估和培训等实践活动。而监理要点则更多地描述了每项具体工作是否达到初步设计预定的信息安全目标,以及具体指标是否通过了等级保护测评和商用密码应用安全评估。此外,还需关注测评和评估中发现的不符合项是否完成了必要的信息安全整改。至于标志性成果,则对应于信息安全管理和实施的管理程序、审查安全方案和相关文件的监理专题报告、网络安全等级保护测评报告以及商用密码应用安全评估报告。
24.1概述
为规范网络安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进党政机关、企事业单位信息系统规范建设,信息安全监理依据当前网络安全等级保护、涉密信息系统分级保护、商用密码安全应用、关键信息基础设施保护相关要求,参照监理规范,遵循监理合同,协助业主单位识别风险、分析差距、审核承建单位的安全技术方案、配合专业第三方机构开展专业测评工作,根据测评结果组织承建单位对系统进行加固,确保信息安全强制性国家标准和行业标准在项目实施过程中得到严格落实。
24.1.1基本概念
1.信息系统
应用、服务、信息技术资产或其他信息处理组件。
2.网络安全
通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3.信息安全工程
为确保信息系统的保密性、完整性、可用性等目标而进行的系统实施过程,包括信息系统工程(含云服务类的信息系统)建设和运维阶段的安全集成。
4.信息安全监理
依据信息安全方面的标准和要求,在工程建设各阶段向业主单位提供相关咨询,并协助业主单位对承建单位在工程建设中的信息安全实施服务实施控制和管理的一种专业化服务活动,信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。
5.网络安全等级保护
国家通过制定统一的网络安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
公安机关负责网络安全等级保护工作的监督、检查、指导。
6.等级保护基本原则
自主保护原则、重点保护原则、同步建设原则、动态调整原则。
7.等级保护实施基本流程
等级保护实施基本流程包括等级保护对象定级与备案阶段,总体安全规划阶段,安全设计与实施阶段,安全运行与维护阶段和定级对象终止阶段。
8.涉密信息系统分级保护
依据国家网络安全等级保护的基本要求,对存储、处理国家秘密的计算机信息系统按照涉密程度实行分级保护。按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
涉密信息系统分级保护有特定程序要求,本教材不涉及涉密信息系统建设及监理内容。
9.密码
密码是指按特定法则编成,用以对通信双方的信息进行明密变换的符号,是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息,但这部分信息是可以再加工并恢复的,也是可以破解的。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
10.商用密码
商用密码是指采用特定变换的方法对不属于国家秘密的信息进行加密保护、安全认证的技术、产品和服务。
国家密码管理部门负责管理全国的商用密码工作。县级以上各级密码管理部门负责管理本行政区域的商用密码工作。国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作。
11.商用密码应用系统
采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
12.商用密码应用安全性评估
由国家密码管理部门认定的密码测评机构在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。
13.关键信息基础设施
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
在国家网信办统筹协调下,国务院公安部门负责指导、监督关键信息基础设施的安全保护工作。
14.关键信息基础设施安全保护
关键信息基础设施安全保护包括分析识别、安全保护、检测评估、监测预警、主动防御、事件处置六个方面。
24.1.2信息安全建设阶段划分及监理任务
按照信息安全系统的建设过程,信息安全监理划分为规划设计阶段监理、招标阶段监理、深化设计阶段监理、实施阶段监理、测试评估阶段监理、验收阶段监理。监理机构在各阶段都有明确的监理任务,如表24-1所示。
24.2规划设计阶段监理工作
本节重点介绍监理单位在信息安全系统的规划设计阶段需要执行的监理活动和主要监理内容。
业主单位在规划设计项目时,应遵循相关法律法规要求,满足等级保护、商用密码应用、关键信息基础设施保护等方面的要求。监理机构可以通过向业主单位提供规划设计咨询监理服务,协助业主单位完成相关信息安全方案,实现如下监理目标:
(1)建议并协助业主单位在规划设计阶段开展风险评估;
(2)协助业主单位明确信息系统工程的安全目标;
(3)协助业主单位确定信息系统工程的安全需求;
(4)协助业主单位申报信息系统工程安全保护等级手续。
24.2.1监理活动
信息安全系统规划设计阶段的主要监理活动如下:
(1)促使业主单位充分考虑信息系统工程的信息安全规划和设计;
(2)建议业主单位基于业务开展风险评估工作;
(3)协助业主单位根据系统的安全风险、法律法规和政策的约束,确定信息系统工程的安全目标和安全需求;
(4)检查业主单位提出的安全需求与安全目标是否一致,与国家和地方的信息安全法律、法规、政策、标准是否符合;
(5)审核信息安全设计方案中涉及网络安全等级保护、商用密码应用系统建设、关键信息基础设施保护的内容;
(6)协助业主单位制定信息安全管理制度,开展或完善安全体系建设;
(7)如适用,宜协助业主单位依据国家等级保护相关标准,确定信息安全保护等级,协助业主单位完成信息系统定级及备案工作;
(8)如适用,宜协助业主单位按照相关规定完成信息安全方案评估工作,评估结果作为项目规划立项的重要依据和申报资金的必备材料;
(9)配合业主单位按相关规定完成立项文件编制及送审工作,并及时获得相关管理部门的批复意见。
24.2.2监理内容
监理机构应组织业主单位和相关供应商进行充分沟通,分析原有系统的脆弱性及面临的安全威胁,形成完整安全需求,为网络安全等级保护方案编制、商用密码应用系统建设方案编制、关键信息基础设施保护打下坚实基础。监理机构应对各安全建设方案的完整性、合规性、针对性进行审核。
1.安全风险评估
监理机构应从如下方面对业主单位的风险评估工作提出建议:
(1)对预期的信息系统展开全方位的风险评估,应包括:
•信息系统基本情况分析;
•信息系统基本安全状况调查;
•信息系统安全组织;
•信息系统弱点漏洞分析;
•政策情况分析等。
(2)确定预期信息系统的资产,并明确资产的价值。资产包括:信息资产、纸质文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。
(3)对预期信息系统进行细致周密的脆弱性和威胁分析,发现它的脆弱点及所引发的威胁被利用后所造成的损失等。
(4)对风险进行优先级排序,并形成安全措施需求清单。
(5)如适用,建立与业务战略相一致的安全规划,制定总体的安全方针,并得到最高管理者的认可。
2.安全需求确定
监理机构应从如下方面协助业主单位确定需求:
(1)协助业主单位通过风险评估,明确信息系统工程建设的安全目标,从安全目标导出安全需求;
(2)应检查业主单位提出的安全需求与安全目标的一致性,与国家和地方信息安全法律法规、标准和政策的符合性;
(3)如适用,监理机构宜检查信息系统工程的项目建议书、可行性研究报告、初步设计方案是否包含明确的安全需求。
3.网络安全等级保护方案的审核
监理机构应配合业主单位、安全供应商完成定级备案程序。定级备案具体工作内容包括:
等级保护对象分析,定级对象确定,确定安全保护等级,对定级结果进行评审、审核和核查, 形成定级报告,完成定级结果备案。
监理机构应协助业主单位、安全供应商完成总体安全规划工作。总体安全规划的目标是根据等级保护对象的划分情况、等级保护对象的定级情况、等级保护对象承载业务情况,通过分析明确等级保护对象安全需求,设计合理的、满足等级保护要求的总体安全方案,并制订出安全实施计划,以指导后续的等级保护对象安全建设工程实施。总体安全规划阶段的工作流程包括安全需求分析、总体安全设计、安全建设项目规划。
(1)进行安全需求分析,形成需求分析报告。需求分析包括基本安全需求分析、特殊安全需求分析。
①基本安全需求分析。
全面了解等级保护对象的业务应用、业务流程情况,明确不同等级的等级保护对象的范围和边界。根据各个等级保护对象的安全保护等级,从GB/T22239《信息安全技术网络安全等级保护基本要求》、行业基本要求中选择相应等级的要求,形成基本安全需求。对于已建等级保护对象,应根据原等级测评结果分析整改需求,形成基本安全需求。
②特殊安全需求分析。
通过分析重要资产的特殊保护要求,采用需求分析或风险分析的方法,确定可能的安全风险,判断实施特殊安全措施的必要性,提出等级保护对象的特殊安全保护需求,包括:
•重要资产分析:明确等级保护对象中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器、重要应用系统等。
•重要资产安全弱点评估:检查或判断上述重要部件可能存在的弱点(包括技术和管理两方面),分析安全弱点被利用的可能性。
•重要资产面临威胁评估:分析和判断上述重要部件可能面临的威胁,包括外部、内部的威胁、威胁发生的可能性或概率。
•综合风险分析:分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。
•总结基本安全需求和特殊安全需求,形成安全需求报告。
(1)开展总体安全设计,形成总体安全设计方案。
①总体安全策略设计。
根据等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告,形成机构纲领性的安全策略文件。包括确定安全方针,制定安全策略,形成总体安全策略文件,以便结合等级保护基本要求系列标准、行业基准要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。
②安全技术体系结构设计。
根据总体安全策略文件、等级保护对象详细描述文件、安全保护等级定级报告、安全需求分析报告,结合GB/T22239《信息安全技术网络安全等级保护基本要求》以及行业基本要求,完成安全技术体系结构设计。包括:安全技术体系架构设计,规定不同级别定级对象物理环境的安全保护技术措施,规定通信网络的安全保护技术措施,规定不同级别定级对象的边界保护技术措施,规定定级对象之间互连的安全技术措施,规定不同级别定级对象内部的安全保护技术措施,规定云计算、移动互联等新技术的安全保护技术措施,形成等级保护对象安全技术体系结构。
③整体安全管理体系结构设计。
等级保护对象安全管理体系框架分为四层,如图24-1所示。第一层为总体方针、安全策略,通过网络安全总体方针、安全策略明确机构网络安全工作的总体目标、范围、原则等。第二层为网络安全管理制度,通过对网络安全活动中的各类内容建立管理制度,约束网络安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范网络安全管理制度的具体技术实现细节。第四层为记录、表单,包括网络安全管理制度、操作规程实施时需填写和需保留的表单、操作记录。
④形成等级保护对象总体安全设计方案。具体包括:
•等级保护对象概述;
•总体安全策略;
•等级保护对象安全技术体系结构;
•等级保护对象安全管理体系结构。
(3)开展安全建设项目规划,形成安全建设项目规划方案。
①安全建设目标确定。
依据等级保护对象安全总体方案(一个或多个文件构成)、单位信息化建设的中长期发展规划和安全建设资金状况,确定各个时期的安全建设目标。
②安全建设内容规划。
根据安全建设目标和等级保护对象总体安全设计方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同项目,阐明项目间的依赖或促进关系等。具体包括:
•安全基础设施建设;
•网络安全建设;
•系统平台和应用平台安全建设;
•数据系统安全建设;
•安全标准体系建设;
•人才培养体系建设;
•安全管理体系建设;
•确定主要安全建设项目
③形成安全建设项目规划方案。
根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分解到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目规划。具体包括:
•规划建设的依据和原则;
•规划建设的目标和范围;
•等级保护对象安全现状;
•信息化的中长期发展规划;
•等级保护对象安全建设的总体框架;
•安全技术体系建设规划;
•安全管理与安全保障体系建设规划;
•等级保护对象安全建设的实施保障。
④形成安全建设详细设计方案。
监理机构协助业主单位、安全供应商完成安全方案详细设计工作。具体包括:
•技术措施实施方案的设计。
最低0.47元/天 解锁文章
扫一扫
975
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
