一、等级保护体系设计的主要工作要求
等级保护体系设计的主要工作要求包括:
(1)等级保护体系设计应包含技术和管理两方面的内容;
(2)等级保护体系设计不仅应满足国家相应保护等级的要求,还应满足所在行业和领域的相应保护等级的要求;
(3)运营者应在等级保护体系设计结束后,形成设计文档;
(4)等级保护体系设计过程中,若有变更,应执行变更管理;
(5)如委托外部机构协助开展等级保护体系设计工作的,应与外部机构签订保密协议。
二、等级保护体系设计的基础准备工作
运营者在开始设计网络安全等级保护体系前,应首先完成等级保护对象的定级备案、安全需求分析等工作。其中:
(1)等级保护对象的定级备案:确定等级保护对象的安全保护等级,以指导等级保护体系设计时对标相应级别的安全保护要求。感兴趣的读者可参考《浅谈如何规范开展等级保护定级和备案工作》一文。
(2)等级保护对象的安全需求分析:对标相应保护保护等级的安全保护要求明确运营者的网络安全等级保护需求,以在后续的等级保护体系设计时,采取有针对性的等级保护措施。感兴趣的读者可参考《浅谈如何规范有序地开展网络安全需求分析》。
三、等级保护体系设计主要过程
在完成等级保护体系设计的基础准备工作之后,正式开始等级保护体系的设计过程。等级保护体系设计主要过程如下:
3.1 确定实现目标
设计网络安全等级保护体系时,运营者应结合本单位实际情况,首先确定开展网络安全等级保护体系的设计目标,以明确后续网络安全等级保护体系的建设任务、建设内容等。
实现目标可分为总体目标和详细目标。其中:
(1)总体目标即等级保护体系设计要达到的总体安全保护目标。
(2)详细目标可以根据项目分期、分阶段等确定具体目标。例如:
——运营者可将总体目标分解为等级保护对象各阶段的具体安全目标,如开发建设阶段目标、运行维护阶段目标等。
——等级保护体系设计要完成的内容以项目形式分解到若干时期实现时,总体目标可分解为各项目的实现目标。
3.2 明确设计原则、依据和思路
确定实现目标后,运营者应明确遵循的设计原则、依据和思路。
3.2.1 明确设计原则
一般而言,设计原则应体现自主保护、分区分域、重点保护、适度安全、“三同步”、动态调整、技术管理并重、标准性、成熟性、科学性、合理性、保密性等内容。
3.2.2 明确设计依据
设计依据应包含国家和行业的网络安全等级保护相关的政策、法律法规、标准规范以及系统集成、安全开发等方面的工程规范。
3.2.3 明确设计思路
设计思路是指导总体及后续详细设计的灵魂,一般而言,应把握以下几点:
(1)构建分域的控制体系
按照分域保护思路设计安全体系架构,从结构上划分为不同的安全区域,以安全区域为单位进行安全防护技术措施的建设,各个安全区域内部还可根据安全需求的不同进一步划分子安全域和三级安全域。子安全域和三级安全域的边界也采用与一级安全域相同的边界安全防护措施,从而构成了分域的安全控制体系。
(2)构建纵深的防御体系
按照纵深防御思路设计安全体系架构,纵深防御体系根据“一个中心”管理下的“三重保护”体系框架进行设计,从物理环境安全防护、通信网络安全防护、网络边界安全防护、计算环境安全防护(主机设备安全防护/应用和数据安全防护)进行安全技术和措施的设计,以及通过安全管理中心对整个等级保护对象实施统一的安全技术管理。充分考虑各种技术的组合和功能的互补性,提供多重安全措施的综合防护能力,从外到内形成纵深防御体系。
(3)保证一致的安全强度
对于部署于同一安全区域的等级保护对象采取强度一致的安全措施,并采取统一的防护策略(低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则),使各安全措施在作用和功能上相互补充,形成动态的防护体系。
3.3 安全域划分设计
一般而言,对等级保护对象进行安全保护时,不是对整个等级保护对象进行同一等级的保护,而是对等级保护对象内不同业务区域进行不同等级的保护。因此,安全域划分是进行网络安全等级保护的重要环节。
安全域是指同一系统内根据信息性质、使用主体、安全目标和策略等元素的不同来划分不同逻辑子网,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域内具有相互信任关系,同一安全域共享同样的安全策略。简单来说,安全域是指具有相同或相近的安全需求、相互信任的网络区域或网络实体的集合。
3.3.1 安全域划分原则
安全域划分的基本原则如下:
3.3.2 安全域划分方式
安全域划分需考虑网络中业务系统访问终端与业务主机的访问关系以及业务主机间的访问关系。若业务主机间没有任何访问关系,则单独考虑各业务系统安全域的划分;若业务主机间有访问关系,则几个业务系统一起考虑安全域的划分。
一个物理网络区域可以对应多个安全区域,而一个安全区域一般只对应一个物理网络区域。
3.3.3 局域网安全域划分
局域网内部安全域划分是安全域划分的重点,可以依据业务的安全策略进行划分,主要参考在各业务的业务功能、安全等级以及局域网网络结构三方面因素。
(1)根据业务功能特点划分
不改变当前业务逻辑,可以使用两级三层结构进行划分:
(2)根据安全等级要求划分
网络安全等级保护是通过安全域划分将信息系统划分为多个子系统。实施等级保护时,一定会落实到每一个安全域中去。
等级保护的对象其实是安全域。在重要信息系统进行网络安全等级保护定级工作后,将相同安全等级的应用业务系统部署在相同的安全域。
(3)根据VLAN划分
局域网内部安全域划分的技术基础是VLAN。同一个VLAN内部的成员可以视为具有相同安全策略的对象,相互信任。VLAN边界可以视为网络边界,在VLAN之间使用相应的安全策略,便实现了简单的安全域划分。
3.3.4 安全域划分的隔离措施
安全域进行划分后主要采用边界隔离、边界访问控制等技术手段,将不同安全域的网络依据不同安全策略,实施必要的安全技术措施。
VLAN逻辑隔离是在同一台交换机内,建立不同的VLAN,承载不同的安全域。此方法对于现有网络支持较好,易于实施,但网络安全风险较大。
IP逻辑隔离是在VLAN逻辑隔离的基础上,不同安全域使用不同IP子网地址,实现数据链路层隔离和网络层隔离。此方式对现有网络改动较大,网络安全风险一般。
物理隔离是不同安全域完全使用单独网络基础设施,包括网线、交换机、路由器等设备,并且相互间没有任何逻辑或物理连接。此方式投资相对较大,对现有网络改动很大,但网络安全风险最小。
3.3.5 安全域划分后的安全技术措施
安全域划分最主要的目的是落实安全策略,由于安全域边界通常是基于网络划分,所以通常的方式是,在管理层面根据安全策略制定制度和要求,技术层面通过部署安全设备,使用相应的安全技术,实现安全域划分后的安全要求。
3.3.6 安全域划分示例
某运营者根据安全域划分的原则和一般划分方式,将本单位的安全域做出如下表的等级划分:
3.4 确定各安全域的保护强度
根据等级保护对象的定级情况和安全域划分情况,分别确定各安全域的防护强度。例如:
某运营者划分了“核心域”用来统一部署核心的业务系统,核心的业务系统的保护等级被定为三级,则“核心域”确定按照第三级保护等级要求设计防护强度。
3.5 设计安全技术体系
运营者在实现安全域合理划分、确定各安全域的保护强度的基础上,进行等级保护安全技术体系设计。
3.5.1 安全技术体系架构设计
由于不同运营者的具体目标不同、使用技术不同、应用场景不同等因素,等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包括采用移动互联等技术的系统),云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。
由于形态不同的等级保护对象面临的威胁有所不同,安全保护需求也有所差异,为了便于描述实现对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护,基于通用和特定应用场景说明等级保护安全技术体系设计。其中:
(1)通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现,都应根据安全保护等级,实现相应级别的安全技术要求。
(2)特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出,针对特定应用场景,实现相应网络安全保护级别的安全技术要求。
安全技术体系架构由从外到内的纵深防御体系构成。
纵深防御体系根据等级保护的体系框架设计。
其中:
(1)“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏;
(2)“通信网络安全防护”保护暴露于外部的通信线路和通信设备;
(3)“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则;
(4)“计算环境安全防护”即内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”。
(5)“安全管理中心”对整个等级保护对象实施统一的安全技术管理。
等级保护对象的安全技术体系架构见下图:
(1)规定不同级别定级对象的物理环境的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出不同级别定级对象物理环境的安全保护策略和安全技术措施。定级对象物理环境安全保护策略和安全技术措施提出时应考虑不同级别的定级对象共享物理环境的情况。如果不同级别的定级对象共享同一物理环境,物理环境的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
(2)规定不同级别定级对象的通信网络的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出通信网络的安全保护策略和安全技术措施。通信网络的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况。如果不同级别的定级对象通过通信网络的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
(3)规定不同级别定级对象的网络边界保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出不同级别定级对象的网络边界的安全保护策略和安全技术措施。如果不同级别的定级对象共享同一设备进行边界保护,则该边界设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
(4)规定不同级别定级对象的内部安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出不同级别定级对象内部网络平台、系统平台、业务应用和数据的安全保护策略和安全技术保护措施。如果低级别定级对象部署在高级别定级对象的网络区域,则低级别定级对象的系统平台、业务应用和数据的安全保护策略和安全技术措施应满足高级别定级对象的等级保护基本要求。
(5)规定定级对象之间互联的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出跨局域网互联的定级对象之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等,提出局域网内部互联的定级对象之间的信息传输保护策略要求和具体的安全技术保护措施,包括同级互联的策略、不同级别互联的策略等。
(6)规定云计算、移动互联等新技术的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出云计算、移动互联等新技术的安全保护策略和安全技术措施。云计算平台应至少满足其承载的最高级别定级对象的等级保护其本要求。
将骨干网或城域网、通过骨干网或城域网的定级对象互联、局域网内部的定级对象互联、定级对象的边界、定级对象内部各类平台,机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成等级保护对象的安全技术体系结构。
3.5.2 提出实现等级保护技术体系的安全技术措施
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出等级保护对象需要实现的安全技术措施,形成运营者特定的等级保护对象安全技术体系架构,用以指导等级保护的具体实现。
将安全技术体系中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范。
对于新建的等级保护对象,运营者可根据网络安全相应等级保护要求提出的安全控制点内容进行逐项安全技术措施的设计。
对于改建、扩建等级保护对象的,运营者可根据网络安全相应等级保护要求提出的安全控制点内容,对等级保护对象新增或改变的部分进行安全技术措施的设计。
运营者从安全物理环境、安全区域边界、安全通信网络、安全计算环境(主机安全/应用和数据安全)、安全管理中心五个方面进行详细设计,提出具体应采用的安全技术措施。例如:
——网络安全等级保护第三级安全通用要求的“安全区域边界”的“访问控制”提出以下要求:
基于如上要求,运营者根据本单位实际情况,设计使用防火墙做如下部署:
设计使用防火墙做如下策略配置:
3.6 设计安全管理体系
运营者根据安全保护相应等级对安全管理制度的要求,结合本单位实际情况,设计安全管理体系。
安全管理体系由安全策略、安全管理制度、操作规程、记录表单等构成。
一般而言,安全管理体系设计包括设计方法,体系框架设计,内容设计,安全管理制度的制修订、评审、发布、执行、检查与废弃工作机制设计等内容。
感兴趣的读者可参考《浅谈关键信息基础设施运营者如何制修订安全管理制度》一文。
3.7 设计安全组织体系
根据网络安全保护相应等级对安全组织的要求,结合本单位实际情况,设计安全组织体系。
一般而言,安全组织设计包括组织机构、岗位及职责设计、安全从业人员管理工作机制设计等内容。具体而言:
(1)根据安全组织体系设计提出的设计内容,对岗位职责设计不合理的,明确应如何重塑职责;
(2)缺乏相应岗位的,明确应新设哪些岗位,相应的职责内容以及可能存在的岗位重组情况;
(3)从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面详细设计安全从业人员的管理工作机制。
感兴趣的读者可参考《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文。
3.8 梳理等级保护建设清单
根据安全技术体系、安全管理体系、安全组织体系具体实现所需要的各项建设内容,梳理形成建设清单。
3.9 形成项目分期规划
等级保护是系统工程,涉及政策、预算、技术、管理、人才、资源等多方面因素,在开展等级保护相关工作时,运营者可能无法“毕其功于一役”完成一系列保护措施的落地与执行。因此,运营者应通过项目形式科学、合理、务实的分期分批开展等级保护对象保护相关工作。
等级保护建设项目规划的主要步骤包括:确定项目分期目标、规划项目分期建设内容以及形成项目分期规划。
(1)确定项目分期目标
运营者结合本单位网络安全和信息化建设的中长期发展规划,网络安全建设的预算投入、资金状况,待解决安全问题的优先级等因素,综合确定项目分期的安全实现目标。
(2)规划项目分期建设内容
运营者在制定项目分期目标后,可根据项目分期目标和建设清单,规划分期分批的主要建设内容,并将建设内容根据实际需要组合成不同的项目,同时阐明项目之间的依赖或促进关系等,以指导分期建设项目的持续推进和加强对分期建设项目的管理。
(3)形成项目分期规划
运营者根据项目分期目标和建设内容,结合时间、解决问题的优先级和预算经费等情况,对建设清单进行总体考虑,将建设清单分配到不同的时期和阶段,统筹安排建设顺序,进行投资估算。
运营者梳理项目分期目标、建设内容等文档,形成等级保护对象项目分期规划。
3.10 分析预期建设成效
按照等级保护体系设计,分析按项目分期建设完成后的预期建设成效,包括社会效益、经济效益等。