一、等级保护体系设计的主要工作要求
等级保护体系设计的主要工作要求包括:
(1)等级保护体系设计应包含技术和管理两方面的内容;
(2)等级保护体系设计不仅应满足国家相应保护等级的要求,还应满足所在行业和领域的相应保护等级的要求;
(3)运营者应在等级保护体系设计结束后,形成设计文档;
(4)等级保护体系设计过程中,若有变更,应执行变更管理;
(5)如委托外部机构协助开展等级保护体系设计工作的,应与外部机构签订保密协议。
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
二、等级保护体系设计的基础准备工作
运营者在开始设计网络安全等级保护体系前,应首先完成等级保护对象的定级备案、安全需求分析等工作。其中:
(1)等级保护对象的定级备案:确定等级保护对象的安全保护等级,以指导等级保护体系设计时对标相应级别的安全保护要求。感兴趣的读者可参考《浅谈如何规范开展等级保护定级和备案工作》一文。
(2)等级保护对象的安全需求分析:对标相应保护保护等级的安全保护要求明确运营者的网络安全等级保护需求,以在后续的等级保护体系设计时,采取有针对性的等级保护措施。感兴趣的读者可参考《浅谈如何规范有序地开展网络安全需求分析》。
三、等级保护体系设计主要过程
在完成等级保护体系设计的基础准备工作之后,正式开始等级保护体系的设计过程。等级保护体系设计主要过程如下:
3.1 确定实现目标
设计网络安全等级保护体系时,运营者应结合本单位实际情况,首先确定开展网络安全等级保护体系的设计目标,以明确后续网络安全等级保护体系的建设任务、建设内容等。
实现目标可分为总体目标和详细目标。其中:
(1)总体目标即等级保护体系设计要达到的总体安全保护目标。
(2)详细目标可以根据项目分期、分阶段等确定具体目标。例如:
——运营者可将总体目标分解为等级保护对象各阶段的具体安全目标,如开发建设阶段目标、运行维护阶段目标等。
——等级保护体系设计要完成的内容以项目形式分解到若干时期实现时,总体目标可分解为各项目的实现目标。
3.2 明确设计原则、依据和思路
确定实现目标后,运营者应明确遵循的设计原则、依据和思路。
3.2.1 明确设计原则
一般而言,设计原则应体现自主保护、分区分域、重点保护、适度安全、“三同步”、动态调整、技术管理并重、标准性、成熟性、科学性、合理性、保密性等内容。
3.2.2 明确设计依据
设计依据应包含国家和行业的网络安全等级保护相关的政策、法律法规、标准规范以及系统集成、安全开发等方面的工程规范。
3.2.3 明确设计思路
设计思路是指导总体及后续详细设计的灵魂,一般而言,应把握以下几点:
(1)构建分域的控制体系
按照分域保护思路设计安全体系架构,从结构上划分为不同的安全区域,以安全区域为单位进行安全防护技术措施的建设,各个安全区域内部还可根据安全需求的不同进一步划分子安全域和三级安全域。子安全域和三级安全域的边界也采用与一级安全域相同的边界安全防护措施,从而构成了分域的安全控制体系。
(2)构建纵深的防御体系
按照纵深防御思路设计安全体系架构,纵深防御体系根据“一个中心”管理下的“三重保护”体系框架进行设计,从物理环境安全防护、通信网络安全防护、网络边界安全防护、计算环境安全防护(主机设备安全防护/应用和数据安全防护)进行安全技术和措施的设计,以及通过安全管理中心对整个等级保护对象实施统一的安全技术管理。充分考虑各种技术的组合和功能的互补性,提供多重安全措施的综合防护能力,从外到内形成纵深防御体系。
(3)保证一致的安全强度
对于部署于同一安全区域的等级保护对象采取强度一致的安全措施,并采取统一的防护策略(低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则),使各安全措施在作用和功能上相互补充,形成动态的防护体系。
3.3 安全域划分设计
一般而言,对等级保护对象进行安全保护时,不是对整个等级保护对象进行同一等级的保护,而是对等级保护对象内不同业务区域进行不同等级的保护。因此,安全域划分是进行网络安全等级保护的重要环节。
安全域是指同一系统内根据信息性质、使用主体、安全目标和策略等元素的不同来划分不同逻辑子网,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域内具有相互信任关系,同一安全域共享同样的安全策略。简单来说,安全域是指具有相同或相近的安全需求、相互信任的网络区域或网络实体的集合。
3.3.1 安全域划分原则
安全域划分的基本原则如下:
3.3.2 安全域划分方式
安全域划分需考虑网络中业务系统访问终端与业务主机的访问关系以及业务主机间的访问关系。若业务主机间没有任何访问关系,则单独考虑各业务系统安全域的划分;若业务主机间有访问关系,则几个业务系统一起考虑安全域的划分。
一个物理网络区域可以对应多个安全区域,而一个安全区域一般只对应一个物理网络区域。
3.3.3 局域网安全域划分
局域网内部安全域划分是安全域划分的重点,可以依据业务的安全策略进行划分,主要参考在各业务的业务功能、安全等级以及局域网网络结构三方面因素。
(1)根据业务功能特点划分
不改变当前业务逻辑,可以使用两级三层结构进行划分:
(2)根据安全等级要求划分
网络安全等级保护是通过安全域划分将信息系统划分为多个子系统。实施等级保护时,一定会落实到每一个安全域中去。
等级保护的对象其实是安全域。在重要信息系统进行网络安全等级保护定级工作后,将相同安全等级的应用业务系统部署在相同的安全域。
(3)根据VLAN划分
局域网内部安全域划分的技术基础是VLAN。同一个VLAN内部的成员可以视为具有相同安全策略的对象,相互信任。VLAN边界可以视为网络边界,在VLAN之间使用相应的安全策略,便实现了简单的安全域划分。
3.3.4 安全域划分的隔离措施
安全域进行划分后主要采用边界隔离、边界访问控制等技术手段,将不同安全域的网络依据不同安全策略,实施必要的安全技术措施。
VLAN逻辑隔离是在同一台交换机内,建立不同的VLAN,承载不同的安全域。此方法对于现有网络支持较好,易于实施,但网络安全风险较大。
IP逻辑隔离是在VLAN逻辑隔离的基础上,不同安全域使用不同IP子网地址,实现数据链路层隔离和网络层隔离。此方式对现有网络改动较大,网络安全风险一般。
物理隔离是不同安全域完全使用单独网络基础设施,包括网线、交换机、路由器等设备,并且相互间没有任何逻辑或物理连接。此方式投资相对较大,对现有网络改动很大,但网络安全风险最小。
3.3.5 安全域划分后的安全技术措施
安全域划分最主要的目的是落实安全策略,由于安全域边界通常是基于网络划分,所以通常的方式是,在管理层面根据安全策略制定制度和要求,技术层面通过部署安全设备,使用相应的安全技术,实现安全域划分后的安全要求。
3.3.6 安全域划分示例
某运营者根据安全域划分的原则和一般划分方式,将本单位的安全域做出如下表的等级划分:
3.4 确定各安全域的保护强度
根据等级保护对象的定级情况和安全域划分情况,分别确定各安全域的防护强度。例如:
——某运营者划分了“核心域”用来统一部署核心的业务系统,核心的业务系统的保护等级被定为三级,则“核心域”确定按照第三级保护等级要求设计防护强度。
3.5 设计安全技术体系
运营者在实现安全域合理划分、确定各安全域的保护强度的基础上,进行等级保护安全技术体系设计。
3.5.1 安全技术体系架构设计
由于不同运营者的具体目标不同、使用技术不同、应用场景不同等因素,等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包括采用移动互联等技术的系统),云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。
由于形态不同的等级保护对象面临的威胁有所不同,安全保护需求也有所差异,为了便于描述实现对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护,基于通用和特定应用场景说明等级保护安全技术体系设计。其中:
(1)通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现,都应根据安全保护等级,实现相应级别的安全技术要求。
(2)特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出,针对特定应用场景,实现相应网络安全保护级别的安全技术要求。
安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系框架设计。
其中:
(1)“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏;
(2)“通信网络安全防护”保护暴露于外部的通信线路和通信设备;
(3)“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则;
(4)“计算环境安全防护”即内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”。
(5)“安全管理中心”对整个等级保护对象实施统一的安全技术管理。
等级保护对象的安全技术体系架构见下图:
(1)规定不同级别定级对象的物理环境的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出不同级别定级对象物理环境的安全保护策略和安全技术措施。定级对象物理环境安全保护策略和安全技术措施提出时应考虑不同级别的定级对象共享物理环境的情况。如果不同级别的定级对象共享同一物理环境,物理环境的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
(2)规定不同级别定级对象的通信网络的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出通信网络的安全保护策略和安全技术措施。通信网络的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况。如果不同级别的定级对象通过通信网络的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
(3)规定不同级别定级对象的网络边界保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出不同级别定级对象的网络边界的安全保护策略和安全技术措施。如果不同级别的定级对象共享同一设备进行边界保护,则该边界设备的安全保护策略和安全技术措施应满足最高级别定级对象的等级保护基本要求。
(4)规定不同级别定级对象的内部安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出不同级别定级对象内部网络平台、系统平台、业务应用和数据的安全保护策略和安全技术保护措施。如果低级别定级对象部署在高级别定级对象的网络区域,则低级别定级对象的系统平台、业务应用和数据的安全保护策略和安全技术措施应满足高级别定级对象的等级保护基本要求。
(5)规定定级对象之间互联的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出跨局域网互联的定级对象之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等,提出局域网内部互联的定级对象之间的信息传输保护策略要求和具体的安全技术保护措施,包括同级互联的策略、不同级别互联的策略等。
(6)规定云计算、移动互联等新技术的安全保护技术措施
运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出云计算、移动互联等新技术的安全保护策略和安全技术措施。云计算平台应至少满足其承载的最高级别定级对象的等级保护其本要求。
将骨干网或城域网、通过骨干网或城域网的定级对象互联、局域网内部的定级对象互联、定级对象的边界、定级对象内部各类平台,机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成等级保护对象的安全技术体系结构。
3.5.2 提出实现等级保护技术体系的安全技术措施
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出等级保护对象需要实现的安全技术措施,形成运营者特定的等级保护对象安全技术体系架构,用以指导等级保护的具体实现。
将安全技术体系中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范。
对于新建的等级保护对象,运营者可根据网络安全相应等级保护要求提出的安全控制点内容进行逐项安全技术措施的设计。
对于改建、扩建等级保护对象的,运营者可根据网络安全相应等级保护要求提出的安全控制点内容,对等级保护对象新增或改变的部分进行安全技术措施的设计。
运营者从安全物理环境、安全区域边界、安全通信网络、安全计算环境(主机安全/应用和数据安全)、安全管理中心五个方面进行详细设计,提出具体应采用的安全技术措施。例如:
——网络安全等级保护第三级安全通用要求的“安全区域边界”的“访问控制”提出以下要求:
基于如上要求,运营者根据本单位实际情况,设计使用防火墙做如下部署:
设计使用防火墙做如下策略配置:
3.6 设计安全管理体系
运营者根据安全保护相应等级对安全管理制度的要求,结合本单位实际情况,设计安全管理体系。
安全管理体系由安全策略、安全管理制度、操作规程、记录表单等构成。
一般而言,安全管理体系设计包括设计方法,体系框架设计,内容设计,安全管理制度的制修订、评审、发布、执行、检查与废弃工作机制设计等内容。
感兴趣的读者可参考《浅谈关键信息基础设施运营者如何制修订安全管理制度》一文。
3.7 设计安全组织体系
根据网络安全保护相应等级对安全组织的要求,结合本单位实际情况,设计安全组织体系。
一般而言,安全组织设计包括组织机构、岗位及职责设计、安全从业人员管理工作机制设计等内容。具体而言:
(1)根据安全组织体系设计提出的设计内容,对岗位职责设计不合理的,明确应如何重塑职责;
(2)缺乏相应岗位的,明确应新设哪些岗位,相应的职责内容以及可能存在的岗位重组情况;
(3)从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面详细设计安全从业人员的管理工作机制。
感兴趣的读者可参考《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文。
3.8 梳理等级保护建设清单
根据安全技术体系、安全管理体系、安全组织体系具体实现所需要的各项建设内容,梳理形成建设清单。
3.9 形成项目分期规划
等级保护是系统工程,涉及政策、预算、技术、管理、人才、资源等多方面因素,在开展等级保护相关工作时,运营者可能无法“毕其功于一役”完成一系列保护措施的落地与执行。因此,运营者应通过项目形式科学、合理、务实的分期分批开展等级保护对象保护相关工作。
等级保护建设项目规划的主要步骤包括:确定项目分期目标、规划项目分期建设内容以及形成项目分期规划。
(1)确定项目分期目标
运营者结合本单位网络安全和信息化建设的中长期发展规划,网络安全建设的预算投入、资金状况,待解决安全问题的优先级等因素,综合确定项目分期的安全实现目标。
(2)规划项目分期建设内容
运营者在制定项目分期目标后,可根据项目分期目标和建设清单,规划分期分批的主要建设内容,并将建设内容根据实际需要组合成不同的项目,同时阐明项目之间的依赖或促进关系等,以指导分期建设项目的持续推进和加强对分期建设项目的管理。
(3)形成项目分期规划
运营者根据项目分期目标和建设内容,结合时间、解决问题的优先级和预算经费等情况,对建设清单进行总体考虑,将建设清单分配到不同的时期和阶段,统筹安排建设顺序,进行投资估算。
运营者梳理项目分期目标、建设内容等文档,形成等级保护对象项目分期规划。
3.10 分析预期建设成效
按照等级保护体系设计,分析按项目分期建设完成后的预期建设成效,包括社会效益、经济效益等。
小结
合成不同的项目,同时阐明项目之间的依赖或促进关系等,以指导分期建设项目的持续推进和加强对分期建设项目的管理。
(3)形成项目分期规划
运营者根据项目分期目标和建设内容,结合时间、解决问题的优先级和预算经费等情况,对建设清单进行总体考虑,将建设清单分配到不同的时期和阶段,统筹安排建设顺序,进行投资估算。
运营者梳理项目分期目标、建设内容等文档,形成等级保护对象项目分期规划。
3.10 分析预期建设成效
按照等级保护体系设计,分析按项目分期建设完成后的预期建设成效,包括社会效益、经济效益等。
小结
本文描述了网络安全等级保护体系设计的通用实践。运营者可参考本文,结合本单位实际情况,对本单位的网络安全等级保护体系进行设计或调整。若有不成熟的地方,敬请指正。## 题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
题外话
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
关于网络安全学习指南
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以在下方扫码领取!!
3373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
