1994年2月,国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”的制度框架。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(公通字[2007]43号),形成信息安全等级保护的基本理论框架。
2008年6月,《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》标准正式颁布。
2014年2月,中央网络安全和信息化领导小组成立。中共中央总书记、国家主席、中央军委主席习*平亲自担任组长;李克强、刘云山任副组长。
2017年6月1日,《中华人民共和国网络安全法》正式实施。明确了“国家实行网络安全等级保护制度”,同时第七十四条明确规定“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”自此,公安执法部门有了安全执法依据。
2019年12月1日,GB/T 22239-2008 等级保护基本要求更新为《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》,针对信息技术的发展对标准要求进行了更新。
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。
2004年12月23日中央保密委员会下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。
2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》。
2016年12月,全国信安标委秘书处邀请专家研讨《关键信息基础设施网络安全框架》标准,并讨论关键信息基础设施安全保护现状;
2018年06月,全国信安标委秘书处发布《信息安全技术 关键信息基础设施网络安全保护要求》征求意见稿。
2019年11月5日,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)完稿。
2019年12月3日,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动。
2021年7月份,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。
2018年2月,国家保密局正式发布实施密码行业标准《GM:T 0054-2018信息系统密码应用基本要求》。
2018年2月,经国密局批准,行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标《信息安全技术 信息系统密码应用基本要求》。2018年7月获得国家标准化管理委员会的立项批准。
2019年6月,全国信安标委秘书处发布《信息安全技术 信息系统密码应用基本要求》征求意见稿。
2021年3月,国家正式发布国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,于2021年10月1日起实施。
a)管理对象:所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。
b)标准要求文件:
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
c)系统定级:根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。
d)分级保护标准框架:
e)分级保护部分涉及产品(仅供参考):屏蔽机房、手机屏蔽柜、保密文件柜、红黑隔离电源、微机视频信息保护系统、手机屏蔽仪、主机监控与审计系统、光盘刻录监控和审计系统、打印监控和审计系统、三合一(违规外联监控、涉密移动存储介质使用管控、非涉密信息单向导入)系统、涉密专用优盘、存储介质信息消除工具、计算机终端保密检查系统、恶意代码辅助检测系统、保密碎纸机、存储介质销毁机、身份鉴别系统等等。
a)管理对象:
运营商和服务提供商:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
重要行业:铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
重要机关:市(地)级以上党政机关的重要网站和办公信息系统。
b)标准文件:
GB-T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
GB-T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
GB-T 22240-2020 《信息安全技术 网络安全等级保护定级指南》
GB-T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB_T 25058-2019 《信息安全技术 网络安全等级保护实施指南》
c) 系统定级:
信息系统的安全防护共分为以下五个等级:
第一级(自主保护级 )
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级 )
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级 )
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级 )
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级 )
信息系统受到破坏后,会对国家安全造成特别严重损害。
d)等级保护标准体系框架:
e)等级保护涉及产品(仅供参考):
a)管理对象:电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
b)标准文件:《信息安全技术 关键信息基础设施网络安全保护基本要求》2019年11月报批,未正式发布
c)什么是关键信息基础设施(CII:critical information infrastructure)?
支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。
d)关键信息基础设施安全防护能力等级有几个?
关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。
能力域明确了运营者在关键信息基础设施安全防护所需具备的能力,包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。
能力等级及特征如下表。
表 安全能力等级及特征
能力等级及特征如下表。
表 安全能力等级及特征
关键信息基础设施安全防护能力等级 | 等级特征 |
---|---|
能力等级1 | 能识别相关风险,防护措施成体系,能够开展检测评估活动,具备监测预警能力;能够按规定接受和报送相关信息;在突发事件发生后能应对并按计划恢复。 |
能力等级2 | 能清晰识别相关风险,防护措施有效,能够检测评估出主要安全风险,主动监测预警和态势感知,事件响应较为及时,业务能够及时恢复。 |
能力等级3 | 识别认定完整清晰,防护措施体系化、自动化高,能够及时检测评估出主要安全风险,使用自动化工具进行监测预警和态势感知,信息共享和协同程度高,事件响应及时有效,业务可近实时恢复。 |
e) 关键信息基础设施能清晰识别相关风险,防护措施有效,能够检测评估出主要安全风险,主动监测预警和态势感知,事件响应较为及时,业务能够及时恢复。安全防护能力评价内容及方法是什么?
e) 关键信息基础设施安全防护能力评价内容及方法是什么?
关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。
关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中;对应能力等级2的关键信息基础设施等级保护测评结果应至少为良;对应能力等级3的关键信息基础设施等级保护测评结果应为优。
a)管理要求:信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。
b)标准文件:行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标GM/T 39786 2021《信息安全技术 信息系统密码应用基本要求》,现已正式发布。
c)系统定级:
第一级,是信息系统密码应用安全要求等级的最低等级,信息系统管理者可按照业务实际情况自主应用密码技术应对可能的安全威胁。
第二级,是在第一级的等级要求上,要求信息系统具备身份鉴别、数据安全保护的非体系化密码保障能力,可应对当前部分安全威胁;
第三级,是在第二级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,要求信息系统建设有规范、可靠、完整的密码保障体系,是体系化密码应用引导性要求;
第四级,是在第三级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,信息系统建设有规范、可靠、完整、主动防御的密码保障体系,是体系化密码应用的强制要求;
d)基本要求框架:
备案证明并不等同于通过等保,备案只是说明你的某个业务系统准备做对应等级的网络安全防护,通过等级保护测评会由相关部门发放等保测评通过的通知或证书。一般通过三级以上等保测评的通知或证书上都会有证书的有效期,到有效期后需要重新对信息系统进行等保测评;但如果信息系统没有新的业务或者网络改造调整等对等保测评项可能有影响的变因,则一般不需要再次进行网络安全整改。一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,以及双方的配合度等有所增减。小规模安全整改(管理制度、策略配置、技术整改)2-3 周,出具报告时间一周,整体持续周期 1-2 个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一般为一年内要完成。
通过等级保护测评只能说明在测评的时候,业务系统达到了对应等级的防护强度,不等于业务系统的“保命符”。毕竟骇客攻击的时候不会去看系统通没通过等级保护测评,骇客看的是攻破业务系统本身的难度与其自身的实力的差距,以及攻破业务系统对于其所带来的经济或其他价值所产生的“性价比”。通过等级保护测评后,以下方面有可能导致出现安全事故:
骇客能力超过了业务系统所对应等级的防护强度
网络安全防护设计存在不足、网络安全设备未有效使用或策略设置不当、设备厂商出现漏洞被骇客利用、设备规则库未及时更新或无法满足业务系统所需性能等
安全管理制度落实不到位、安全管理人员缺乏培训(安全能力、安全意识不足)、应急演练不足(出现安全事件时不能及时有效应对)等
拿到等级测评通过证书不等于拿到了“免死金牌”。按照标准完成了等级保护测评,可以在一定程度地规避风险,不等于抛弃网络安全责任,也不是将安全责任交给等级保护测评机构或其他第三方。出现安全事故后,安全责任的追责基本为以下几种情况。
等保工作没有开展,出了网络安全事故,安全责任肯定是甲方自己去承担。
等保工作开展了,高危风险没有及时去整改,出了问题,安全责任主要责任也是甲方的。
等保工作开展了,测评机构测评不合规,对已有高危风险未检测出而导致的安全问题,主要责任应当由测评机构承担,甲方负有次要责任。
等保工作开展了,发现的高危风险及其他风险也及时整改了,出了网络安全事故,主要责任不属于甲方。
采购部署了安全设备,也不是就把安全漏洞都给完全修复了。网络安全防护是修“防洪堤”的工程,我们需要保障其合理适度的基础上,及时根据系统现状做查漏补缺和技术升级。如果设备上了以后没有做好以下的几个方面,安全事故发生的几率就会加大。
网络安全建设规划不当:网络架构不合理;系统安全区域划分不合理;安全设备部署位置不当;安全设备功能及策略规划不合理等
网络安全运维管理不足:网络设备规则库未及时更新;性能不能满足业务系统需求未及时更换;信息系统设备及网络安全设备管理权限不清晰、责任划分不明确等
安全管理执行不到位:安全管理制度浮于形式;网络安全人员培训不足,对新型威胁及行业发展动态了解缺乏;应急响应方案设计不当;应急演练进行过少,出现网络安全事件时反应不当、反应不及时等。
网络安全建设实践过程中,我们应从等保合规和业务系统实际安全风险两个角度区选择产品:
当信息系统相较无特殊安全风险时,产品的选择基本遵从等保合规的角度出发,选择有相关认证证书的产品优先。如“计算机信息系统安全专用产品销售许可证”,“中国国家信息安全产品认证证书”,“计算机软件著作权登记证书”,“信息技术产品安全分级评估”,“涉密信息系统产品检测证书”,“军用信息安全产认证证书”等;大部分主流安全厂商常规合规产品基本都能满足,如启明星辰、天融信、网御星云、奇安信(原360企业安全)、深信服等。
当信息系统有特殊安全风险时,产品除了满足等保合规的基础上,也要考虑特殊安全风险的防护,而这些特殊防护需求的安全防护设备是一些主流厂商没有或者不具优势的。如业务系统数据库中有公民个人信息,而业务系统有外包开发或对外提供公民个人数据印证等情况,则涉及到数据脱敏相关设备;信息系统覆盖范围大、信息端口多,存在非法设备内联网络的风险,则涉及到网络准入相关设备;如业务系统操作者操作责任关联现实身份较强,涉及到操作失误后操作者身份的认定,身份鉴别需求较高,则涉及到CA数字证书相关设备等。
网络安全建设时,采购同一厂商同一品牌的产品好处在于后期安全运维难度较小、后续安全服务保障更好,会一定程度的降低安全管理人员的能力需求和运维压力;缺点是该厂商出现安全漏洞时安全风险加大,厂商服务不到位时替换成本较高,依赖性强等。
采购不同厂商的产品好处在于差异化防护,有效避免个别厂商出现安全漏洞时的安全风险,对厂商服务的依赖性降低,可以比较不同厂商的产品和服务,增加选择空间;缺点是对安全管理人员的能力及精力需求较高,出现安全事故时可能无法判定出现安全风险的设备,互相推诿攻击等。故而采购设备时应综合考虑①单位信息安全管理人员编制数量;②单位信息安全管理人员能力及培养规划;③意向厂商产品业内认可度;④意向厂商本地化服务能力或经销商本地化服务能力等因素,综合判断后来选择采购方式。
在预算有限的情况下,我们需要先对单位的信息系统现状、未来3~5年单位的信息系统建设规划、单位业务系统安全风险点进行综合调研后,做好安全建设规划。先对网络架构进行优化,明确不同安全区域间的安全风险及安全防护策略需求,区分重点安全防护风险以匹配对应产品,非高风险防护产品列入后续安全建设规划(避免重复建设),购买性能合适的产品(避免设备性能不足影响安全防护效果,性能过高造成资金浪费)。
对各种产品性能指标了解不足的情况下,选择产品可以通过咨询相关产品技术人员、业内专家、实际产品测试等方式选择。通用等保合规产品的主要选型要素如下:
下一代防火墙:主要为吞吐量、应用层吞吐量、并发连接数、每秒新建连接数,主要考虑设备部署位置实际业务数据带宽。需注意的是吞吐量参数不等同于实际可管理带宽能力,不同厂商的相同吞吐量设备,因厂商设备硬件配置差异、软件优化差异等存在一定差异;特别是当下一代防火墙开启入侵防御、病毒查杀、VPN等功能后,其实际防护流量大幅下降的情况下。在无法有效判断的情况下,可以考虑设备测试后再行采购。
上网行为管理:主要为可管理带宽(推荐带宽)、最大可管理人数,主要考虑互联网出口带宽及互联网访问人数。
堡垒主机、日志审计:主要为授权管理设备数,主要考虑需管理的网络设备及系统数量。
基本不可信。等级保护测评是有其测评标准、测评项权重及算分标准的,在对业务系统进行全面的测试、判定高风险项并改善、通过算分得出判定结论前,是无法判定业务系统通过的。不过由于等级保护是按照标准要求来进行测评的,故而有经验的专业网络安全建设商或测评人员可以依照以往客户建设/测评经验以及对产品及信息系统的了解,初步判断系统中的高风险项、风险点推荐匹配产品,以期达成或超过预期的分数。从而在等级保护测评时,就算有部分风险点未得以改善的情况下,也可以达成或超过通过等级保护测评的分数。这也是先测评再整改还是先整改再测评的关键点所在。
先测评再整改:可以根据等级保护测评机构现场初测后的专业建议进行整改,有的放矢。但如单位本身风险较大、较多的情况,涉及到设备采购,需要方案立项、申请预算、招投标、合同供货等流程后,等保测评机构再次测试通过才可以取得测评通过证书。适合于对通过测评时间不迫切,本身网络安全建设了解不足、无专业人员协助网络安全建设规划的单位。
先整改再测评(测评、整改同时进行):通过专业人员/专家的指导协助,提前对网络安全风险点进行加固,争取等级保护测评机构现场测评时一次通过。但需要单位本身对网络安全建设标准由一定的了解,指导协助的专业人员不光对政策标准有足够的研究,且对网络安全建设有足够的项目经验。适合于通过测评时间有要求,自身对网络安全建设标准有一定的研究或有适合的专业人员协助的单位。
由于等级保护测评机构时根据标准要求测评项进行测评,测评的只是有没有实现相关的安全防护要求,而非部署什么产品,其提供的整改建议也以差距分析、需整改项为主。故而即使有等级保护测评机构的整改建议,不同供应商提供网络安全建设清单的时候,根据其对政策标准、信息系统了解的不同,以及其对产品、安全区域间安全防护能力理解的差异。以下一代防火墙的部署为例:
同样要达成“网络区域边界”要求中的“边界防护”“访问控制”“入侵防范”,是采用“下一代防火墙+开启入侵防御模块”(设备+模块)仅采购一台设备的方式,还是采用“下一代防火墙+入侵防御系统”(设备+设备)采购两台设备的方式,就需要结合业务系统的实际情况以及相关厂商设备的功能性能实现来决定。在这需要说明一点,厂商的网络安全设备都是由硬件+软件组成,其实际性能取决于所配置硬件的基础算力和软件算法优化的程度决定的。采用“设备+模块”必然对设备的性能有所影响。而采用“设备+设备”由于两台设备的硬件都是为自身软件服务,性能上有保障。另外由于采用“开启入侵防御模块”的方式,其软件模块在安全防护功能的实现深度上必然不如单独的“入侵防御系统设备”。不过采用“设备+模块”的方式由于出口网络仅串联一台设备,故而其出现单点故障的几率和产品性价比上要优于采用“设备+设备”的方式。
结论:采用“设备+模块”的方式,在产品性能及安全功能实现细节上要逊于“设备+设备”的方式,但在设备故障几率和价格上要优于“设备+设备”的方式。“设备+模块”的方式适用于网络安全防护流量较小、安全预算较少、对安全防护能力要求较低的单位;而“设备+设备”的方式适用于网络安全防护流量较大、安全预算充足、对安全防护能力要求较高的单位。
互联网出口、上/下级网络联网出口、服务器前端都部署下一代防火墙是不是为了多上设备坑预算,等保标准又没有明确要部署。实际上不同位置的实现的功能效果及部署策略都是不同的,互联网出口的防火墙主要过滤和防御来自互联网的未知来源威胁,访问的业务相对较复杂,需要设置的防护策略相对较复杂、较难屏蔽安全风险因素;而上下级网络由于相对较安全,其访问来源可控,访问业务较明确,需要设置的防护策略相对较简单明了、比较容易屏蔽来自上下级网络的安全风险因素;而服务器前端部署防火墙,由于服务器业务访问的地址、端口、协议等相对比较清晰简明,在做安全防护策略时可以有针对性的屏蔽非业务访问,有效堵截攻击者的攻击手段。
内容说明:本文由资深网络安全专家郭恒编写。