網絡安全等級保護:一定要做好網絡安全設計與實施
前面我們將總體安全規劃看了一遍,接下來我們則進入安全設計與實施,如圖所示進入第三層安全設計與實施。該階段的目標是按照等級保護對象安全總體方案的要求,結合等級保護對象安全建設項目規劃,分期分步落實安全措施。
該階段又可以分為安全方案詳細設計、技術措施的實現、管理措施的實現三個階段。如圖所示進入第三層安全設計與實施。
設計與實施階段,是網絡運營、使用單位最關心的一個階段,所以在各單位被監督檢查過程中,存在的一個突出問題就是“重建設,輕管理”,可以說是一個通病。而網絡安全服務機構,也更熱衷這塊工作。因為干完,理論上走完最后合同要求就可以拿錢了。但是,在這個工作流程中,各方是否真的扎實落實前面的規劃和方案了呢?
安全規劃設計屬于知行合一之“知”階段,而設計與實施則時“行”的階段。
以下內容,至少可以作為網絡運營、使用單位對所買服務質量的一個參考;同理,也可以作為網絡安全服務機構和集成機構對自身服務質量做一個整體參考。
有關安全服務更多信息,可以參見我公眾號相關文章以及有關國家標準。
第一階段:安全方案詳細設計
該階段又可以由技術措施實現內容的設計、管理措施實現內容的設計兩部分內容構成。
技術措施實現內容的設計是需要輸入安全總體方案、安全建設項目規劃、各類信息技術產品和網絡安全產品技術說明資料、網絡安全服務機構評價材料等,根據建設目標和建設內容將等級保護對象安全總體方案中要求實現的安全策略、安全技術體系結構、安全措施和要求落實到產品功能或物理形態上,通過結構框架的設計、安全功能要求的設計、性能要求的設計、部署方案的設計、制定安全策略的實現計劃等提出能夠實現的產品或組件及其具體規范,并將產品功能特征整理成文檔,使得在網絡安全產品采購和安全控制的開發階段具有依據。在這個過程中就涉及安全實現技術框架中使用到的相關網絡安全產品,如防火墻、網閘、認證網關、代理服務器、網絡防病毒、PKI、云安全防護產品、移動終端應用軟件與防護產品等提出性能指標要求。對需要開發的安全控制組件,提出性能指標要求,最終輸入技術措施實施方案。
這個階段的工作是由運營、使用單位,網絡安全服務機構,網絡安全產品供應商等共同完成。
管理措施實現內容的設計是需要輸入安全總體方案,安全建設項目規劃等,根據等級保護對象運營、使用單位當前安全管理需要和安全技術保障需要,通過結合等級保護對象實際安全管理需要和本次技術建設內容,確定本次安全管理建設的范圍和內容,同時注意與等級保護對象安全總體方案的一致性。安全管理設計的內容主要考慮:安全策略和管理制度制定、安全管理機構和人員的配套、安全建設過程管理等,提出與等級保護對象安全總體方案中管理部分相適應的本期安全實施內容,以保證在安全技術建設的同時,安全管理得以同步建設,最終輸出管理措施實施方案。
這個階段的工作是由運營、使用單位,網絡安全服務機構等共同完成。
通過輸入技術措施實施方案,管理措施實施方案,將技術措施實施方案、管理措施實施方案匯總,同時考慮工時和成本,最后形成指導安全實施的指導性文件,對技術措施實施方案中技術實施內容和管理措施實施方案中管理實施內容等文檔進行整理,形成等級保護對象安全建設詳細設計方案,最終設計結果的文檔化。
安全詳細設計方案理應包含且不限于以下內容:
a)建設目標和建設內容;
b)技術實現方案;
c)網絡安全產品或組件安全功能及性能要求;
d)網絡安全產品或組件部署;
e)安全控制策略和配置;
f) 配套的安全管理建設內容;
g)工程實施計劃;
h)項目投資概算。
這個階段的工作是由運營、使用單位,網絡安全服務機構等共同完成。
第二階段:技術措施的實現
該階段又可以由網絡安全產品或服務采購、安全控制的開發、安全控制集成、系統驗收四部分內容構成。
網絡安全產品或服務采購是需要輸入安全詳細設計方案,相關供應商及產品信息等,按照安全詳細設計方案中對于產品或服務的具體指標要求進行采購,根據產品、產品組合或服務實現的功能、性能和安全性滿足安全設計要求的情況,通過制定產品或服務采購說明書、選擇產品或服務,來選購所需的網絡安全產品或服務。最終輸出需采購的網絡安全產品性能、功能和安全要求或服務機構的能力要求(可為清單模式)。
制定產品或服務采購說明書應注意:網絡安全產品或服務選型過程首先依據安全詳細設計方案的設計要求,制定產品或服務采購說明書,對產品或服務的采購原則、采購范圍、技術指標要求、采購方式等方面進行說明。對于產品的功能、性能和安全性指標,可以依據第三方測試機構所出具的產品測試報告,也可以依據用戶自行組織的網絡安全產品功能、性能和安全性選型測試結果。對于安全服務的采購需求,應具有內部或外部針對網絡安全服務機構的評價結果作為參考。
選擇產品或服務應注意:在依據產品或服務采購說明書對現有產品或服務進行選擇時,不僅要考慮產品或服務的使用環境、安全功能、成本(包括采購和維護成本)、易用性、可擴展性、與其他產品或服務的互動和兼容性等因素,還要考慮產品或服務的質量和可信性。產品或服務可信性是保證系統安全的基礎,用戶在選擇網絡安全產品時應確保符合國家關于網絡安全產品使用的有關規定。對于密碼產品的使用,應按照國家密碼管理的相關規定進行選擇和使用。對于網絡安全服務,應選取有相關領域資質的網絡安全服務機構。
這個階段的工作是由網絡安全產品供應商,網絡安全服務機構,運營、使用單位,測試機構共同完成。
安全控制的開發是需要輸入安全詳細設計方案,對于一些不能通過采購現有網絡安全產品來實現的安全措施和安全功能,通過專門進行的設計、開發來實現。安全控制的開發應與系統的應用開發同步設計、同步實施,而應用系統一旦開發完成后,再增加安全措施會造成很大的成本投入。因此,在應用系統開發的同時,要依據安全詳細設計方案進行安全控制的開發設計,保證系統應用與安全控制同步建設。需要做好安全措施需求分析、概要設計、詳細設計、編碼實現、測試、安全控制的開發過程需要將概要設計說明書、詳細設計說明書、開發測試報告以及開發說明書等整理歸檔等。最終需要輸出安全控制的開發過程中產生的所有相關文檔與記錄。
這個階段的工作是由運營、使用單位,網絡安全服務機構共同完成。
安全控制集成是需要輸入安全詳細設計方案,通過集成實施方案制定、集成準備、集成實施、培訓、形成安全控制集成報告等,將不同的軟硬件產品進行集成,依據安全詳細設計方案,將網絡安全產品、系統軟件平臺和開發的安全控制模塊與各種應用系統綜合、整合成為一個系統。安全控制集成的過程可以運營、使用單位與網絡安全服務機構共同參與、相互配合,把安全實施、風險控制、質量控制等有機結合起來,實現安全態勢感知、監測通報預警、應急處置追蹤溯源等安全措施,構建統一安全管理平臺。將安全控制集成過程相關內容文檔化,并形成安全控制集成報告,其包含集成實施方案、質量控制方案、集成實施報告以及培訓考核記錄等內容,最終輸出安全控制集成報告。從集成實施方案制定到安全控制集成報告,中間會產生很多過程文檔,需要各方都能夠真實深入的參與其中,并提交有內容有價值的文檔和記錄。
這個階段的工作是由運營、使用單位,網絡安全服務機構共同完成。
系統驗收是需要輸入安全詳細設計方案,安全控制集成報告等,通過系統驗收準備、組織驗收、驗收報告、系統交付,來檢驗系統是否嚴格按照安全詳細設計方案進行建設,是否實現了設計的功能、性能和安全性。在安全控制集成工作完成后,系統測試及驗收是從總體出發,對整個系統進行集成性安全測試,包括對系統運行效率和可靠性的測試,也包括管理措施落實內容的驗收。同理,這個過程需要提交的過程中的文檔、指導用戶進行系統運行維護的文檔、服務承諾書等等,也非常多,應形成驗收報告、交付清單。具體要交付哪些材料,在這里不做過多交代,待后期另文說明之。
第三階段:管理措施的實現
該階段又可以由安全管理制度的建設和修訂、安全管理機構和人員的設置、安全實施過程管理三部分內容構成。
安全管理制度的建設和修訂需要輸入安全詳細設計方案,依據國家網絡安全相關政策、標準、規范,通過應用范圍明確、評估與完善、行為規范規定等,制定、修訂并落實與等級保護對象安全管理相配套的、包括等級保護對象的建設、開發、運行、維護、升級和改造等各個階段和環節所應遵循的行為規范和操作規程。最終輸出安全策略、各項管理制度和操作規范、管理制度評審修訂記錄等。
這個階段的工作是由運營、使用單位,網絡安全服務機構共同完成。
應用范圍明確應注意:管理制度建立首先要明確制度的應用范圍,如機房管理、賬戶管理、遠程訪問管理、特殊權限管理、設備管理、變更管理、資源管理等方面。
評估與完善應注意:管理制度是通過制度化、規范化的流程和行為約束,來保證各項管理工作的規范性。
行為規范規定應注意:制度在發布、執行過程中,要定期進行評估,保留評估或評審記錄。根據實際環境和情況的變化,對制度進行修改和完善,規范總體安全方針、安全管理制度、安全操作規程、安全運維記錄和表單四層體系文件的一致性,必要時考慮管理制度的重新制定,并保留版本修訂記錄。
安全管理機構和人員的設置需要輸入安全詳細設計方案,安全成員及角色說明書,各項管理制度和操作規范,通過安全組織確定、角色說明、人員安全管理、建立配套的安全管理職能部門,通過管理機構的崗位設置、人員的分工和崗位培訓以及各種資源的配備,保證人員具有與其崗位職責相適應的技術能力和管理能力,為等級保護對象的安全管理提供組織上的保障。最終輸出機構、角色與職責說明書,培訓記錄及上崗資格證書等。
這個階段的工作是由運營、使用單位,等級保護對象管理人員,網絡安全服務機構共同完成。
安全組織確定應注意:識別與網絡安全管理有關的組織成員及其角色,例如:操作人員、文檔管理員、系統管理員、安全管理員等,形成安全組織結構表。
角色說明應注意:以書面的形式詳細描述每個角色與職責,明確相關崗位人員的責任和權限范圍,并要征求相關人員的意見,要保證責任明確,確保所有的風險都有人負責應對。
人員安全管理應注意:針對普通員工、管理員、開發人員、主管人員以及安全人員開展特定技能培訓和安全意識培訓,培訓后進行考核,合格者頒發上崗資格證書等。
安全實施過程管理需要輸入安全設計與實施階段參與各方相關進度控制和質量監督要求文檔,通過整體管理、質量管理、風險管理、變更管理、進度管理、文檔管理等,在等級保護對象定級、規劃設計、實施過程中,對工程的質量、進度、文檔和變更等方面的工作進行監督控制和科學管理,最終輸出各階段管理過程文檔和記錄。具體要交付哪些材料,在這里不做過多交代,待后期另文說明之。
這個階段的工作是由運營、使用單位,網絡安全服務機構,網絡安全產品供應商共同完成。
