等级保护制度是适用于中国当前实际的一种有效的网络安全管理方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。

2024.09 山西大同 云岗石窟

信息安全法律法规及标准规范

网络安全法律政策体系

法律

  1. 中华人民共和国宪法
  2. 中华人民共和国刑法
  3. 中华人民共和国国家安全法
  4. 中华人民共和国网络安全法
  5. 中华人民共和国密码法
  6. 中华人民共和国保守国家秘密法
  7. 中华人民共和国电子签名法

行政法规

  1. 中华人民共和国计算机信息系统安全保护条例
  2. 中华人民共和国计算机信息网络国籍联网暂行规定
  3. 商用密码管理条例
  4. 计算机软件保护条例

规章、地方性法规以及规范文件

  1. 计算机病毒防治管理办法
  2. 计算机信息系统保密管理暂行规定
  3. 计算机信息系统安全专用产品检测和销售许可证管理办法

网络安全标准系统

基础标准

  1. 计算机信息系统安全保护等级划分准则 GB17859-1999
  2. 信息安全技术 网络安全等级保护实施指南 GB/T 25058-2019

系统定级标准

  1. 信息安全技术 网络安全等级保护定级指南 GB/T 22240-2020
  2. 信息安全技术 网络安全等级保护等级指南 GA/T 1289-2017

建设标准

  1. 信息安全技术 网络安全等级保护基本要求 GB/T 22239-2019
  2. 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 25070-2019
  3. 信息安全技术 信息系统安全管理要求 GB/T 20269-2006
  4. 信息安全技术 信息系统安全工程管理要求 GB/T 20282-2006

等级测评标准

  1. 信息安全技术 网络安全等级保护测评要求 GB/T 28448-2019
  2. 信息安全技术 信息系统安全等级保护测评过程指南 GB/T 28449-2012

运行维护及其他标准

  1. 信息技术 安全技术 信息安全事件管理指南 GB/Z 20985-2007
  2. 信息技术 信息安全事件分类分级指南 GB/Z 20986-2007
  3. 信息技术 信息系统灾难恢复规范 GB/Z 20988-2007
  4. 信息技术 信息安全风险评估规范 GB/Z 20984-2007
  5. 信息技术 信息系统物理安全技术要求 GB/T 21052-2007
  6. 信息技术 网络基础安全技术要求 GB/T 20270-2006

网络安全定级与备案

定级原理及流程

等级保护对象的安全保护等级分为以下5级:

  1. 等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益
  2. 等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全
  3. 等级保护对象受到破坏后,或者对社会秩序和公共利益造成严重危害,或者对国家安全造成严重危害
  4. 等级保护对象受到破坏后,会对国家安全造成特别严重危害

定级要素

  1. 定级要素
    1. 受侵害的客体
    2. 对客体的侵害程度
  2. 受侵害的客体
    1. 公民、法人和其他组织的合法权益
    2. 社会秩序、公共利益
    3. 国家安全
  3. 对客体的侵害程度
    1. 一般损害
    2. 严重损害
    3. 特别严重损害

定级要素与安全保护等级关系

客体 一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第三级
社会秩序、公共利益 第二级 第三级 第四纪
国家安全 第三级 第四级 第五级

定级流程

确定定级对象
  1. 基本特征
    1. 具有确定的主要安全责任主体
    2. 承载相对独立的业务应用
    3. 包含相互关联的多个资源
  2. 相关对象
    1. 信息系统
    2. 云计算平台
    3. 物联网
    4. 工业控制系统
    5. 通信网络设施
    6. 数据资源
初步确定等级
  1. 确定受侵害的客体
    1. 侵害国家安全的事项
    2. 侵害社会秩序的事项
    3. 侵害公共利益的事项
  2. 确定对客体的侵害程度
    1. 客观方面
    2. 综合评定侵害程度
  3. 初步确定等级
  4. 确定安全保护等级
  5. 等级变更
专家评审
主管部门核准
备案审核

确定安全保护等级

等级变更

网络安全总体规划

总体安全规划工作流程

输入 过程 输出
等级保护对象详细描述文件、等保定级报告 安全需求分析 安全需求分析报告
总体安全策略、行业基本要求、安全需求分析报告 总体安全设计 等级保护对象案例总体方案
等级保护对象安全总体方案、信息化建设长期规划 安全建设项目规划 等级保护对象安全建设项目规划

系统安全风险及需求分析

系统安全风险分析

  1. 安全技术风险分析
    1. 信息安全风险
    2. 新技术、新威胁带来的安全风险
  2. 安全管理风险分析
    1. 系统建设期间面临的安全管理风险
    2. 系统运营期间面临的安全管理风险
  3. 系统运营风险分析
    1. 资产信息无法完全掌握
    2. 分散多样的信息设备对策略的维护是巨大挑战
    3. 高级威胁和未知病毒的检测和分析考验专业运维能力
    4. 快速响应安全事件是安全运营的关键

系统安全需求分析

  1. 安全技术需求分析
    1. 物理和环境安全需求
    2. 通信网络安全需求
      1. 网络架构安全
      2. 通信完整性与保密性
      3. 区域边界安全需求
        1. 边界隔离与访问控制
        2. 防入侵和防病毒
        3. 网络安全审计
      4. 计算环境安全需求
        1. 主机身份鉴别
        2. 主机访问控制
        3. 系统审计
        4. 恶意代码防范
        5. 应用系统安全功能开发
        6. 数据完整性与保密性
        7. 数据备份和恢复
      5. 集中安全管控需求
        1. 安全管理实现三员分离
        2. 统一安全运营和管控的需求
        3. 集中安全策略管理需求
  2. 安全管理需求分析
    1. 建设期安全管理需求
      1. 系统规划设计阶段需要同步安全设计
      2. 加强外包软件开发管理
      3. 工程实施安全管理
      4. 系统测试验收和交付管理
      5. 系统测评和服务供应商选择
    2. 运营期安全管理需求
  3. 安全运营需求分析
    1. 全面掌握信息安全资产需求
    2. 日常安全运营需求
    3. 重要时期安全保障需求
    4. 专家级安全运营服务支撑需求

总体设计原则和思路

方案设计依据

原则
  1. 统一性、整体性原则
  2. 一致性原则
  3. 多重保护原则
  4. 适应性及灵活性原则
思路
  1. 合规要求与业务风险分析相结合的设计思路
  2. 纵深防御的安全体系设计思路
  3. 体系化安全保障框架设计思路
  4. 安全体系叠加演进,以积极防御为主的设计思路
    1. 建立多维度防护体系
      1. 预警能力
      2. 防护能力
      3. 溯源能力
    2. 建立智能化安全运营\安全态势感知与防御协同联动

安全防护总体设计

架构设计

一个中心

  1. 安全运营管理中心

三重防护

  1. 安全区域边界
  2. 安全计算环境
  3. 安全通信网络

三个体系

  1. 安全技术体系
  2. 安全管理体系
  3. 安全运营体系

总体安全策略

  1. 信息安全技术体系总体策略
    1. 以等保要求为控制要求,建设基础安全技术体系框架
    2. 技术体系建设覆盖物理环境\通信网络\区域边界\计算环境和安全管理中心
    3. 采用成熟可靠的安全技术及产品
  2. 信息安全管理体系总体策略
    1. 建立信息安全领导小组和信息安全工作组
    2. 建立信息安全管理制度和策略体系
    3. 建立符合系统生命周期的安全需求\安全设计\安全建设和安全运维的运维管理要求
    4. 系统建设应当通过和落实等保定级\备案\建设\整改\测评等管理要求
  3. 信息安全运营体系总体策略
    1. 积极采用新技术提升安全能力\强化风险应对能力
    2. 建立规范的信息化安全运营体系
    3. 建立信息安全运营中心

通用安全技术体系设计

安全物理环境

参见: 安全物理环境技术标准表 P54

  1. 物理位置选择
  2. 物理访问控制
  3. 防盗窃和防破坏
  4. 防雷击\火灾\水灾\静电
  5. 温湿度控制
  6. 电力供应
  7. 电磁防护

安全通信网络

参见: 网络和通信安全技术标准表 P59

安全体系架构

  1. 安全域划分原则
    1. 业务保障原则
    2. 适度安全原则
    3. 结构简化原则
    4. 等级保护原则
    5. 立体协防原则
    6. 生命周期原则
  2. 安全域的划分
    1. 远程用户接入区
    2. DMZ服务器区
    3. 核心网络区
    4. 安全管理区
    5. 业务服务器区
    6. 业务终端区
    7. 共享交换区
    8. 专网接入区

网络通信安全

  1. 基于专网的广域网传输安全
  2. 基于互联网的广域网传输安全
    1. 安全风险
    2. 控制措施
      1. 采用密码技术
      2. 多因素认证
      3. 数据远程传输加密保护
      4. 数据远程传输完整性保护
    3. 产品部署

安全区域边界

参见 安全区域边界技术标准 P63

边界访问控制

  1. 边界防护与访问控制
    1. 安全风险
    2. 控制措施
      1. 访问控制
      2. 应用层访问控制
      3. 入侵防范
      4. 负载均衡
      5. 高可靠性
      6. 动态QoS功能
      7. 支持IPv6
      8. 虚拟防火墙
      9. 协同联动
      10. 日志管理
    3. 产品部署
  2. 边界隔离与访问控制
    1. 安全风险
    2. 控制措施
    3. 产品部署

边界入侵防护

  1. 边界入侵防御
    1. 安全风险
    2. 控制措施
      1. 新一代检测分析技术
      2. 多层多类型攻击检测
      3. 双向攻击检测
      4. 日志告警和阻断
      5. 高可用性
    3. 产品部署
  2. 高级威胁攻击检测
    1. 安全风险
    2. 可控制措施
      1. APT攻击发现
      2. APT攻击定位\溯源与阻断
      3. 未知恶意代码检测
    3. 产品部署

边界完整性检测

  1. 网络安全准入
    1. 安全风险
    2. 控制措施
      1. 安全管理与访问控制
      2. 终端安全合规检查
      3. 访客注册申请
      4. 第三方认证源联动
      5. 认证绑定管理
      6. 设备例外管理
      7. 强制隔离
    3. 产品部署
  2. 违规外联检测
    1. 安全风险
    2. 控制措施
      1. 上网行为管理系统
      2. 终端安全管理系统
      3. 产品部署
  3. 边界恶意代码检测
    1. 安全风险
    2. 控制措施
      1. 下一代防火墙
      2. 防火墙的云端协同
    3. 产品部署

网络安全审计

安全计算环境设计

参见 安全计算环境技术标准 P77

主机身份鉴别与访问控制

  1. 安全风险
  2. 控制措施
    1. 启用访问控制
    2. 根据用户角色分配权限,仅授权所需最小权限
    3. 严格限制默认账号访问权限,修改默认口令
    4. 及时删除多余\过期账户,避免共享账户
    5. 对重要信息资源设置敏感标记
    6. 依据安全策略严格控制用户对重要信息资源的操作
  3. 产品部署

一体化终端安全防护

  1. 安全风险
  2. 控制措施
    1. 终端恶意代码防范
    2. 终端统一安全管控
    3. 终端软件管理
    4. 统一补丁升级和管理
    5. 终端统一安全运维
    6. 终端综合审计
  3. 产品部署

主机脆弱性评估与检测

  1. 安全风险
  2. 控制措施
    1. 发现内部资产
    2. 实现针对内部网络的脆弱性评估
    3. 建立完善的漏洞管理和风险评估体系
    4. 解决因漏洞造成的安全问题
  3. 产品部署

虚拟机安全防护

应用身份鉴别与访问控制

Web应用安全防护

  1. 安全风险
  2. 控制措施
    1. 漏洞防护
    2. 攻击防护
    3. 网页代码检查
    4. 访问加速
    5. 挂马检测
    6. 网页防篡改
  3. 产品部署

应用开发安全与审计

  1. 安全风险
  2. 控制措施
    1. 身份鉴别
    2. 访问控制
    3. 安全审计
    4. 入侵防范
    5. 数据完整性
    6. 数据保密性
    7. 剩余信息保护
    8. 个人信息保护
  3. 产品部署

数据加密与保护

  1. 安全风险
  2. 控制措施
    1. 加强对数据的分级分类管理
    2. 加强对与数据的授权管理
    3. 数据和文档加密
    4. 加强对数据和文档日志的审计管理
    5. 通信保密

数据访问安全审计

  1. 数据访问审计
  2. 数据变更审计
  3. 用户操作审计
  4. 违规访问行为审计

数据备份与恢复

安全运营管理中心

参见 安全运营管理中心技术标准 P95

设备安全运维与审计

  1. 资产管理与统一访问
  2. 身份管理
  3. 身份认证
  4. 访问控制与授权
  5. 操作审计
  6. 审计报表

集中安全运营与管理

  1. 威胁管理
  2. 资产管理
  3. 拓扑管理
  4. 漏洞管理
  5. 日志搜索
  6. 场景化分析
  7. 工单
  8. 调查分析
  9. 报表管理
  10. 仪表展示
  11. 安全态势

策略集中管理与分析

  1. 防火墙策略统一下发
  2. 统一升级
  3. 防火墙日志管理和可视化报表

整体安全防护效果

安全管理体系设计

安全管理制度

参见 安全管理制度标准要求 P156

安全策略和制度体系

  1. 安全方针和安全策略
  2. 安全管理制度和安全技术规范
  3. 安全工作流程和安全操作规程
  4. 安全记录单

制度文件管理

  1. 信息安全管理制度的制定和发布
  2. 评审和修订

安全管理机构

  1. 信息安全领导小组
  2. 信息安全管理职能部门

岗位职责及授权审批

  1. 安全管理员
  2. 系统管理员
  3. 审计管理员

安全审核与检查

  1. 定期进行常规的安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等
  2. 定期进行全面的安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况
  3. 制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。

安全管理人员

内部人员安全管理

  1. 录用前
    1. 指定或授权专门的部门或人员负责人员录用
    2. 应对被录用人员的身份、背景、资质进行审查,对其所具有技术技能进行考核
    3. 与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议
  2. 工作期间
    1. 对各类人员进行安全意识教育和岗位技能培训,并告知安全责任和惩戒措施
    2. 针对不同岗位制订不同的培训计划,对安全基础知识、岗位操作规程进行培训
    3. 定期对不同岗位的人员进行技能考核
  3. 调离岗
    1. 及时终止离岗人员的所有访问权限,取回各种证件、钥匙、徽章以及软硬件设备
    2. 办理严格的调离手续,承诺调离后的保密义务

外部人员安全管理

  1. 访问受控区域前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案
  2. 外部人员离场后及时清除其所有访问权限
  3. 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息

安全建设管理

  1. 明确定级备案责任部门和责任人
  2. 与公安部门沟通明确定级备案相关材料的要求和格式
  3. 制订系统定级和备案工作的时间计划
  4. 定级评审相关单位和专家联系及确定
  5. 组织定级评审工作,并获得上级或相关部门批准

系统安全方案设计

安全产品采购管理

外包软件开发管理

工程实施管理

测试及交付管理

系统等级测评

服务提供商选择

安全运维管理

  1. 环境管理
  2. 资产管理
  3. 介质管理
  4. 设备维护管理
  5. 漏洞和风险管理
  6. 网络和系统安全管理
    1. 划分不同的管理员角色进行网络和系统的运维管理,明确职责和权限
    2. 指定专门的部门或人员进行账户管理
    3. 建立网络和系统安全管理制度
    4. 制订重要设备的配置和操作手册
    5. 详细记录运维操作日志
    6. 指定专门的部门或人员对日志、监测和报警数据进行分析、统计
    7. 严格控制变更性运维
    8. 严格控制运维工具的使用
    9. 严格控制远程运维的开通
    10. 保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
  7. 恶意代码防范管理
  8. 配置管理
  9. 密码管理
  10. 变更管理
  11. 备份与恢复管理
  12. 信息安全事件处置和应急预案管理
  13. 外包运维管理

网络安全等级保护测评

等级测评概述

等级测评过程包括4个基本测评活动

  1. 测评准备活动
  2. 方案编制活动
  3. 现场测评活动
  4. 报告编制活动

等级测评风险

  1. 影响系统正常运行的风险
  2. 敏感信息泄露风险
  3. 木马植入风险

等级测评风险规避

  1. 签署委托测评协议
  2. 签署保密协议
  3. 现场测评工作风险规避
  4. 测评现场还原

测评准备活动

工作流程

  1. 工作启动
    1. 输入:委托测评协议书
    2. 输出:项目计划书
  2. 信息收集和分析
    1. 输入:项目计划书、系统调查表格、被测定级对象相关资料
    2. 输出:完整的调查表格、各种和被测定级对象相关的技术资料
  3. 工具和表单准备
    1. 输入:填好的调查表格
    2. 输出:选用的测评工具清单、打印的各类表单

双方职责

测评机构职责
  1. 组建等级测评项目组
  2. 指出测评委托单位应提供的基本资料
  3. 准备被测定级对象基本情况调查表格,并提交给测评委托单位
  4. 向测评委托单位介绍安全测评工作流程和方法
  5. 向测评委托单位说明相关风险和规避方法
  6. 了解测评委托单位的信息化建设及被测定级对象的基本情况
  7. 初步分析系统的安全状况
  8. 准备测评工具和文档
测评委托单位职责
  1. 向测评机构介绍本单位的信息化建设及发展情况
  2. 提供测评机构所需要的相关资料
  3. 为测评人员的信息收集工作提供支持和协调
  4. 准备填写调查表格
  5. 根据被测定级对象的具体情况,为测评事件安全提供适当建议
  6. 制订应急预案

方案编制活动

测评对象确定

  1. 识别并描述测评定级对象的整体结构
  2. 识别并描述被测定对象的边界
  3. 识别并描述被测定级对象的网络区域
  4. 识别并描述被测定级对象的主要设备
  5. 确定测评对象,结合被测定级对象的安全级别和重要程度,综合分析系统中各个设备和组件的功能和特点
  6. 描述测评对象时,根据类别加以描述,包括机房、业务软件、安全设备、访谈人员及安全管理文档

方案编制活动

  1. 测评指标确定
  2. 测评内容确定
  3. 工具测试方法确定
  4. 测评指导书开发
  5. 测评方案编制

方案编制活动中的双方职责

测评机构职责
  1. 详细分析被测定定级对象的整体结构、边界、网络区域和设备部署情况
  2. 初步判断被测定级对象的安全薄弱点
  3. 分析确定测评对象、测评指标、测评内容和工具测试方法
  4. 编制测评方案文本,并对其进行内部评审
  5. 制订风险规避实施方案
测评委托单位职责
  1. 为测评机构完成测评方案提供有关信息和资料
  2. 评审和确认测评方案文本
  3. 评审和确认测评机构提供的风险规避实施方案
  4. 若确定不在生产环境开展测评,则部署配置与生产环境安全配置相同的备份环境或生产验证测试环境进行测试

现场测评活动

活动流程

  1. 现场测评准备
    1. 测评委托单位对风险告知书签字确认
    2. 测评委托单位协助测评机构获得定级对象相关方的现场测评授权
    3. 召开测评现场首次会
    4. 测评相关方确认现场测评需要的各种资源
    5. 输出会议纪要、测评方案、测评工作计划、风险告知书和现场测评授权书
  2. 现场测评和结果记录
    1. 测评人员与测评配合人员确认测评对象中的关键数据已进行了备份
    2. 测评人员确认具备测评工作开展的条件、测评对象工作正常,系统处于良好状态
    3. 测评人员根据测评指导书实施现场测评,获取相关证据和信息
    4. 测评结束后,测评人员与测评配合人员及时确认测评工作是否对测评对象造成不良影响,测评对象及系统是否工作正常
    5. 输出各类测评结果记录
  3. 结果确认和资料归还
    1. 测评人员在现场测评完成之后,应首先汇总现场测评记录,对遗漏和需要进一步验证的内容实施补充测评
    2. 召开测评现场结束会,测评双方对测评过程中得到的证据源记录进行现场沟通和确认
    3. 测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认
    4. 输出经测评委托单位确认的测评证据和证据源记录。

报告编制活动

报告编制活动工作流程

  1. 单项测评结果判定
    1. 针对测评项,形成初步单项测评结果
    2. 分析单个测评项的测评证据
    3. 判定测评项的单项测评结果是否符合
  2. 单元测试结果判定
    1. 按层面分别汇总不同测评对象对应测评指标的单项测评结果情况
    2. 分析每个控制点下所有测评项的符合情况,给出单元测评结果
  3. 整体测试
    1. 针对测评对象部分符合及不符合要求的单个测评项,分析与该测评项相关的其他测评项能否和他发生关联以及什么样的关联,以及是否会影响其他测评项的测评结果
    2. 根据整体测评分析情况,修正单项测评结果符合程度得分和问题严重程度值
    3. 输出测评报告整体测评部分
  4. 系统安全保障评估
    1. 根据整体测评结果,计算修正后的每个测评对象的单项测评结果和符合程度得分
    2. 根据安全控制点得分,计算安全层面得分
    3. 根据安全控制点得分和安全层面得分,总体评价被测定级对象已采取的有效保护措施和存在的主要安全问题情况
    4. 输出测评报告的系统安全保障评估部分
  5. 安全问题风险评估
    1. 针对整体测评后的单项测评结果中的部分符合和不符合项所产生的安全问题,结合关联测评对象和威胁,分析可能的危害
    2. 结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题的严重程度以及安全事件影响范围等综合分析可能造成的安全危害中的最大安全危害(损失)结果
    3. 根据最大安全危害严重程度进一步确定定级对象面临的风险等级,结果为高、中、低
    4. 输出测评报告的安全问题风险分析部分
  6. 等级测评结论形成
    1. 符合:定级对象中未发现安全问题,综合得分为100分
    2. 级别符合:定级对象中存在安全问题,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值
    3. 不符合:定级对象中存在安全问题,存在的安全问题会导致定级对象面临高等级安全风险,或综合得分低于阈值
    4. 输出测评报告的等级测评结论部分
  7. 测评报告编制
    1. 测评人员整理前面几项任务的输出,按照报告模板编制测评报告相应部分。每个测评对象应单独出具测评报告
    2. 针对被测定对象存在的安全隐患,提出改进建议,编制测评报告的问题处置建议部分
    3. 测评报告编制完成之后,测评机构应根据测评协议书、测评单位提交相关文档、测评原始记录和其他辅助信息,对测评报告进行评审
    4. 评审通过之后,由项目负责人签字确定并提交给测评委托单位
    5. 输出经过评审和确认的被测定级对象等级测评报告

报告编制活动输出文档

  1. 单项测评结果判定
  2. 单元测评结果判定
  3. 整体测试
  4. 系统安全保障评估
  5. 安全问题风险分析
  6. 等级测评结论形成
  7. 测评报告编制

报告编制中双方的职责

测评机构

  1. 分析并判定单项测评结果和整体测评结果
  2. 分析评价被测定级对象存在的风险情况
  3. 根据测评结果形成等级测评结论
  4. 编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议
  5. 评审等级测评报告,并将被评审过的等级测评报告按照分发范围进行分发
  6. 将生成的过程文档归档保存,并将测评过程中在测评用介质和测试工具中生成或存放的所有电子文档清除

测评委托单位

  1. 签收测评报告
  2. 向分管公安机关备案测评报告