|
分保、等保、关保、密码应用对比详解 二维码
发表时间:2021-01-15 10:00 一、中国网络安全发展的关键时间节点: 1、等级保护标准(国家标准:GB):
2、分级保护标准(保密标准:BMB):
3、关键信息基础设施网络安全保护(国家标准:GB,报批中未正式发布)
4、信息系统密码应用基本要求(国家标准:GB,征求意见中未正式发布)
二、目前网络安全主要的几大标准及其差异: 1、分级保护标准(简称:分保) a)管理对象:所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。 b)标准要求文件: BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》 c)系统定级:根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机 密级和机密级(增强)、绝密级三个等级。
d)分级保护标准框架: e)分级保护部分涉及产品(仅供参考):屏蔽机房、手机屏蔽柜、保密文件柜、红黑隔离电源、微机视频信息保护系统、手机屏蔽仪、主机监控与审计系统、光盘刻录监控和审计系统、打印监控和审计系统、三合一(违规外联监控、涉密移动存储介质使用管控、非涉密信息单向导入)系统、涉密专用优盘、存储介质信息消除工具、计算机终端保密检查系统、恶意代码辅助检测系统、保密碎纸机、存储介质销毁机、身份鉴别系统等等。 2、等级保护标准(简称:等保) a)管理对象: 运营商和服务提供商:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 重要行业:铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 重要机关:市(地)级以上党政机关的重要网站和办公信息系统。 b)标准文件: GB-T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》 GB-T 28448-2019 《信息安全技术 网络安全等级保护测评要求》 GB-T 22240-2020 《信息安全技术 网络安全等级保护定级指南》 GB-T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 GB_T 25058-2019 《信息安全技术 网络安全等级保护实施指南》 c) 系统定级: 信息系统的安全防护共分为以下五个等级: 第一级(自主保护级 ) 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级(指导保护级 ) 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级(监督保护级 ) 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级(强制保护级 ) 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级(专控保护级 ) 信息系统受到破坏后,会对国家安全造成特别严重损害。 d) 等级保护标准体系框架: e) 等级保护涉及产品(仅供参考): 3、关键信息基础设施网络安全保护(简称:关基、关保) a)管理对象:电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。 b)标准文件:《信息安全技术 关键信息基础设施网络安全保护基本要求》2019年11月报批,未正式发布 c)什么是关键信息基础设施(CII:critical information infrastructure)? 支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。 d)关键信息基础设施安全防护能力等级有几个? 关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。 能力域明确了运营者在关键信息基础设施安全防护所需具备的能力,包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。 能力等级及特征如下表。 表 安全能力等级及特征
e) 关键信息基础设施安全防护能力评价内容及方法是什么? 关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。 关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中;对应能力等级2的关键信息基础设施等级保护测评结果应至少为良;对应能力等级3的关键信息基础设施等级保护测评结果应为优。 4、密码应用基本要求 a)管理要求:信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。 b)标准文件:行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标《信息安全技术 信息系统密码应用基本要求》,国标征求意见稿阶段,未正式发布。 c)系统定级:
d)基本要求框架: 5、几大标准关系图解: 三、网络安全防护建设过程中的十问: 1、去网安部门做了备案,拿到备案证明,是否等于通过等保?备案后多久需要完成等保测评? 备案证明并不等同于通过等保,备案只是说明你的某个业务系统准备做对应等级的网络安全防护,通过等级保护测评会由相关部门发放等保测评通过的通知或证书。一般通过三级以上等保测评的通知或证书上都会有证书的有效期,到有效期后需要重新对信息系统进行等保测评;但如果信息系统没有新的业务或者网络改造调整等对等保测评项可能有影响的变因,则一般不需要再次进行网络安全整改。 一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,以及双方的配合度等有所增减。小规模安全整改(管理制度、策略配置、技术整改)2-3 周,出具报告时间一周,整体持续周期 1-2 个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一般为一年内要完成。 2、通过等级保护测评以后,是不是不会再出安全事故? 通过等级保护测评只能说明在测评的时候,业务系统达到了对应等级的防护强度,不等于业务系统的“保命符”。毕竟骇客攻击的时候不会去看系统通没通过等级保护测评,骇客看的是攻破业务系统本身的难度与其自身的实力的差距,以及攻破业务系统对于其所带来的经济或其他价值所产生的“性价比”。 通过等级保护测评后,以下方面有可能导致出现安全事故:
3、拿到等保测评通过证书后,一但出现安全事故是否可以规避或减轻追责? 拿到等级测评通过证书不等于拿到了“免死金牌”。按照标准完成了等级保护测评,可以在一定程度地规避风险,不等于抛弃网络安全责任,也不是将安全责任交给等级保护测评机构或其他第三方。出现安全事故后,安全责任的追责基本为以下几种情况。
4、我已经上了安全设备,为什么还会出现出安全事故? 采购部署了安全设备,也不是就把安全漏洞都给完全修复了。网络安全防护是修“防洪堤”的工程,我们需要保障其合理适度的基础上,及时根据系统现状做查漏补缺和技术升级。如果设备上了以后没有做好以下的几个方面,安全事故发生的几率就会加大。
5、应该如何选择安全厂商的产品? 网络安全建设实践过程中,我们应从等保合规和业务系统实际安全风险两个角度区选择产品:
6、网络完全建设时,是采购同一厂商的产品比较好,还是采购不同厂商的产品比较好?
采购不同厂商的产品好处在于差异化防护,有效避免个别厂商出现安全漏洞时的安全风险,对厂商服务的依赖性降低,可以比较不同厂商的产品和服务,增加选择空间;缺点是对安全管理人员的能力及精力需求较高,出现安全事故时可能无法判定出现安全风险的设备,互相推诿攻击等。 故而采购设备时应综合考虑①单位信息安全管理人员编制数量;②单位信息安全管理人员能力及培养规划;③意向厂商产品业内认可度;④意向厂商本地化服务能力或经销商本地化服务能力等因素,综合判断后来选择采购方式。 7、在预算有限的情况下,该如何合理的进行网络安全防护建设? 在预算有限的情况下,我们需要先对单位的信息系统现状、未来3~5年单位的信息系统建设规划、单位业务系统安全风险点进行综合调研后,做好安全建设规划。先对网络架构进行优化,明确不同安全区域间的安全风险及安全防护策略需求,区分重点安全防护风险以匹配对应产品,非高风险防护产品列入后续安全建设规划(避免重复建设),购买性能合适的产品(避免设备性能不足影响安全防护效果,性能过高造成资金浪费)。 8、在对产品性能指标不太了解的情况下,该选择什么性能的产品? 对各种产品性能指标了解不足的情况下,选择产品可以通过咨询相关产品技术人员、业内专家、实际产品测试等方式选择。通用等保合规产品的主要选型要素如下:
9、供应商提供一份产品采购清单后,承诺一定可以通过等保测评,是否可信? 基本不可信。等级保护测评是有其测评标准、测评项权重及算分标准的,在对业务系统进行全面的测试、判定高风险项并改善、通过算分得出判定结论前,是无法判定业务系统通过的。不过由于等级保护是按照标准要求来进行测评的,故而有经验的专业网络安全建设商或测评人员可以依照以往客户建设/测评经验以及对产品及信息系统的了解,初步判断系统中的高风险项、风险点推荐匹配产品,以期达成或超过预期的分数。从而在等级保护测评时,就算有部分风险点未得以改善的情况下,也可以达成或超过通过等级保护测评的分数。 这也是先测评再整改还是先整改再测评的关键点所在。
10、为什么不同供应商提供的方案清单会有不同,有的所采购的产品不同,有的同一产品采购的数量不同? 由于等级保护测评机构时根据标准要求测评项进行测评,测评的只是有没有实现相关的安全防护要求,而非部署什么产品,其提供的整改建议也以差距分析、需整改项为主。故而即使有等级保护测评机构的整改建议,不同供应商提供网络安全建设清单的时候,根据其对政策标准、信息系统了解的不同,以及其对产品、安全区域间安全防护能力理解的差异。以下一代防火墙的部署为例:
结论:采用“设备+模块”的方式,在产品性能及安全功能实现细节上要逊于“设备+设备”的方式,但在设备故障几率和价格上要优于“设备+设备”的方式。“设备+模块”的方式适用于网络安全防护流量较小、安全预算较少、对安全防护能力要求较低的单位;而“设备+设备”的方式适用于网络安全防护流量较大、安全预算充足、对安全防护能力要求较高的单位。
|