网络安全等级保护内容(干货网络安全等级保护主要标准简要说明)
1.《计算机信息系统安全保护等级划分准则》(GB17859-1999)
(1)主要用途
本标准将计算机信息系统的安全保护能力划分成五个等级,并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:规范和指导计算机信息系统安全保护有关标准的制定;为安全产品的研究开发提供技术支持;为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。
(2)主要内容
本标准界定了计算机信息系统的基本概念,即计算机信息系统是由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统按照安全保护能力划分为五个等级,分别是第一级用户自主保护级、第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级。从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
2.《网络安全等级保护定级指南》(GA/T 1389-2017)
(1)主要用途
网络定级是等级保护工作的首要环节,是开展网络安全建设整改、等级测评、监督检查等后续工作的重要基础。《网络安全等级保护定级指南》从网络对国家安全、经济建设、社会生活的重要作用,网络承载业务的重要性及业务对网络的依赖程度等方面,提出确定网络的安全保护等级的方法。
(2)主要内容
《定级指南》包括定级原则、定级方法及等级变更等内容。网络安全保护定级是确定等级保护对象的安全保护等级,等级保护对象是网络安全等级保护工作的作用对象,主要包括基础信息网络、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统及其他信息系统)和大数据等。
● 定级原则:给出了网络五个安全保护等级的具体定义,将网络受到破坏时所侵害的客体和对客体造成侵害的程度两方面因素作为信息系统的定级要素,并给出了定级要素与网络安全保护等级的对应关系。
● 定级方法:网络安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,网络定级可以分别确定业务信息安全保护等级和系统服务安全保护等级,并取二者中的较高者为网络的安全保护等级。
● 等级变更:网络的安全保护等级会随着网络所处理信息或业务状态的变化而变化,当网络发生变化时应重新定级并备案。
3.《网络安全等级保护基本要求》
(1)主要用途
网络按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的网络有着不同的安全需求,为此,针对不同等级的网络提出了相应的基本安全保护要求,各个级别网络的安全保护要求构成了《网络安全等级保护基本要求》。
《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859一1999)为基础硏究制定,提出了各级网络应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为网络运营者在网络安全建设中提供参照。
(2)主要内容
《基本要求》的技术部分吸收和借鉴了《计算机信息系统安全保护等级划分准则》及相关标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径共八个安全机制,并将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层。《基本要求》的管理部分充分借鉴了 ISO/IEC 17799:2005等国际流行的信息安全管理方面的标准。
● 总体框架
《基本要求》主体内容包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
安全通用要求是针对不同安全保护等级对象应该具有的安全保护能力提出的安全要求,根据实现方式的不同,安全要求分为技术要求和管理要求两大类。技术类安全要求与提供的技术安全机制有关,主要通过部署软硬件并正确配置其安全功能来实现;管理类安全要求与各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程及记录等方面做出规定来实现。安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。
● 扩展要求的主要内容
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能被称为网络基础设施、传统信息系统、云计算平台、物联网系统、工业控制系统等。应用场景的差异导致不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。
1)云计算安全扩展要求
针对云计算的特点提出特殊保护要求。云计算安全扩展要求重点在“基础设施的位置”“虚拟化安全保护”“镜像和快照保护”“云服务商选择”“云计算环境管理”等方面提出要求。云计算安全扩展要求主要提出云计算平台自身的特殊保护要求和云计算平台应该向租户提供的保护能力要求。
2)移动互联安全扩展要求
是针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”“移动终端管控”“移动应用管控”“移动应用软件采购”“移动应用软件开发”等方面。
3)物联网安全扩展要求
是针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”“感知节点设备安全”“网关节点设备安全”“感知节点的管理”“数据融合处理”等方面。
4)工业控制系统安全扩展要求
是针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”“工业控制系统网络架构安全”“拨号使用控制”“无线使用控制”“控制设备安全”等方面,针对工业控制系统实时性要求高的特点,调整了“漏洞和风险管理”“恶意代码防范管理”等方面的要求。工业控制系统是较为复杂的等级保护对象,通常是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)系统、集散控制系统(DCS)和其他控制系统。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(例如汽车、航空航天和耐用品)等行业。国际标准IEC 62264-1(《企业控制系统第1部分:模型和术语》)将工业控制系统进行了层次结构模型划分,层次模型从上到下共分为五个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款。
● 保护要求的分级方法
网络分为五个安全保护等级,其安全保护能力逐级增高,因此相应的安全保护要求和措施逐级增强,体现在两个方面:一是随着网络安全级别的提高,安全要求的项数将有所增加;二是随着网络安全级别的提高,同一项安全要求的强度将有所增加。
例如,第三级网络基本要求是在第二级基本要求的基础上,在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖的要求,同时对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加;在管理方面增加了监控管理和安全管理中心两项要求,同时对安全管理制度评审、人员安全和网络建设过程管理提出了进一步要求。通过安全要求项数和强度的不同,综合体现了不同等级网络安全要求的级差。
(3)使用说明
《基本要求》对第一级网络的基本要求仅供网络运营者参考,按照自主保护的原则采取必要的安全技术和管理措施。网络运营者在进行网络安全建设整改时,可以在《基本要求》的基础上,根据行业和网络实际,提出特殊安全要求,开展安全建设整改。
《基本要求》给出了各级网络每一保护方面需要达到的要求,不是具体的安全建设整改方案或作业指导书,所以,实现《基本要求》的措施或方式并不局限于《基本要求》给出的内容,要结合网络自身的特点综合考虑采取的措施来达到《基本要求》提出的保护能力。
《基本要求》中不包含安全设计和工程实施等内容,因此,在网络安全建设整改中,可以参照《信息系统安全等级保护实施指南》《网络安全等级保护安全设计技术要求》《信息系统安全工程管理要求》进行。《基本要求》是网络安全建设整改的目标,《网络安全等级保护安全设计技术要求》是实现该目标的方法和途径之一。《基本要求》综合了《信息系统物理安全技术要求》《信息系统通用安全技术要求》《信息系统安全管理要求》的有关内容,在进行网络安全建设整改方案设计时可进一步参考后三个标准。
网络定级时要根据业务信息安全等级和系统服务安全等级确定的网络安全等级,因此,在进行网络安全建设时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求,而通用安全保护要求要与网络等级对应。
网络运营者在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善网络安全保障体系,提高网络的整体安全防护能力。对于《基本要求》中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com