作者:刘运席
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全管理试读:
本书编委会
主 编:刘运席
副主编:高 强 王 君 王 鹏 李志国 王 栋谢 斌 张朝伦 李大涛 刘 文
编 委:侯 杰 韩利剑 王存祥 谢文赞 刘继京赵 煜 王立春 檀吉波序
当前,网络空间和国家的发展、国家的安全以及国民的生活联系越来越紧密。信息化已深入人们工作、学习和生活的各个方面,深刻改变了人们的生活方式和生活习惯。网络空间已经成为广大人民共同的精神家园。网络空间天朗气清、生态良好,才能符合人民利益和精神追求。树立正确的网络安全观,加快构建网络安全保障体系,全天候、全方位感知网络安全态势,增强网络安全的防御能力和威慑能力,对建设网络强国意义重大。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任已经是政府、企业、社会组织、广大网民的共识。而做好网络安全工作,从来不是一件容易的事情,需要广大人民共同地不懈努力。
我国网络安全法明确规定,“国家实行网络安全等级保护制度。”网络运营者应当按照网络安全等级保护制度的要求,“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取篡改”。而如何遵从我国法律法规,落实网络安全等级保护工作要求,提高工作效率、降低工作强度和压力,需要参考一些成功的经验和借鉴一些方法和理论上的指导。这也是许多网络的运营者、使用者迫切的需求。
本书编写组成员大都为网络安全管理和服务的一线工作者,他们深知做好网络安全工作的重要性,也经历过工作中因为缺乏基础知识和实践经验带来的困惑和难题。他们的经验总结对于广大网络安全从业者实践网络安全管理工作是非常宝贵的。
随着《中华人民共和国网络安全法》(以下简称《网络安全法》)的逐步深入实施,《关键信息基础设施安全保护条例》已经进入送审阶段;《网络安全等级保护条例(征求意见稿)》已经和大家见面;信息安全技术云计算服务安全指南系列标准(以下简称等保2.0)在大力推进并陆续发布中,有效推动了网络运营者的信息系统合法、合规、合标的规范化。大家也越来越认识到等级保护工作的重要性,等级保护制度上升到法律要求层面后,已成为我们做好网络安全保障的一项基本工作。
本书以等保 2.0 为主线,以等级保护三级信息系统为案例,分别从管理和技术角度阐述了网络安全的主要安全风险、安全管理目标、安全保障要求和应实行的安全措施等。
本书的最大特点是将网络安全等级保护要求在技术和管理上有机地结合在一起,针对不同要求逐条分析。既比较系统完整地介绍了如何遵循法律法规进行管理,又尝试为读者解读如何执行等级保护的网络安全的相关技术标准,从而实现网络安全管理能力和技术水平两方面的提升。
信息化技术及应用的发展令人目不暇接,我国当前也正处于一个高速发展阶段,各方面要素都变化极快,书中涉及内容广泛,难以对所有的网络安全保护需求都做到滴水不漏,难免会有不妥或已经过时之处,希望大家在阅读时以与时俱进的态度分析汲取有益的经验和知识,相信本书会对大家的工作学习提供很好的帮助。
网络安全工作任重而道远,让我们不忘初心,牢记使命,砥砺前行,为构建健康和谐的网络环境,为将我们伟大的国家建设成网络强国而共同努力。二〇一八年八月十五日
第1章 引言
纵观历史长河,互联网无疑是个新事物。站在现实的视角,互联网正成为新的引擎,放眼未来的发展,互联网必将播撒新希望。以互联网为代表的信息科技日新月异,引领了社会生产新变革,创造了人类生活新空间,拓展了国家治理新领域,极大提高了人类认识世界、改造世界的能力,也为中华民族带来了千载难逢的发展机遇。我们必须敏锐抓住信息化发展的历史机遇,重视互联网、发展互联网、治理互联网。然而,万事都有正反两面,在互联网如火如荼快速发展的同时,网络安全问题日渐突出,已经成为阻碍信息产业发展、影响经济社会稳定运行、损害人民群众财产和信息安全的重大问题。维护网络安全已经成为我国推进网络强国建设伟大进程中面临的重要现实课题。党的十八大以来,习近平总书记准确把握时代大势,积极回应实践要求,站在战略高度和长远角度指导网络安全和信息化工作,在多个场合发表有关我国网信工作发展的重要论述,为建设网络强国指明方向。
没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是关系国家安全、国家发展和广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局、统筹各方、创新发展,努力把我国建设成为网络强国。网络安全和信息化对国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
有鉴于此,全国上下已将网络安全和信息化工作提高到战略的高度,建设“网络强国”已成为中国梦的重要组成部分。做好网络安全工作,落实网络安全等级保护制度是起点,也是重中之重的基础工作;等级保护制度既是要求和指导,也是无数网络安全工作人员经验的积累,可以让我们少走弯路。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国家法规和系列政策文件明确规定,实现并完善网络安全等级保护制度,是统筹网络安全和信息化发展,完善国家网络安全保障体系,强化关键信息基础设施、重要信息系统和数据资源保护,提高网络综合治理能力,保障国家网络和信息安全的重要手段。
2017年6月1日《中华人民共和国网络安全法》正式实施,作为网络安全的基本法,对网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题作出明确规定,有效化解了长期以来各部门工作缺乏统筹,工作存在交叉重复等问题。中央对国家网络安全工作的总体布局已经形成,即统一领导、统筹协调、分工负责的网络安全工作架构。从网络安全支持与促进、网络运行安全一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置五个方面,对网络安全有关事项进行了规定,勾勒了我国网络安全工作的轮廓:以关键信息基础设施保护为重心,强调落实运营者责任,注重保护个人权益,加强动态感知快速反应,以技术、产业、人才为保障,立体化地推进网络安全工作。
本书以网络安全等级保护2.0最新要求为依据,以网络安全等保三级系统为案例进行编写,从网络安全管理和技术角度详述了网络系统面临的主要安全风险、网络安全管理目标、网络安全保障要求和应对网络安全风险的技术措施,以期为从事网络安全相关领域工作的读者提供从理论方法到具体实践的参考和指导。
第2章 网络安全等级保护的定级
2.1 网络安全等级保护及发展历程
网络安全等级保护是指国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。网络安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行网络安全等级保护制度,能够充分调动国家、公民、法人和其他组织的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007 年 6 月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室发布了《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护的具体要求,需要履行信息安全等级保护的义务和责任。2008年公布中华人民共和国国家标准GB/T 22239—2008,即《信息系统安全等级保护基本要求》和《信息系统安全等级保护定级指南》等。《中华人民共和国网络安全法》是为保障国家网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进网络安全和信息化健康发展而制定的法律,其中第二十一条明确要求国家实行网络安全等级保护制度。
图2-1所示为我国网络安全等级保护发展历程。图2-1 我国网络安全等级保护发展历程
2.2 网络安全定级的意义
保障信息安全、网络安全,维护国家安全、公共利益和社会稳定已成为信息化发展中迫切要解决的重大问题。网络安全等级保护制度是国家网络安全保障工作的基本制度,是开展信息安全工作的抓手,是网络安全管理工作的灵魂。开展网络安全等级保护工作是实现国家对重要信息系统、网络重点保护的重大措施,是促进信息化、维护国家信息安全的根本保障,是国家意志的重要体现,是指导开展网络安全的工作方法,也是一项事关国家安全、社会稳定、公共利益的基础性工作。开展网络安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,有利于明确国家、法人和其他组织、公民的安全责任,加强网络安全管理,有效提高我国信息安全保障工作的整体水平。开展网络安全等级保护工作有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。开展网络安全等级保护工作有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任。开展网络安全等级保护工作有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展和网络强国发展的信息安全模式。
2.3 网络安全定级的依据
1.网络安全保护等级原则
信息系统定级工作应按照“自主定级、专家评审、主管部门审核、公安机关审查”的原则进行。定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审核、公安机关审查。网络运营者和主管部门是网络安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设网络安全保护设施,建立安全管理制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,网络运营者和主管部门按照“谁主管谁负责,谁运营谁负责,谁使用谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。网络运营者和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
2.网络安全保护等级划分
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。(1)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;(2)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;(3)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;(4)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;(5)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
信息系统运营、使用单位依据国家网络安全等级保护政策和相关技术标准对信息系统进行保护,国家信息安全监管部门对其网络安全等级保护工作进行监督管理。定级要素与信息系统安全保护等级的关系见表2-1。表2-1 定级要素与安全保护等级的关系
3.定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1)受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
2)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
4.受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。
侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
侵害公民、法人和其他组织的合法权益,是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权力和利益等受到损害。
5.对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:(1)造成一般损害;(2)造成严重损害;(3)造成特别严重损害。
三种侵害程度的描述如下。
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较低的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题、极高的财产损失、大范围的社会不良影响,对其他组织和个人造成非常严重损害。
2.4 网络安全定级的流程
等级保护对象定级工作的一般流程为:运营方确定网络安全等级保护对象,初步确定保护对象等级,邀请相关专家评审,报主管部门审核,到公安机关备案审查,最终确定保护对象的安全等级,网络安全等级流程如图2-2所示。图2-2 网络安全定级流程
信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。定级工作可以按照下列步骤进行。2.4.1 确定网络安全等级保护对象
在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键的问题。网络运营者或主管部门按如下原则确定定级对象。
一是将起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是对用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。
三是将各单位网站作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
1.基础信息网络
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。
2.信息系统
1)工业控制系统
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中生产管理层应单独定级,其划分应遵循信息系统定级划分方法。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。
2)云计算平台
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
3)物联网
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等结构组成部分。
4)移动互联网
采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
5)大数据
应将具有统一安全责任单位的大数据平台作为一个整体对象定级,或将其与责任主体相同的相关支撑平台统一定级。
6)其他信息系统
作为定级对象的其他信息系统应具有如下基本特征:(1)具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位。(2)承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象。(3)具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。2.4.2 初步确定网络安全保护等级
1.定级方法概述
网络安全等级保护定级对象的安全主要包括业务信息安全和系统服务安全。与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
定级方法如下。
1)确定受到破坏时所侵害的客体(1)确定业务信息受到破坏时所侵害的客体。(2)确定系统服务受到侵害时所侵害的客体。
2)确定对客体的侵害程度(1)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度。(2)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。
3)确定安全保护等级(1)确定业务信息安全保护等级。(2)确定系统服务安全保护等级。(3)将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素,根据其在国家安全、经济建设、社会生活中的重要程度,以及数据资源遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。
对于基础信息网络、云计算平台等定级对象,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。国家关键信息基础设施的安全保护等级应不低于第三级。
2.确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
3.确定对客体的侵害程度
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对业务信息安全的破坏和对信息系统服务的破坏。其中,业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
业务信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。例如,系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定;业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应依据以下不同的判别基准:
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
4.确定网络安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2-2所列业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。表2-2 业务信息安全保护等级矩阵表
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2-3所列系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。表2-3 系统服务安全保护等级矩阵表
定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。2.4.3 专家评审
定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。2.4.4 主管部门审核
定级对象的运营、使用单位应将初步定级结果上报行业主管部门,由上级主管部门进行审核。2.4.5 公安机关备案审查
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。审查不通过,其网络运营者应组织重新定级;审查通过后最终确定定级对象的安全保护等级。2.4.6 等级变更
当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据标准要求重新确定定级对象和安全保护等级。
第3章 物理和环境安全
3.1 物理和环境安全风险
物理和环境安全的风险主要来源于自然环境灾害,人员访问控制失效,机房基础设施缺失导致的火灾、漏水、雷击和静电对设备电路的破坏,温湿度失调、设备失窃等安全事件,会影响网络、主机和业务的连续性,甚至导致业务数据丢失等。
3.2 物理和环境安全目标
物理和环境安全的目标是为机房选择一个合理的物理位置,最大程度上避开雷击多发区,爆炸、火灾、水灾隐患地点;在此基础上,为机房配置完善的基础设施,包括通过电子门禁控制人员的出入、配置自动告警和灭火的消防系统来确保火情可以及时地被发现和消除;机房环境控制要具备温湿度检测、漏水检测以及告警功能来保证运维人员可以及时发现机房温湿度失衡和空调漏水,配置双路冗余电路、UPS电源以及柴油发电机等备用电力输出系统来保证机房电力供应的持续性,使机房内的设备可以在稳定的环境中运行,降低设备故障的概率,保障信息系统的业务连续性。
3.3 物理和环境安全要求
1.物理位置选择要求
本项要求包括:(1)机房场地应选择在具有防震、防风和防雨等能力的建筑内;(2)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
2.物理访问控制要求
本项要求包括:
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
3.防盗窃和防破坏
本项要求包括:(1)应对机房设备或主要部件进行固定,并设置明显的不易除去的标志;(2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;(3)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
4.防雷击要求
本项要求包括:(1)应将各类机柜、设施和设备等通过接地系统安全接地;(2)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
5.防火要求
本项要求包括:(1)应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;(2)机房及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料;(3)应对机房进行划分区域管理,区域和区域之间设置隔离防火措施。
6.防水和防潮要求
本项要求包括:(1)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;(2)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;(3)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
7.防静电要求
本项要求包括:(1)应安装防静电地板并采用必要的接地防静电措施;(2)应采用措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
8.温、湿度控制要求
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
9.电力供应要求
本项要求包括:(1)应在机房供电线路上配置稳压器和过电压防护设备;(2)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;(3)应设置冗余或并行的电力电缆线路为计算机系统供电。
10.电磁防护要求
本项要求包括:(1)电源线和通信线缆应隔离铺设,避免互相干扰;(2)应对关键设备实施电磁屏蔽。
11.云计算的物理和环境安全要求
本项要求包括:(1)确保云计算服务器、承载云租户账户信息、鉴别信息、系统信息及运行关键业务和数据的物理设备均位于中国境内;(2)IDC应具有国家相关部门颁发的IDC运营资质。
12.移动互联的物理和环境安全要求
本项要求包括:
应为无线接入设备的安装选择合理位置,避免过度覆盖。
3.4 物理和环境安全措施
1.物理位置安全措施
存储在机房的重要信息系统的设备应避免严重震动(特别是磁盘阵列),需要在一个相对密闭的环境中运行。因此,机房应该选择建设在具备防震、防风和防雨能力的建筑内,应避免将机房部署在建筑物的顶层或地下室,以防顶层漏水、地下室雨水倒灌或地下水渗透。如果不得已将机房部署在以上位置的,应当加强防水和防潮措施:部署在顶层的应特别加强房顶的防水处理,部署在地下室的在加强防水处理的同时应在机房出入口处设置1~2层防水挡板并常备应急防水沙袋。
2.物理访问控制安全措施
机房出入口是进行物理访问控制的第一道屏障,也是最重要的一道屏障。机房出入口应配置电子门禁系统(见图3-1),控制、鉴别和记录进入的人员。电子门禁系统另一个重要的用途是对进入的人员进行记录,一旦发生网络安全事件,可以进行事件追溯,其日志记录应保存6个月以上。图3-1 电子门禁系统
3.防盗和防破坏安全措施
机房的设备或主要部件应当固定在机架上,并且在显著位置张贴不易除去的资产标志或标签,防止外来人员将机房内的设备带出机房;通信线缆应铺设在隐僻处或难以触及的位置,可铺设在地下或管道中;应设置机房防盗报警系统或设置有专人值守的视频监控系统(见图3-2和图3-3),并在非工作时段启用自动报警,实时展示报警区域的视频监控图像。视频监控文件保存6个月以上。图3-2 视频监控防盗防破坏图3-3 红外入侵监测告警
4.防雷击安全措施
应当在机房内设置接地系统,并将各类机柜、设施和设备等通过接地系统安全接地;由于高强度雷击会使放电范围内1千米的闭环电路产生感应雷,因此应在电路中部署防止感应雷电破坏计算机信息系统的保安装置,以防止由电源线侵入的感应雷电破坏计算机设备。
5.防火安全措施
机房内应设置火灾自动消防系统,通过烟感或红外检测自动发现火情,自动报警并启动灭火程序。机房及相关的工作房间等应采用如图3-4所示的防火地板、防火天花板、防火墙板和防火涂层,避免木质结构等易燃物质裸露;另外,应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。图3-4 机房区域防火设置
6.防水和防潮安全措施
机房应当做好防水处理,防止雨水通过窗户、屋顶和墙壁渗透;应通过温、湿度控制和冷热风道设计等措施防止机房内水蒸气结露,并合理处理地下积水;应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
7.防静电安全措施
应铺设防静电地板,将机柜和重要设备连接至接地系统,采用防静电措施;另外,还应采用措施防止静电的产生,使用静电消除器消除静电或佩戴防静电手环。
8.温、湿度控制安全措施
机房应设置温度、湿度自动调节设施(见图3-5),使机房温、湿度的变化在设备运行所允许的范围之内。对于使用设置精密空调控制机房内的温湿度的,按照GB 50174—2017《数据中心设计规范》执行,详见表3-1。图3-5 精密空调控制温湿度表3-1 机房温度和湿度控制规范
9.电力供应安全措施
通常,设备开关机、线路短路、电源切换等情况下可能会引起浪涌,即产生超出正常工作电压的瞬间过电压,因此需要在供电线路上配置稳压器和过电防压护设备,一般机房PDU电源都具备防浪涌的功能;应设置至少两路电力电缆线路提供电力供应,并根据机房设备功率和实际情况配置 UPS(见图3-6)或柴油发电机等短期的备用电力供应,以满足设备在断电情况下的正常运行要求。图3-6 UPS备用电力供应
10.电磁防护安全措施
机房内的电源线和通信线缆应隔离铺设,避免互相干扰;应对关键设备实施电磁屏蔽。比如:电源线(强电)可铺设在防静电地板下的线槽内,通信线缆(弱电)可铺设在上桥架内,如图3-7所示。
此外,计算机、通信机等电子设备在正常工作时会产生一定强度的电磁波,该电磁波可能会被专用设备所接收,以窃取其内容,因此关键设备需要进行电磁屏蔽,使用专门的电磁屏蔽机柜和屏蔽网线。图3-7 弱电上桥架走线
11.云计算的物理和环境安全
云计算平台是指采用了云计算技术的信息系统,一般由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成,如图3-8所示。一般来说,基础设施及服务(IaaS)、平台及服务(PaaS)和软件及服务(SaaS)是三种基本的云计算服务模式。
在基础设施及服务模式下,云计算平台由设施、硬件、资源抽象控制层组成;在平台及服务模式下,云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件及服务模式下,云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。
这三种基本的云计算服务模式都有共同的三个组件:设施、硬件和资源抽象控制。物理和环境安全保护即是对设施和硬件的安全保护,三种不同的服务模式对物理和环境安全的要求是一致的。云计算的物理与环境安全要求是确保云计算基础设施和硬件位于中国境内。图3-8 云计算平台
12.移动互联的物理和环境安全措施
采用移动互联技术的等级保护对象由移动端、移动应用和无线网络三部分组成。移动端(通常指移动通用终端和专用终端)通过无线信道连接无线接入设备并访问服务器,并通过移动终端管理系统的服务端软件向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略对移动端进行安全管理。涉及的物理与环境安全事项是,应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。
第4章 网络和通信安全
4.1 网络和通信安全风险
网络和通信安全风险来源主要从网络和安全设备硬件、软件以及网络通信协议三个方面来识别。网络和安全设备作为网络通信基础设施,其硬件性能、可靠性,以及网络架构设计在一定程度上决定了数据传输的效率。带宽或硬件性能不足会带来延迟过高、服务稳定性差等风险,也更容易因拒绝服务攻击导致业务中断等严重影响;架构设计的不合理,如设备单点故障,可能会造成严重的可用性问题。交换机、路由器、防火墙等网络基础设施及其本身运行软件也会存在一定的设计缺陷,安全风险主要有数据库系统漏洞、操作系统漏洞和应用系统编码漏洞等,从而导致此类设备在运行期间极易受到黑客的攻击。网络通信协议带来的风险更多地体现在协议层设计缺陷方面,虽然事件发生的可能性较低,但是缺陷一旦被安全研究人员披露,特别是安全通信协议,可能会对网络安全造成严重影响。
4.2 网络和通信安全目标
信息系统网络建设以维护用户网络活动的保密性、网络数据传输的完整性和应用系统可用性为基本目标。在网络架构安全层面上,应对网络划分安全域,为各区域分配不同的网络地址,对不同的安全域采取不同等级的保护措施,对重要网络区域设置边界防护措施,架构设计应考虑业务高峰时期网络承载力,并提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。在传输通路层面上,应采用加密及校验码技术确保数据的完整性和保密性。在边界防护层面上,应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,应能对非授权设备私自连接到内部网络或是内部用户非授权连接外网进行限制、检查或阻断,防止数据泄露。在网络设备层面上,应在各网络区域之间根据访问控制策略设置访问控制规则,从而对非授权用户访问进行阻断。在入侵防范层面上,应能及时探知非法入侵事件,并能实施防护,防止因非法用户侵入造成的系统破坏。在恶意代码的防范层面上,应能具备保护系统免受病毒等恶意代码攻击的能力,确保系统正常运行,防止用户信息泄露。在安全审计层面上,应对非法访问事件做跟踪记录,保存日志文件,为取证提供事后日志分析支持。在集中管控层面上,应建立安全的信息传输通道,划分特定管理区域,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析处置。
4.3 网络和通信安全要求
1.网络架构要求
本项要求包括:(1)应保证网络设备的业务处理能力满足业务高峰期需要;(2)应保证网络各个部分的带宽满足业务高峰期需要;(3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;(4)应避免将重要网络区域部署在网络边界处且没有边界防护措施;(5)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。
2.通信传输要求
本项要求包括:(1)应采用校验码技术或加解密技术保证通信过程中数据的完整性;(2)应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。
3.边界防护要求
本项要求包括:
试读结束[说明:试读内容隐藏了图片]