《電子技術(shù)應(yīng)用》
欢迎订阅(电子2025)
欢迎订阅(网数2025)
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 網(wǎng)絡(luò)安全等級保護(hù):如何做好網(wǎng)絡(luò)總體安全規(guī)劃
NI-LabVIEW 2025

網(wǎng)絡(luò)安全等級保護(hù):如何做好網(wǎng)絡(luò)總體安全規(guī)劃

2021-11-19
來源:河南等級保護(hù)測評
關(guān)鍵詞: 網(wǎng)絡(luò)總體安全

  前面我們談了定級、評審與備案三個工作項。接下來則是建設(shè)整改工作部分,但是從《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實施指南》,這塊工作則進(jìn)入總體安全規(guī)劃階段,和《信息安全等級保護(hù)管理辦法》五個規(guī)定動作不再是一一對應(yīng)關(guān)系了。如圖所示進(jìn)入第二層總體安全規(guī)劃。

  細(xì)分又包括需求分析、總體設(shè)計、建設(shè)規(guī)劃,“三同步”原則為“同步規(guī)劃、同步建設(shè)、同步使用”,也就是在規(guī)劃之際就要考慮落實等級保護(hù)工作,而不是待測評時才考慮要“過”等保。另外,等級保護(hù)測評原則上不錯在過不過,只是對相應(yīng)的系統(tǒng)給出科學(xué)公正的評價。過不過等保與前期規(guī)劃有著莫大的關(guān)系,再者等級保護(hù)測評工作的最終落腳點也是安全整改,也就是在安全整改中尋求落實等級保護(hù)工作未做到“三同步”而遺留的重大安全問題。

  總體安全規(guī)劃是落實等級保護(hù)工作的前期工作,也是非常重要的環(huán)節(jié)。在這個環(huán)節(jié),網(wǎng)絡(luò)運(yùn)營、使用單位若自身實力不夠,一定要找足夠?qū)I(yè)的安全服務(wù)機(jī)構(gòu)或?qū)<覅⑴c其中,提供專業(yè)的服務(wù)和指導(dǎo)。

  總體安全規(guī)劃階段的目標(biāo)是根據(jù)等級保護(hù)對象的劃分情況、等級保護(hù)對象的定級情況、等級保護(hù)對象承載業(yè)務(wù)情況,通過分析明確等級保護(hù)對象安全需求,設(shè)計合理的、滿足等級保護(hù)要求的總體安全方案,并制定出安全實施計劃,以指導(dǎo)后續(xù)的等級保護(hù)對象安全建設(shè)工程實施。

  流程大致如下圖所示:

  依據(jù)上圖,我們將總體安全規(guī)劃工作分成三個階段。

  第一階段:安全需求分析

  這個階段分基本安全需求和特殊安全需求。

  基本安全需求需要輸入的包括等級保護(hù)對象詳細(xì)描述文件、安全保護(hù)等級定級報告、等級保護(hù)對象相關(guān)的其他文檔、GB/T 22239《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》、行業(yè)基本要求等。這個階段對于基本安全需求涉及的子活動有確定等級保護(hù)對象范圍和分析對象、形成基本安全需求。根據(jù)等級保護(hù)對象的安全保護(hù)等級,提出等級保護(hù)對象的基本安全保護(hù)需求,通過安全需求分析輸出內(nèi)容為基本安全需求。

  特殊安全需求需要輸入的等級保護(hù)對象詳細(xì)描述文件、安全保護(hù)等級定級報告、等級保護(hù)對象相關(guān)的其他文檔等。這個階段對于特殊安全需求可以采用目前成熟或流行的需求分析或風(fēng)險分析方法,或者采用重要資產(chǎn)分析、重要資產(chǎn)安全弱點評估、 重要資產(chǎn)面臨威脅評估、 綜合風(fēng)險分析。

  通過分析重要資產(chǎn)的特殊保護(hù)要求,采用需求分析或風(fēng)險分析的方法,確定可能的安全風(fēng)險,判斷實施特殊安全措施的必要性,提出等級保護(hù)對象的特殊安全保護(hù)需求,最終輸出重要資產(chǎn)的特殊保護(hù)要求。

  該階段輸入內(nèi)容有等級保護(hù)對象詳細(xì)描述文件、安全保護(hù)等級定級報告、基本安全需求、重要資產(chǎn)的特殊保護(hù)要求等。這個階段完成安全需求分析報告。根據(jù)基本安全需求和特殊的安全保護(hù)需求等形成安全需求分析報告完成安全需求分析報告包含但不限于  等級保護(hù)對象描述、基本安全需求描述、 特殊安全需求描述。

  這個階段的工作是運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

  通過總結(jié)基本安全需求和特殊安全需求,形成安全需求分析報告,最終輸出安全需求分析報告。

  第二階段:總體安全設(shè)計

  該階段又可以分為總體安全策略設(shè)計、安全技術(shù)體系結(jié)構(gòu)設(shè)計、整體安全管理體系結(jié)構(gòu)設(shè)計,最終則完成設(shè)計結(jié)果文檔化。

  總體安全策略設(shè)計需要輸入的等級保護(hù)對象詳細(xì)描述文件、安全保護(hù)等級定級報告、安全需求分析報告。通過確定安全方針、制定安全策略形成機(jī)構(gòu)綱領(lǐng)性的安全策略文件,包括確定安全方針,制定安全策略,以便結(jié)合等級保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求和安全保護(hù)特殊要求,構(gòu)建機(jī)構(gòu)等級保護(hù)對象的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。對于新建的等級保護(hù)對象,應(yīng)在立項時明確其安全保護(hù)等級,并按照相應(yīng)的保護(hù)等級要求進(jìn)行總體安全策略設(shè)計。最終需要輸出總體安全策略文件。

  安全技術(shù)體系結(jié)構(gòu)設(shè)計需要輸入總體安全策略文件、等級保護(hù)對象詳細(xì)描述文件、安全保護(hù)等級定級報告、安全需求分析報告、GB/T 22239、行業(yè)基本要求。通過設(shè)計安全技術(shù)體系架構(gòu)、規(guī)定不同級別定級對象物理環(huán)境的安全保護(hù)技術(shù)措施、規(guī)定通信網(wǎng)絡(luò)的安全保護(hù)技術(shù)措施、規(guī)定不同級別定級對象的邊界保護(hù)技術(shù)措施、規(guī)定定級對象之間互聯(lián)的安全技術(shù)措施、規(guī)定不同級別定級對象內(nèi)部的安全保護(hù)技術(shù)措施;根據(jù)機(jī)構(gòu)總體安全策略文件、等級保護(hù)基本要求、行業(yè)基本要求和安全需求,提出云計算、移動互聯(lián)等新技術(shù)的安全保護(hù)策略和安全技術(shù)措施。云計算平臺應(yīng)至少滿足其承載的最高級別定級對象的等級保護(hù)基本要求;形成等級保護(hù)對象安全技術(shù)體系結(jié)構(gòu)將骨干網(wǎng)或城域網(wǎng)、通過骨干網(wǎng)或城域網(wǎng)的定級對象互聯(lián)、局域網(wǎng)內(nèi)部的定級對象互聯(lián)、定級對象的邊界、定級對象內(nèi)部各類平臺、機(jī)房以及其他方面的安全保護(hù)策略和安全技術(shù)措施進(jìn)行整理、匯總,形成等級保護(hù)對象的安全技術(shù)體系結(jié)構(gòu)。最終需要輸出等級保護(hù)對象安全技術(shù)體系結(jié)構(gòu)。圖片

  整體安全管理體系結(jié)構(gòu)設(shè)計需要輸入總體安全策略文件、等級保護(hù)對象詳細(xì)描述文件、安全保護(hù)等級定級報告、安全需求分析報告、GB/T 22239、行業(yè)基本要求。通過設(shè)計等級保護(hù)對象的安全管理體系框架、規(guī)定網(wǎng)絡(luò)安全的組織管理體系和對不同級別定級對象的安全管理職責(zé)、規(guī)定不同級別定級對象的人員安全管理策略、規(guī)定不同級別定級對象機(jī)房及辦公區(qū)等物理環(huán)境的安全管理策略、規(guī)定不同級別定級對象介質(zhì)、設(shè)備等的安全管理策略、規(guī)定不同級別定級對象運(yùn)行安全管理策略、根據(jù)機(jī)構(gòu)總體安全策略文件、等級保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求和安全需求,提出各個不同級別定級對象的安全事件處置和應(yīng)急管理策略等;規(guī)定不同級別定級對象安全事件處置和應(yīng)急管理策略等。最終需要輸出等級保護(hù)對象安全管理體系結(jié)構(gòu)。圖片

  根據(jù)安全需求分析報告、等級保護(hù)對象安全技術(shù)體系結(jié)構(gòu)、等級保護(hù)對象安全管理體系結(jié)構(gòu)等,對安全需求分析報告、等級保護(hù)對象安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)等文檔進(jìn)行整理,形成等級保護(hù)對象總體安全方案。

  等級保護(hù)對象安全總體方案應(yīng)包含但不限于等級保護(hù)對象概述、總體安全策略、 等級保護(hù)對象安全技術(shù)體系結(jié)構(gòu)、 等級保護(hù)對象安全管理體系結(jié)構(gòu)。

  第三階段:安全建設(shè)項目規(guī)劃

  該階段又可以分為安全建設(shè)目標(biāo)確定、安全建設(shè)內(nèi)容規(guī)劃,最終則形成安全建設(shè)項目規(guī)劃。

  安全建設(shè)目標(biāo)確定需要輸入等級保護(hù)對象安全總體方案、機(jī)構(gòu)或單位信息化建設(shè)的中長期發(fā)展規(guī)劃。通過信息化建設(shè)中長期發(fā)展規(guī)劃和安全需求調(diào)查、提出等級保護(hù)對象安全建設(shè)分階段目標(biāo),確定各個時期的安全建設(shè)目標(biāo)。最終輸出等級保護(hù)對象分階段安全建設(shè)目標(biāo)。

  安全建設(shè)內(nèi)容規(guī)劃需要輸入等級保護(hù)對象安全總體方案、等級保護(hù)對象分階段安全建設(shè)目標(biāo)。通過確定主要安全建設(shè)內(nèi)容,其中內(nèi)容可分解為但不限于以下內(nèi)容:

  1) 安全基礎(chǔ)設(shè)施建設(shè);

  2) 網(wǎng)絡(luò)安全建設(shè);

  3) 系統(tǒng)平臺和應(yīng)用平臺安全建設(shè);

  4) 數(shù)據(jù)系統(tǒng)安全建設(shè);

  5) 安全標(biāo)準(zhǔn)體系建設(shè);

  6) 人才培養(yǎng)體系建設(shè);

  7) 安全管理體系建設(shè)。

  確定主要安全建設(shè)項目實現(xiàn)設(shè)計分期分批的主要建設(shè)內(nèi)容,并將建設(shè)內(nèi)容組合成不同的項目,闡明項目之間的依賴或促進(jìn)關(guān)系等。最終輸出安全建設(shè)項目列表(含安全建設(shè)內(nèi)容)。

  形成安全建設(shè)項目規(guī)劃需要輸入等級保護(hù)對象安全總體方案、等級保護(hù)對象分階段安全建設(shè)目標(biāo)、安全建設(shè)內(nèi)容等,對等級保護(hù)對象分階段安全建設(shè)目標(biāo)、安全總體方案和安全建設(shè)內(nèi)容等文檔進(jìn)行整理,形成等級保護(hù)對象安全建設(shè)項目規(guī)劃。在時間和經(jīng)費(fèi)上對安全建設(shè)項目列表進(jìn)行總體考慮,分到不同的時期和階段,設(shè)計建設(shè)順序,進(jìn)行投資估算,形成安全建設(shè)項目規(guī)劃。輸出等級保護(hù)對象安全建設(shè)項目規(guī)劃。

  安全建設(shè)項目規(guī)劃可包含但不限于以下內(nèi)容:

  a) 規(guī)劃建設(shè)的依據(jù)和原則;

  b) 規(guī)劃建設(shè)的目標(biāo)和范圍;

  c) 等級保護(hù)對象安全現(xiàn)狀;

  d) 信息化的中長期發(fā)展規(guī)劃;

  e) 等級保護(hù)對象安全建設(shè)的總體框架;

  f) 安全技術(shù)體系建設(shè)規(guī)劃;

  g) 安全管理與安全保障體系建設(shè)規(guī)劃;

  h) 安全建設(shè)投資估算(含測試及運(yùn)維估算等內(nèi)容);

  i) 等級保護(hù)對象安全建設(shè)的實施保障等內(nèi)容。

  這個階段的工作主要是運(yùn)營、使用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

  前面,我們提到有關(guān)“三同步”,在設(shè)計策劃階段很多時候可能會有更多的商務(wù)介入,其實在這個過程中網(wǎng)絡(luò)運(yùn)營、使用單位最需要的具備整體系統(tǒng)性把控安全能力的技術(shù)人員。技術(shù)方面也不是什么都能應(yīng)承都敢應(yīng)承的,一個全面的技術(shù)人員需要了解法律法規(guī)政策以及當(dāng)下成熟技術(shù),才能夠給出合理化的建議。

  等級保護(hù)工作,遵循“三同步”原則,在設(shè)計之初需要滿足《網(wǎng)絡(luò)安全等級保護(hù)基本要求》,通過《網(wǎng)絡(luò)安全等級保護(hù)實施指南》《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)來實現(xiàn)。因為《設(shè)計要求》又不包括網(wǎng)絡(luò)的物理安全、安全管理、安全運(yùn)維等方面的安全要求,所以還需要與《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)配合使用。所以各個標(biāo)準(zhǔn)之間的關(guān)系是互相支援,相輔相成的關(guān)系,不可鉆進(jìn)一個標(biāo)準(zhǔn)里出不來,更不可脫離標(biāo)準(zhǔn)主觀臆斷。

  在接下來的時間里,我們將逐步展開這方面的內(nèi)容,我想無論是對于集成方還是網(wǎng)絡(luò)運(yùn)營、使用方都有參考意義和價值。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。