网络安全等级测评是网络安全等级保护工作的核心环节,既是国家合规性要求,也是网络运营者必须履行的法定义务。依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)等项国家标准,本期系统解读网络安全等级测评的具体方法和内容,帮助各位清晰理解测评要求,有效开展网络安全建设。
等级测评依据和对象
由于业务目标、使用技术、应用场景的差异,不同的等级保护对象会以不同的形态出现,形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异,为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,在《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)中,对不同等级保护对象的安全通用要求和安全扩展要求作出具体规定。
网络安全等级测评则需依据信息系统的等级,从中遴选相应等级的安全测评指标,并遵循《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)对信息系统的安全现状予以评估。
测评对象包括数据机房、网络设备、安全设备、服务器/存储设备、终端/现场设备、系统管理软件/平台、业务应用系统/平台、安全相关人员、机房、介质以及管理文档。
等级测评方法
01
访谈
测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息,访谈人员包括:网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。
02
文档审查
检查基本要求中规定的必须具有的制度、策略、操作规程等文档是否齐备,是否有完整的制度执行情况记录以及文件的完整性和这些文件之间的内部一致性。
03
实地察看
实地观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
04
配置检查
利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确。
05
工具测试
通过对测评对象按照预定的方法使其产生特定的响应等活动,查看、分析响应输出结果,获取证据以证明等级保护措施是否得以有效,包括漏洞扫描和渗透测试。
等级测评安全通用要求
01
以第二级系统为例
➤第二级定级对象
依据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)中测评对象确定原则和方法:第二级定级对象的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面:
——主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施,那么也应该作为测评对象;
——存储被测定级对象重要数据的介质的存放环境;
——整个系统的网络拓扑结构;
——安全设备,包括防火墙、入侵检测设备、防病毒网关等;
——边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
——对整个定级对象或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
——承载被测定级对象核心或重要业务、数据的服务器(包括其操作系统和数据库);
——重要管理终端;
——能够代表被测定级对象主要使命的业务应用系统;
——信息安全主管人员、各方面的负责人员;
——涉及到定级对象安全的所有管理制度和记录。
在本级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。
➤第二级测评指标
根据定级结果,等级保护二级的安全测评指标包括《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)“第二级安全要求”中的安全通用要求。
02
以第三级系统为例
➤第三级定级对象
第三级定级对象的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面:
——主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于定级对象的局部(包括整体)或对定级对象的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
——存储被测定级对象重要数据的介质的存放环境;
——办公场地;
——整个系统的网络拓扑结构;
——安全设备,包括防火墙、入侵检测设备和防病毒网关等;
——边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
——对整个定级对象或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
——承载被测定级对象主要业务或数据的服务器(包括其操作系统和数据库);
——管理终端和主要业务应用系统终端;
——能够完成被测定级对象不同业务使命的业务应用系统;
——业务备份系统;
——信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
——涉及到定级对象安全的所有管理制度和记录。
在本级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。
➤第三级测评指标
根据定级结果,等级保护三级的安全测评指标包括《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)“第三级安全要求”中的安全通用要求。
等级测评安全扩展要求
为满足云计算、移动互联、物联网、工业控制系统、大数据五类特定技术场景的个性化安全需求,安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。
01
云计算安全扩展要求
云计算安全扩展要求是云计算平台在满足安全通用要求的基础上提出的安全要求,主要内容包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云计算环境管理、云服务商选择等,具体包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理。云计算安全扩展要求的安全控制点包括:基础设施位置、网络架构、网络边界的访问控制、入侵防范、安全审计、集中管控;计算环境的身份鉴别、访问控制、入侵防范、镜像和快照保护、数据安全性、数据备份恢复、剩余信息保护;云服务商选择;供应链管理;云计算环境管理等等。
02
移动互联安全扩展要求
移动互联安全扩展要求是在通用要求的基础上对采用移动互联技术的等级保护对象提出的扩展要求,即针对移动终端、移动应用和无线网络提出的安全要求。移动互联安全扩展要求与安全通用要求一起构成了针对采用移动互联技术的等级保护对象的完整安全要求,主要内容包括无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等内容。
03
物联网安全扩展要求
对于物联网来说,安全问题主要出现在物联网的感知层。针对感知层提出的安全扩展要求与安全通用要求一起构成了物联网的整体安全要求。物联网安全扩展要求主要包括感知节点的物理防护、感知节点设备安全、网关节点设备安全、感知节点的管理和数据融合处理等。
04
工业控制系统安全扩展要求
工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,并与安全通用要求一起构成完整的安全要求,主要包括室外控制设备物理防护、网络架构、通信传输、访问控制、拨号使用控制、无线使用控制、控制设备安全、产品采购和使用、外包软件开发等。
05
大数据安全扩展要求
大数据平台的安全要求,包括:对大数据应用系统、重要接口的身份鉴别;数据分类管理;对组件、接口调用及数据集使用的权限控制;重要接口调用情况审计;大数据存储和交换的完整性和保密性保护;数据迁移和销毁保护;个人信息保护。
内容来源:计算机与网络安全
