前情回顾
在上篇《网络安全等级保护制度2.0(上)——回顾与展望》中,我们对网络安全等级保护制度的历史沿革以及《网络安全等级保护条例(征求意见稿)》的内容与大家进行了一个简单的回顾与介绍。本篇《网络安全等级保护制度2.0(下)——系列标准解读》将对本次生效的基本要求、测评要求、设计技术要求三个国标进行具体介绍。
一、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
1. 出台背景及目的
为了配合《中华人民共和国网络安全法》(一下简称“《网安法》”)的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,国家标准GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》(以下简称“《基本要求》”和/或“GB/T 22239”)应运而生。
《基本要求》代替了GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》,针对网络安全共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全拓展要求,形成新的网络安全等级保护基本要求标准。
2. 关键定义
网络安全:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,并保障网络数据的完整性、保密性、可用性的能力。
安全保护能力:能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程序。
等级保护对象:是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破化后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
3. 不同安全保护等级的等级保护对象应具备的基本安全保护能力
在《网络安全等级保护制度2.0:回顾与展望》中,我们介绍了根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。在这里,根据《基本要求》,我们向大家说明不同级别的等级保护对象应具备的基本安全保护能力:
第一级:
能够防护免受来自个人的,拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级:
能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级:
能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快回复绝大部分功能。
第四级:
能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级:
略(笔者认为,考虑到民用系统中很少见到第五级,因此《基本要求》在此未进行披露。笔者在有限的实践中也暂未见到过第五级出现在民用系统中。)
4. 安全要求的分类
《基本要求》将安全要求分为10个小项,分别是安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。为方便各位理解与记忆,我们可以将上述10个小项分为两个大类,即网络技术安全要求与网络管理安全要求:
网络技术安全要求:
安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心
网络管理安全要求:
安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
除此以外,《基本要求》又对以上每个小项做出安全通用要求和安全拓展要求。其中,通用要求针对共性化保护需求提出,安全拓展要求针对个性化保护需求提出,根据安全保护等级和使用的特定技术或特定应用场景选择实现拓展要求。安全通用要求和安全拓展要求企共同构成了安全要求的一部分。(关于安全通用要求和安全拓展要求的选择和使用,可以参考《基本要求》附录A)
5. 等级保护安全架构
开展网络等级保护是一个系统性、复杂性、细节性极强的工作,企业需要依据国家相关法律法规、政策、标准,开展一系列组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。为方便各位理解整个网络等级保护工作的架构,我们挑选了《基本要求》中的下表供参考:
二、《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)
1. 出台背景及目的
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)(以下简称“《测评要求》”和/或“GB/T 28448-2019”)规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。
《测评要求》的出台替代了《信息安全技术 信息系统安全等级保护测评要求》。相比于GB/T 28448-2012,GB/T 28448-2019细化了单项测评的规定、增加了等级测评的拓展要求,并对测评力度进行了更严格的规定。
2.《测评要求》测评方法及其框架
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。具体方法有:
访谈
测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。
核查
测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,帮助测评人员理解、澄清或取得证据的过程。
测试
测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。
同时,《测评要求》将等级测评分为单项测评和整体测评,其中:
单项测评
针对各安全要求项的测评,支持测评结果的可重复性和可再现性。单项测评由测评指标、测评对象、测评实施和单元判定结果构成。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。
整体测评
在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补两个角度评判。整体测评包括安全控制点测评、安全控制点间测评和区域间测评。
3.《测评要求》对不同安全保护等级的测评力度有不同要求
《测评要求》对不同安全保护等级的测评力度有不同要求,这主要体现在测评工作的广度和深度上。安全保护等级越高,测评广度就越大,深度就越深。其中,所谓测评广度越大,指的是测评需要在更多细节上开展,测试要求也更严格。所谓测评深度越广,指的是测评实施包含的测评对象更多。具体来说:
*不同级别的等级保护对象的测评力度要求
4. 单项测评与整体测评的基本内容
单项测评针对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理和(或)安全管理中心进行测评,测评的内容根据安全保护等级不同而有所不同,包括但不限于对防盗窃和防破坏、边界防护、可信验证、身份鉴别、数据备份恢复、服务供应商管理、安全意识教育和培训、安全事件处置、安全审计、数据保密性、资产管理等内容的测评。
整体测评主要从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析,从而给出等级测评结论。
5. 等级测评报告结果
等级测评报告会对测评结果中的不符合项或部分符合项进行风险分析,评估其所产生的安全问题被威胁利用的可能性,并判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度。最终,等级测评报告会给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。其中,
符合,是指定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
基本符合,是指定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
不符合,是指定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,且存在的安全问题会导致定级对象面临高等级安全风险,或中低风险所占比例超过阈值。
三、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
1. 出台背景及目的
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)(以下简称“《设计技术要求》”和/或“GB/T 25070-2019”)对网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求进行了规定,特别针对云计算、移动互联、物联网、工业控制和大数据等新的应用场景提出了特殊的安全设计技术要求,适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
《设计技术要求》作为GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》的替代,对应用领域进行了扩展,并对云计算、移动互联、物联网、工业控制和大数据进行了专门性的规定,使不同种类、不同级别的网络安全等级保护的安全设计技术要求更加具体和规范,从而促使推荐性国家标准更好地适应日新月异的互联网应用场景。
2. 不同等级的系统安全保护环境设计目标
《设计技术要求》针对不同等级的系统安全保护环境规定了不同程度的设计目标,具体如下:
第一级:
按照GB 17859-1999对第一级系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。
第二级:
按照GB 17859-1999对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力,并保障基础计算资源和应用程序可信。
第三级:
按照GB 17859-1999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力,并保障基础计算资源和应用程序可信,确保关键执行环节可信。
第四级:
按照GB 17859-1999对第四级系统的安全保护要求,建立一个明确定义的形式化安全策略模型,将自主和强制访问控制扩展到所有主体与客体,相应增强其他安全功能强度;将系统安全保护环境结构化为关键保护元素和非关键保护元素,以使系统具有抗渗透的能力;保障基础计算资源和应用程序可信,确保所有关键执行环节可信,对所有可信验证结果进行动态关联感知。
第五级:
略。(笔者认为,考虑到民用系统中很少见到第五级,因此《基本要求》在此未进行披露。笔者在有限的实践中也暂未见到过第五级出现在民用系统中。)
3. 网络安全等级保护安全技术设计框架
网络安全等级保护安全技术设计包括:1)各级系统安全保护环境的设计;2)及其安全互联的设计。所谓安全保护环境,指的是“一个中心”管理下的“三重防护”系统,针对安全管理中心建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障的系统安全整体体系。所谓安全互联,指的是定级系统互联,其由安全互联部件和跨定级系统安全管理中心组成。
*网络安全等级保护安全技术设计框架
其中,“一个中心”、“三重防护”以及定级系统互联的定义如下:
安全管理中心
对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。
安全计算环境
对定级系统的信息进行存储、处理及实施安全策略的部件。
安全区域边界
对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的部件。
安全通信网络
对定级系统安全计算环境之间进行信息传输及实施安全策略的部件。
定级系统互联
通过安全互联部件[1]和跨定级系统安全管理中心[2]实现的相同或不同等级的定级系统安全保护环境之间的安全链接。
4. 第三级系统安全保护环境设计
本文以第三级系统为例(具体事例可参见《设计技术要求》附录B),向大家简要说明系统安全保护环境设计的要点。
首先,根据“一个中心”管理下的“三重防护”系统要求,第三级系统安全保护环境应分为四个部分,分别为:安全管理中心、安全计算环境、安全区域边界以及安全通信网络。其次,每个部分下又由一个或若干个子系统[3]组成。最后,《设计技术要求》从安全管理流程与访问控制流程角度对子系统策略初始化流程、计算节点启动流程、计算节点访问控制流程、跨计算节点访问控制流程以及跨边界访问控制流程等主要流程做出了要求,具体要求如下:
*各子系统主要流程
5. 结语
本系列文章主要对网络安全等级保护制度进行了一次回顾,并对等保2.0相关的主要法律法规以及本次生效的几份国家标准进行了初步梳理与重点简介,以期能帮助读者厘清相关思路,快速了解相应内容。笔者期待在日后的实践中可以伴随各位与国家网络安全等级制度一起成长,共同进步。
[注]
[1]应通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接,并按互联互通的安全策略进行信息交换,实现安全互联部件。安全策略由跨定级系统安全管理中心实施。
[2]对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台或区域。
[3]第三级系统安全保护环境子系统可能包含节点子系统、典型应用支撑子系统、区域边界子系统、通信网络子系统、系统管理子系统、安全管理子系统、审计子系统等。
The End
高俊 律师
上海办公室 合伙人