freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

網絡安全等級保護測評工作實施指南
2020-04-18 16:45:58

等級保護工作流程

網絡安全等級保護2.0時代,落實等級保護制度的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。

定級

網絡安全等級保護一共分為五個級別:第一級、第二級、第三級、第四級、第五級。安全保護等級兩要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

等級保護對象定級工作的一般流程下圖.

1586676120627207.png

在云計算環境下,等級保護對象大致可以分為三類:

1)?云計算平臺

云服務商提供的云基礎設施及其上的服務層軟件的組合。云服務商可根據不同的云計算服務模式將云計算平臺劃分為不同的定級對象,如:云計算基礎服務平臺(IaaS)、云計算數據和開發平臺(PaaS)以及云計算應用服務平臺(SaaS)。

2)?云服務客戶業務應用系統

云服務客戶業務應用系統包括云服務客戶部署在云計算平臺上的業務應用和云服務商為云服務客戶通過網絡提供的應用服務。云服務客戶業務應用系統單獨作為定級對象。

3)?云計算技術構建的業務應用系統

業務應用和為此業務應用獨立提供底層云計算服務、硬件資源的組合,此類系統中無云服務客戶。云計算技術構建的業務應用系統單獨作為定級對象。

備案

等級保護對象級別確定之后,30個工作日內網絡運營者或其主管部門將定級材料提交到所在地設區的市一級公安機關網安部門辦理備案手續。備案成功后,由當地網安部門頒發《備案證明》。

由于云計算資源分散、管理統一,關于云計算平臺的備案,依據“責權一致,便于監管”的原則,確立了“云計算服務商應該向云計算平臺運維管理主體所在地公安機關進行備案”的工作模式,可分為下列3種場景:

本地化的云計算服務商,機房所在地和運維管理主體所在地一致,云服務商直接到當地公安機關備案并接受備案機關管理;

云計算平臺跨省部署,涉及兩類安全責任主體:網絡設備、主機設備及虛擬資源的配置和安全管理均由在某地集中辦公的運維部門(獨立法人)統一負責;各地數據中心運營者(獨立法人)負責物理環境安全(例如建筑物門禁、電力供應等)。云計算服務商應到運維管理主體所在地公安機關備案,其運維管理的云計算服務相關的業務系統接受備案公安機關的監督管理。同時,各數據中心的物理環境安全接受機房所在地公安機關的監管,物理基礎設施(含機房建筑、機電設備和安防及監控系統等)可作為定級對象;

云計算平臺跨省部署,各地各地數據中心均租用當地IDC的物理基礎設施,網絡設備、主機設備及虛擬資源的配置和管理均由集中在某地辦公的運維部門統一管理。云計算服務商應到運維管理主體所在地公安機關備案,當地機房及云計算服務相關業務系統接收所在備案公安機關的監督管理。對于物理環境安全,云計算服務商應選擇與其自身安全保護等級相匹配的IDC機房。

建設整改

等級保護對象備案成功后,對已有的信息系統,其運營、使用單位根據已經確定的信息安全保護等級,按照等級保護的管理規范和技術標準,采購和使用相應等級的信息安全產品,建設安全設施,落實安全技術措施,完成系統整改。安全建設整改工作分五步進行:

1)?落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;

2)?根據其等級從《基本要求》中選擇相應等級的基本安全要求,確定網絡安全建設需求并論證;

3)?確定安全防護策略,制定網絡安全建設整改方案(安全建設方案須經專家評審論證,第三級(含)以上網絡的安全建設整改方案應報公安機關備案);

4)?根據網絡安全建設整改方案,實施安全建設工程;

5)開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。

等級測評

建設整改后,網絡運營者選擇符合規定條件的測評機構,定期開展等級測評工作(第三年及以上應每年至少進行一次測評)。

測評機構依據國家網絡安全等級保護制度規定,按照《網絡安全等級保護測評要求》、《網絡安全等級保護測評過程指南》等相關規定標準,對被測等級保護對象進行等級保護對象識別、安全防護能力測試及評估,驗證等級保護對象是否滿勤等級保護相應等級的安全要求,并進行綜合分析、出具《等級測評報告》。網絡運營者與等級保護測評機構雙方之間在整個等級測評過程中應保持良好的溝通與洽談。

等級測評過程分為4個基本測評活動如下圖:

1586676535775771.png

1)?測評準備活動

測評準備活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。本活動的主要任務是掌握被測系統的詳細情況,準備測試工具,云計算平臺和云計算服務客戶業務系統需調研的相關信息如下表。

文字文稿1_01.jpg文字文稿1_02.jpg

2)?方案編制活動

方案編制活動是開展等級測評工作的關鍵活動,為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評指導書測評指導書(云計算擴展要求測評作業指導書參見附錄A),形成測評方案。

3)?現場測評活動

現場測評活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求,嚴格執行測評指導書測評指導書,分步實施所有測評項目,包括單元測評和整體測評兩個方面。

4)?分析及報告編制活動

分析及報告編制活動是給出等級測評工作結果的活動,是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和網絡安全等級保護基本要求,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成網絡安全等級保護測評報告。

監督檢查

公安機關網安部門負責對等級保護網絡的監督、檢查、指導工作。網絡運營者配合公安機關監督檢查工作,如實提供有關材料及文件。當第三級及以上等級保護對象發生安全事件、案件時,備案單位應及時向受理備案的公安機關報告。

公安機關檢查的主要內容包括:

等級保護工作部署和組織實施情況;

網絡安全等級保護對象定級備案情況;

網絡安全設施建設情況和網絡安全整改情況;

網絡安全管理制度建立和落實情況;

網絡安全產品選擇和使用情況;

測評機構開展等級測評工作情況;

定期自查情況。

公安機關每年對第三級及以上的等級保護對象知識開展一次安全檢查工作。網絡安全等級保護工作流程中輸出的相關文檔如表。

1586677286996239.png

?

?

?

本文作者:, 轉載請注明來自FreeBuf.COM

# 網絡安全等級保護2.0 # 等級保護實施 # 等級保護工作流程
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网