【中级】网络安全等级保护基本要求解读
本文是 2024 年公安三所给中级测评师培训《网络安全等级保护基本要求解读》的笔记。
标准修订背景
- 为了配合网络安全法的实施,为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下等级保护工作的开展。
- 国际标准 27000 系列和美国联邦 NIST 800-53 系列安全相关标准和规范在 2013 年和 2014 年发布了新的版本,内容进行了调整。
- 有必要对 GB/T 22239-2008 进行修订,在适用性、时效性、易用性、可操作性上进一步完善。
标准修订立项
2014 年,全国安标委秘书处下达了对原国家标准《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008 进行修订的任务书,标准修订主要承担单位(牵头单位)公安部第三研究所(公安部信息安全等级保护评估中心)(原)。
技术要求特点
描述模型(PDRR)
- 一级系统:防护
- 二级系统:防护/检测
- 三级系统:策略/防护/检测/恢复
- 四级系统:策略/防护/检测/恢复/响应
管理要求特点
描述模型(CMM)
- 一级系统:一般执行(部分活动建制度)
- 二级系统:计划实施(主要过程建制度)
- 三级系统:统一策略(管理制度体系化)
- 四级系统:持续改进(管理制度体系化/验证/改进)
描述结构
示例
- 7.1 第三级安全通用要求
- 7.1.1 安全物理环境 —— 类
- 7.1.1.1 物理位置的选择 —— 控制点
- a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内 —— 要求项
- b)机房场地应避免设在建筑物的高层或地下室,否则应加强防水防潮措施; —— 要求项
- 7.1.1.1 物理位置的选择 —— 控制点
- 7.1.1 安全物理环境 —— 类
控制点标注
- 保障业务信息安全的相关要求(标记为 S)
- 保障系统服务安全的相关要求(标记为 A)
- 其他安全保护要求(标记为 G)
- 技术类要求(3 种标注)
- 管理类要求(统属 G)
- 附录 A“关于安全通用要求和安全扩展要求的选择和使用”给出了所有控制点的标记
控制点增加
| 大类 | 小类 | 一级 | 二级 | 三级 | 四级 |
|---|---|---|---|---|---|
| 技术要求 | 安全物理环境 | 7 | 10 | 10 | 10 |
| 技术要求 | 安全通信网络 | 2 | 3 | 3 | 3 |
| 技术要求 | 安全区域边界 | 3 | 6 | 6 | 6 |
| 技术要求 | 安全计算环境 | 7 | 10 | 11 | 11 |
| 技术要求 | 安全管理中心 | 0 | 2 | 4 | 4 |
| 管理要求 | 安全管理制度 | 1 | 4 | 4 | 4 |
| 管理要求 | 安全管理机构 | 3 | 5 | 5 | 5 |
| 管理要求 | 安全管理人员 | 4 | 4 | 4 | 4 |
| 管理要求 | 安全建设管理 | 7 | 10 | 10 | 10 |
| 管理要求 | 安全运维管理 | 42 | 14 | 14 | 14 |
| 合计 | / | 48 | 68 | 71 | 71 |
| 级差 | / | / | 20 | 3 | 0 |
要求项增加
| 大类 | 小类 | 一级 | 二级 | 三级 | 四级 |
|---|---|---|---|---|---|
| 技术要求 | 安全物理环境 | 7 | 15 | 22 | 24 |
| 技术要求 | 安全通信网络 | 2 | 4 | 8 | 11 |
| 技术要求 | 安全区域边界 | 5 | 11 | 20 | 21 |
| 技术要求 | 安全计算环境 | 11 | 23 | 34 | 36 |
| 技术要求 | 安全管理中心 | 0 | 4 | 12 | 13 |
| 管理要求 | 安全管理制度 | 1 | 6 | 7 | 7 |
| 管理要求 | 安全管理机构 | 3 | 9 | 14 | 15 |
| 管理要求 | 安全管理人员 | 4 | 7 | 12 | 14 |
| 管理要求 | 安全建设管理 | 9 | 25 | 34 | 35 |
| 管理要求 | 安全运维管理 | 13 | 31 | 48 | 52 |
| 合计 | / | 55 | 135 | 212 | 228 |
| 级差 | / | / | 80 | 77 | 16 |
安全物理环境
物理位置选择
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;(改写) b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。(改写)
物理访问控制
a)机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
安全通信网络
网络架构
- 保证网络通信带宽
- 保证网络设备性能
- 划分不同网络区域
- 重要区域的位置和保护
- 保证高可用性
- 重要业务优先保障**(第四级)**
标准条款
b)应保证网络各个部分的带宽满足业务高峰期需要;
条款解读
网络各部分的带宽应满足业务高峰需要。如果无法满足业务高峰期需要,需要部署流量控制设备,或在相关设备上启用 QoS 配置,对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。
通信传输
- 通信的完整性
- 通信的保密性
- 通信双方的验证(第四级)
- 基于硬件的密码模块(第四级)
标准条款
a)应采用校验技术或密码技术保证通信过程中数据的完整性;
d)应基于硬件密码模块对重要通信过程进行密码运算和密钥管理。(第四级)
条款解读
为了保证各种重要数据在传输过程中免受未授权的破坏,应对数据的完整性进行保护。本条款要求对包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等数据采用校验技术或密码技术来保证通信数据的完整性。
为保证重要等级保护对象的敏感信息传输的保密性,本条款要求采用硬件加密系统对通信过程进行密码运算和密钥管理。
安全区域边界
边界防护
- 边界访问控制设备
- 边界完整性-控制非法接入
- 边界完整性-控制非法外联
- 无线接入的控制
- 非法接入或外联行为的阻断(第四级)
- 接入设备的可信认证(第四级)
标准条款
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
e)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。(第四级)
条款解读
对于第三级以上的等级保护对象应限制无线网络的使用,要求无线网络单独组网后再连接到有线网络,且必须通过受控的边界防护设备接入到内部有线网络。
对于安全保护等级第四级的重要生产系统,如 SCADA 系统、电网调度系统等,与其他系统或外部网络进行网络通信时,要求采用通信协议转换或通信协议隔离等方式进行数据交换。
入侵防范
- 关键网络节点处检测外部攻击
- 关键网络节点处检测内部攻击
- 新型网络攻击的检测和分析
- 记录攻击事件并报警
标准条款
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
条款解读
在网络关键节点处部署包含入侵防范功能的设备,如抗 APT 攻击系统、网络回溯系统或入侵防范系统等,对从外部发起的网络攻击行为进行检测、防止或限制。
恶意代码和垃圾邮件防范
标准条款
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
条款解读
为防止恶意代码进入网络,应在关键网络节点处部署防病毒网关或其他相关技术措施,并维护相应更新。注意网络层面的恶意代码防范应与计算环境中的恶意代码防范协同。建议对于实时性要求比较高的系统不建议部署防病毒网关,建议采用其他方式进行防范。
安全计算环境
身份鉴别
- 标识唯一性
- 登录失败处理
- 口令安全
- 双因素或多因素鉴别
标准条款
a)应对登陆的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
条款解读
用户的身份标识和鉴别,就是用户向系统以一种安全的方式提交自己的身份证实,然后由系统确认用户的身份是否属实的过程。身份标识要求具有唯一性,系统具有一定的密码策略,如密码历史记录、密码最短长度、密码复杂度等,并要求定期更换。
访问控制
标准条款
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
条款解读
敏感标记是强制访问控制的依据,主客体都有,它存在的形式无所谓,可能是整形的数字,也可能是字母,总之它表示主客体的安全级别。敏感标记由安全管理员进行设置,通过对重要信息资源设置敏感标记,决定主体以何种权限对客体进行操作,实现强制访问控制。
入侵防范
标准条款
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
条款解读
应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(如程序的界面)输入或通过通信接口输入的数据格式或长度是否符合系统设定要求,防止个别用户输入畸形数据而导致系统出错(如 SQL 注入攻击等),从而影响系统的正常使用甚至危害系统的安全。
数据备份和恢复
标准条款
b)应提供异地实时备份功能,利用通信网络讲重要数据实时备份至备份场地;
条款解读
应建立异地备份中心,对重要数据至少提供异地数据级备份,保证当本地系统发生灾难性后果不可恢复时,利用异地保存的数据对系统数据能进行恢复。
安全管理中心
集中管控
- 划分单独安全管理区域
- 采用安全管理方式
- 运行状态集中监测
- 日志集中分析
- 病毒库和补丁等集中管理
- 集中报警和分析
安全技术方面总结
安全通信网络 + 安全区域边界 + 安全管理中心的第四级在第三级的基础上增加了 7 个条款
- 应可按照业务服务的重要程度分配带宽,优先保障重要业务;
- 应在通信前基于密码技术对通信的双方进行验证或认证;
- 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理;
- 应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断;
- 应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信;
- 应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换;
- 应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析在时间上的一致性;
安全计算环境的第四级在第三级的基础上增加了 5 个条款
- 登录用户执行重要操作时应再次进行身份鉴别;
- 应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问;
- 应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
- 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖;
- 应建立异地灾难备份中心,提供业务应用的实施切换;
可信控制点增加
- 充分体现一个中心,三重防御的思想(和 GB/T 25070 保持一致)
- 充分强化可信计算安全技术要求使用(和 GB/T 25070 保持一致):各个级别和层面增加了可信验证控制点。从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。
安全管理制度
- 制定总体安全策略方针
- 建立信息安全管理制度体系
- 通过正式有效的方式发布管理制度
- 定期评审修订管理制度
标准条款
c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系;
条款解读
- 安全方针策略:信息安全方针策略,总体安全,说明机构安全工作的总体目标、范围、原则和安全框架等
- 安全管理制度:对安全管理活动中的各类管理内容建立安全管理制度,约束管理行为
- 操作规程、手册,技术标准、规范:规范安全管理制度的具体技术实现细节,对管理员或操作人员执行的日常管理操作建立操作规程
- 流程、表单、记录:安全制度、规范实施时所需履行的流程,及需填写的表单,用于记录数据、监控实施
安全管理机构
- 具备网络安全管理领导机构和管理部门。
- 系统管理员、审计管理员和安全管理员的岗位设置情况。
- 设置专职安全管理员。
- 与网络安全职能部门合作和沟通情况。
- 等等。
人员配备
标准条款
c)应配备专职安全管理员,不可兼任;
条款解读
不可兼任,主要是指安全管理员不可兼任系统管理员、网络管理员。
审核和检查
标准条款
a)应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
条款解读
可自行组织或通过第三方机构进行全面安全检查,无论哪种方式,检查内容均应涵盖技术和管理各方面安全措施的落实情况。
安全管理人员
- 对人员进行背景调查,包括身份、安全背景、专业资格或资质等。
- 关键岗位人员的保密协议和岗位责任协议情况等。
- 人员离岗的流程规范完善。
- 安全意识和岗位技能等教育情况。
- 外部人员访问的流程规范完善。
- 等等。
人员录用
标准条款
a)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议;
条款解读
保密协议面向所有被录用人员;岗位安全协议则主要面向关键岗位,并根据岗位不同约束各自在岗位上的安全责任。
安全教育和培训
标准条款
a)应定期对不同岗位的人员进行技能考核;
条款解读
安全技能考核不同于工作考核,主要注重岗位人员是否具有胜任该岗位所需技能的能力。
安全建设管理
- 完成定级备案工作。
- 安全方案应包含密码技术相关内容。
- 产品采购应符合相关规定(网络安全产品和密码产品)等。
- 获得委托定制开发系统的软件源代码并提供源代码安全审计报告。
- 服务供应商的选择和使用规范完善。
- 等等。
安全方案设计
标准条款
a)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码相关内容,并形成配套文件;
条款解读
被测系统是整个单位信息系统的一部分,其安全方案应作为单位整体安全规划的一部分;且其安全性在设计上与其他系统可能存在共享,譬如在网络结构设计、安全措施部署上都具有共享关系,因此单位整体的安全规划也很有必要。
自行软件开发
标准条款
a)应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;
条款解读
应在软件开发过程中加强对软件进行安全测试,以便及早发现软件的安全漏洞;在软件安装前进行代码安全审计,通过工具测试和人工确认的方式识别代码中恶意代码,这是保证软件安全运行的最后一道屏障。可通过第三方检测机构或机构内部自行测试。
服务供应商选择
标准条款
a)应确保服务供应商的选择符合国家的有关规定;
a)应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制;
条款解读
服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统安全服务的第三方。对各类供应商的选择均应符合国家对其的管理要求(如相关资质管理要求、销售许可要求等)。
对供应商的监视和评审主要基于与其所签订协议中的信息安全相关条款和条件,验证其所提供的服务与协议的符合程度,通过定期评审其工作服务报告,确保其有足够的服务能力按照可行的工作计划履行其安全服务职责。
安全运维管理
- 设备和介质管理符合相关工作要求。
- 漏洞和风险管理的相关记录情况等。
- 密码技术和产品的使用符合相关规定。
- 安全事件的报告、处置和响应等。
- 应急预案的制定、培训和演练等。
- 着重对外包运维工作的测评,包括外包运维商的选择、协议、能力和敏感信息的访问等。
- 等等。
漏洞和风险管理
标准条款
a)应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题;
条款解读
安全测评的形式不局限于风险评估、等级测评,只要是通过对系统的全面测试评估方法,能过发现安全问题即可。
网络和系统安全管理
标准条款
a)应严格控制变更性运维,经过审批后方才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
条款解读
该条要求项与变更管理有紧密联系,对运维过程中的变更操作需严格控制,变更前审批,过程中保留痕迹,事后能够更新变更内容。一般对配置库的同步更新需专业的配置管理软件。
应急预案管理
标准条款
a)应规定统一的应急预案框架,具体包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容;
条款解读
应急预案框架一般为单位总体应急预案管理顶层文件,明确应急组织构成、人员职责、应急预案启动条件、响应、后期处置、预案日常管理、资源保障等内容,与各类信息安全事件专项应急预案共同构成整个应急预案体系。
外包运维管理
标准条款
a)选择的外包运维服务商在技术和管理方面应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。
b)应在 与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求,对 IT 基础设施中断服务的应急保障要求等。
条款解读
外包运维服务商具有等级保护要求开展运维工作的能力,意味着该外包运维商以往具有根据等级保护开展运维工作的实例,或者其相关运维工作人员具备等级保护相关运维的能力(如进行过等级保护相关培训),选择方在考虑选择哪个服务商时,应着重考虑以上方面或者在相关文书中明确该类要求。
应在协议中明确相关的信息安全要求,以确保在单位和服务商之间关于双方要履行的有关信息安全要求的义务不会存在误解和分歧。可能的信息安全要求包括:可以访问的信息类型及方法、权限分配、关于数据保护要求、信息安全培训、事件响应、分包要求、联系人、定期提交措施有效性报告等其他服务商需遵从单位的安全要求。