網絡安全等級保護體系設計通用實踐
我國實施網絡安全等級保護制度行之有年,網絡安全等級保護體系的規劃、設計、實施等業已成熟,雖然我國于2019年12月1日開始實施新的網絡安全等級保護系列標準,但等級保護設計的思路、理念、方法等依然有效。本文從通用實踐角度描述基于新的網絡安全等級保護系列標準,應如何開展網絡安全等級保護體系設計。
一、等級保護體系設計的主要工作要求
等級保護體系設計的主要工作要求包括:
(1)等級保護體系設計應包含技術和管理兩方面的內容;
(2)等級保護體系設計不僅應滿足國家相應保護等級的要求,還應滿足所在行業和領域的相應保護等級的要求;
(3)運營者應在等級保護體系設計結束后,形成設計文檔;
(4)等級保護體系設計過程中,若有變更,應執行變更管理;
(5)如委托外部機構協助開展等級保護體系設計工作的,應與外部機構簽訂保密協議。
二、等級保護體系設計的基礎準備工作
運營者在開始設計網絡安全等級保護體系前,應首先完成等級保護對象的定級備案、安全需求分析等工作。其中:
(1)等級保護對象的定級備案:確定等級保護對象的安全保護等級,以指導等級保護體系設計時對標相應級別的安全保護要求。感興趣的讀者可參考《淺談如何規范開展等級保護定級和備案工作》一文。
(2)等級保護對象的安全需求分析:對標相應保護保護等級的安全保護要求明確運營者的網絡安全等級保護需求,以在后續的等級保護體系設計時,采取有針對性的等級保護措施。感興趣的讀者可參考《淺談如何規范有序地開展網絡安全需求分析》。
三、等級保護體系設計主要過程
在完成等級保護體系設計的基礎準備工作之后,正式開始等級保護體系的設計過程。等級保護體系設計主要過程如下:
3.1 確定實現目標
設計網絡安全等級保護體系時,運營者應結合本單位實際情況,首先確定開展網絡安全等級保護體系的設計目標,以明確后續網絡安全等級保護體系的建設任務、建設內容等。
實現目標可分為總體目標和詳細目標。其中:
(1)總體目標即等級保護體系設計要達到的總體安全保護目標。
(2)詳細目標可以根據項目分期、分階段等確定具體目標。例如:
——運營者可將總體目標分解為等級保護對象各階段的具體安全目標,如開發建設階段目標、運行維護階段目標等。
——等級保護體系設計要完成的內容以項目形式分解到若干時期實現時,總體目標可分解為各項目的實現目標。
3.2 明確設計原則、依據和思路
確定實現目標后,運營者應明確遵循的設計原則、依據和思路。
3.2.1 明確設計原則
一般而言,設計原則應體現自主保護、分區分域、重點保護、適度安全、“三同步”、動態調整、技術管理并重、標準性、成熟性、科學性、合理性、保密性等內容。
3.2.2 明確設計依據
設計依據應包含國家和行業的網絡安全等級保護相關的政策、法律法規、標準規范以及系統集成、安全開發等方面的工程規范。
3.2.3 明確設計思路
設計思路是指導總體及后續詳細設計的靈魂,一般而言,應把握以下幾點:
(1)構建分域的控制體系
按照分域保護思路設計安全體系架構,從結構上劃分為不同的安全區域,以安全區域為單位進行安全防護技術措施的建設,各個安全區域內部還可根據安全需求的不同進一步劃分子安全域和三級安全域。子安全域和三級安全域的邊界也采用與一級安全域相同的邊界安全防護措施,從而構成了分域的安全控制體系。
(2)構建縱深的防御體系
按照縱深防御思路設計安全體系架構,縱深防御體系根據“一個中心”管理下的“三重保護”體系框架進行設計,從物理環境安全防護、通信網絡安全防護、網絡邊界安全防護、計算環境安全防護(主機設備安全防護/應用和數據安全防護)進行安全技術和措施的設計,以及通過安全管理中心對整個等級保護對象實施統一的安全技術管理。充分考慮各種技術的組合和功能的互補性,提供多重安全措施的綜合防護能力,從外到內形成縱深防御體系。
(3)保證一致的安全強度
對于部署于同一安全區域的等級保護對象采取強度一致的安全措施,并采取統一的防護策略(低級別定級對象部署在高等級安全區域時應遵循“就高保護”原則),使各安全措施在作用和功能上相互補充,形成動態的防護體系。
3.3 安全域劃分設計
一般而言,對等級保護對象進行安全保護時,不是對整個等級保護對象進行同一等級的保護,而是對等級保護對象內不同業務區域進行不同等級的保護。因此,安全域劃分是進行網絡安全等級保護的重要環節。
安全域是指同一系統內根據信息性質、使用主體、安全目標和策略等元素的不同來劃分不同邏輯子網,每一個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域內具有相互信任關系,同一安全域共享同樣的安全策略。簡單來說,安全域是指具有相同或相近的安全需求、相互信任的網絡區域或網絡實體的集合。
3.3.1 安全域劃分原則
安全域劃分的基本原則如下:
3.3.2 安全域劃分方式
安全域劃分需考慮網絡中業務系統訪問終端與業務主機的訪問關系以及業務主機間的訪問關系。若業務主機間沒有任何訪問關系,則單獨考慮各業務系統安全域的劃分;若業務主機間有訪問關系,則幾個業務系統一起考慮安全域的劃分。
一個物理網絡區域可以對應多個安全區域,而一個安全區域一般只對應一個物理網絡區域。
3.3.3 局域網安全域劃分
局域網內部安全域劃分是安全域劃分的重點,可以依據業務的安全策略進行劃分,主要參考在各業務的業務功能、安全等級以及局域網網絡結構三方面因素。
(1)根據業務功能特點劃分
不改變當前業務邏輯,可以使用兩級三層結構進行劃分:
(2)根據安全等級要求劃分
網絡安全等級保護是通過安全域劃分將信息系統劃分為多個子系統。實施等級保護時,一定會落實到每一個安全域中去。
等級保護的對象其實是安全域。在重要信息系統進行網絡安全等級保護定級工作后,將相同安全等級的應用業務系統部署在相同的安全域。
(3)根據VLAN劃分
局域網內部安全域劃分的技術基礎是VLAN。同一個VLAN內部的成員可以視為具有相同安全策略的對象,相互信任。VLAN邊界可以視為網絡邊界,在VLAN之間使用相應的安全策略,便實現了簡單的安全域劃分。
3.3.4 安全域劃分的隔離措施
安全域進行劃分后主要采用邊界隔離、邊界訪問控制等技術手段,將不同安全域的網絡依據不同安全策略,實施必要的安全技術措施。
VLAN邏輯隔離是在同一臺交換機內,建立不同的VLAN,承載不同的安全域。此方法對于現有網絡支持較好,易于實施,但網絡安全風險較大。
IP邏輯隔離是在VLAN邏輯隔離的基礎上,不同安全域使用不同IP子網地址,實現數據鏈路層隔離和網絡層隔離。此方式對現有網絡改動較大,網絡安全風險一般。
物理隔離是不同安全域完全使用單獨網絡基礎設施,包括網線、交換機、路由器等設備,并且相互間沒有任何邏輯或物理連接。此方式投資相對較大,對現有網絡改動很大,但網絡安全風險最小。
3.3.5 安全域劃分后的安全技術措施
安全域劃分最主要的目的是落實安全策略,由于安全域邊界通常是基于網絡劃分,所以通常的方式是,在管理層面根據安全策略制定制度和要求,技術層面通過部署安全設備,使用相應的安全技術,實現安全域劃分后的安全要求。
3.3.6 安全域劃分示例
某運營者根據安全域劃分的原則和一般劃分方式,將本單位的安全域做出如下表的等級劃分:
3.4 確定各安全域的保護強度
根據等級保護對象的定級情況和安全域劃分情況,分別確定各安全域的防護強度。例如:
——某運營者劃分了“核心域”用來統一部署核心的業務系統,核心的業務系統的保護等級被定為三級,則“核心域”確定按照第三級保護等級要求設計防護強度。
3.5 設計安全技術體系
運營者在實現安全域合理劃分、確定各安全域的保護強度的基礎上,進行等級保護安全技術體系設計。
3.5.1 安全技術體系架構設計
由于不同運營者的具體目標不同、使用技術不同、應用場景不同等因素,等級保護對象會以不同的形態出現,表現形式可能稱之為基礎信息網絡、信息系統(包括采用移動互聯等技術的系統),云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。
由于形態不同的等級保護對象面臨的威脅有所不同,安全保護需求也有所差異,為了便于描述實現對不同網絡安全保護級別和不同形態的等級保護對象的共性化和個性化保護,基于通用和特定應用場景說明等級保護安全技術體系設計。其中:
(1)通用等級保護安全技術設計內容針對等級保護對象實行網絡安全等級保護時的共性化保護需求提出。等級保護對象無論以何種形式出現,都應根據安全保護等級,實現相應級別的安全技術要求。
(2)特定應用場景針對云計算、移動互聯、物聯網、工業控制系統的個性化保護需求提出,針對特定應用場景,實現相應網絡安全保護級別的安全技術要求。
安全技術體系架構由從外到內的縱深防御體系構成。縱深防御體系根據等級保護的體系框架設計。
其中:
(1)“物理環境安全防護”保護服務器、網絡設備以及其他設備設施免遭地震、火災、水災、盜竊等事故導致的破壞;
(2)“通信網絡安全防護”保護暴露于外部的通信線路和通信設備;
(3)“網絡邊界安全防護”對等級保護對象實施邊界安全防護,內部不同級別定級對象盡量分別部署在相應保護等級的內部安全區域,低級別定級對象部署在高等級安全區域時應遵循“就高保護”原則;
(4)“計算環境安全防護”即內部安全區域將實施“主機設備安全防護”和“應用和數據安全防護”。
(5)“安全管理中心”對整個等級保護對象實施統一的安全技術管理。
等級保護對象的安全技術體系架構見下圖:
(1)規定不同級別定級對象的物理環境的安全保護技術措施
運營者根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出不同級別定級對象物理環境的安全保護策略和安全技術措施。定級對象物理環境安全保護策略和安全技術措施提出時應考慮不同級別的定級對象共享物理環境的情況。如果不同級別的定級對象共享同一物理環境,物理環境的安全保護策略和安全技術措施應滿足最高級別定級對象的等級保護基本要求。
(2)規定不同級別定級對象的通信網絡的安全保護技術措施
運營者根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出通信網絡的安全保護策略和安全技術措施。通信網絡的安全保護策略和安全技術措施提出時應考慮網絡線路和網絡設備共享的情況。如果不同級別的定級對象通過通信網絡的同一線路和設備傳輸數據,線路和設備的安全保護策略和安全技術措施應滿足最高級別定級對象的等級保護基本要求。
(3)規定不同級別定級對象的網絡邊界保護技術措施
運營者根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出不同級別定級對象的網絡邊界的安全保護策略和安全技術措施。如果不同級別的定級對象共享同一設備進行邊界保護,則該邊界設備的安全保護策略和安全技術措施應滿足最高級別定級對象的等級保護基本要求。
(4)規定不同級別定級對象的內部安全保護技術措施
運營者根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出不同級別定級對象內部網絡平臺、系統平臺、業務應用和數據的安全保護策略和安全技術保護措施。如果低級別定級對象部署在高級別定級對象的網絡區域,則低級別定級對象的系統平臺、業務應用和數據的安全保護策略和安全技術措施應滿足高級別定級對象的等級保護基本要求。
(5)規定定級對象之間互聯的安全保護技術措施
運營者根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出跨局域網互聯的定級對象之間的信息傳輸保護策略要求和具體的安全技術措施,包括同級互聯的策略、不同級別互聯的策略等,提出局域網內部互聯的定級對象之間的信息傳輸保護策略要求和具體的安全技術保護措施,包括同級互聯的策略、不同級別互聯的策略等。
(6)規定云計算、移動互聯等新技術的安全保護技術措施
運營者根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出云計算、移動互聯等新技術的安全保護策略和安全技術措施。云計算平臺應至少滿足其承載的最高級別定級對象的等級保護其本要求。
將骨干網或城域網、通過骨干網或城域網的定級對象互聯、局域網內部的定級對象互聯、定級對象的邊界、定級對象內部各類平臺,機房以及其他方面的安全保護策略和安全技術措施進行整理、匯總,形成等級保護對象的安全技術體系結構。
3.5.2 提出實現等級保護技術體系的安全技術措施
根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、行業基本要求(不同行業的網絡安全等級保護規范性文件)、安全需求等,提出等級保護對象需要實現的安全技術措施,形成運營者特定的等級保護對象安全技術體系架構,用以指導等級保護的具體實現。
將安全技術體系中要求實現的安全策略、安全技術體系結構、安全措施和要求落實到產品功能或物理形態上,提出能夠實現的產品或組件及其具體規范。
對于新建的等級保護對象,運營者可根據網絡安全相應等級保護要求提出的安全控制點內容進行逐項安全技術措施的設計。
對于改建、擴建等級保護對象的,運營者可根據網絡安全相應等級保護要求提出的安全控制點內容,對等級保護對象新增或改變的部分進行安全技術措施的設計。
運營者從安全物理環境、安全區域邊界、安全通信網絡、安全計算環境(主機安全/應用和數據安全)、安全管理中心五個方面進行詳細設計,提出具體應采用的安全技術措施。例如:
——網絡安全等級保護第三級安全通用要求的“安全區域邊界”的“訪問控制”提出以下要求:
基于如上要求,運營者根據本單位實際情況,設計使用防火墻做如下部署:
設計使用防火墻做如下策略配置:
3.6 設計安全管理體系
運營者根據安全保護相應等級對安全管理制度的要求,結合本單位實際情況,設計安全管理體系。
安全管理體系由安全策略、安全管理制度、操作規程、記錄表單等構成。
一般而言,安全管理體系設計包括設計方法,體系框架設計,內容設計,安全管理制度的制修訂、評審、發布、執行、檢查與廢棄工作機制設計等內容。
感興趣的讀者可參考《淺談關鍵信息基礎設施運營者如何制修訂安全管理制度》一文。
3.7 設計安全組織體系
根據網絡安全保護相應等級對安全組織的要求,結合本單位實際情況,設計安全組織體系。
一般而言,安全組織設計包括組織機構、崗位及職責設計、安全從業人員管理工作機制設計等內容。具體而言:
(1)根據安全組織體系設計提出的設計內容,對崗位職責設計不合理的,明確應如何重塑職責;
(2)缺乏相應崗位的,明確應新設哪些崗位,相應的職責內容以及可能存在的崗位重組情況;
(3)從人員審查、人員篩選、人員調動、人員離職、職責分離以及安全意識教育、專業技能培訓等方面詳細設計安全從業人員的管理工作機制。
感興趣的讀者可參考《淺談關鍵信息基礎設施運營者專門安全管理機構的組建》一文。
3.8 梳理等級保護建設清單
根據安全技術體系、安全管理體系、安全組織體系具體實現所需要的各項建設內容,梳理形成建設清單。
3.9 形成項目分期規劃
等級保護是系統工程,涉及政策、預算、技術、管理、人才、資源等多方面因素,在開展等級保護相關工作時,運營者可能無法“畢其功于一役”完成一系列保護措施的落地與執行。因此,運營者應通過項目形式科學、合理、務實的分期分批開展等級保護對象保護相關工作。
等級保護建設項目規劃的主要步驟包括:確定項目分期目標、規劃項目分期建設內容以及形成項目分期規劃。
(1)確定項目分期目標
運營者結合本單位網絡安全和信息化建設的中長期發展規劃,網絡安全建設的預算投入、資金狀況,待解決安全問題的優先級等因素,綜合確定項目分期的安全實現目標。
(2)規劃項目分期建設內容
運營者在制定項目分期目標后,可根據項目分期目標和建設清單,規劃分期分批的主要建設內容,并將建設內容根據實際需要組合成不同的項目,同時闡明項目之間的依賴或促進關系等,以指導分期建設項目的持續推進和加強對分期建設項目的管理。
(3)形成項目分期規劃
運營者根據項目分期目標和建設內容,結合時間、解決問題的優先級和預算經費等情況,對建設清單進行總體考慮,將建設清單分配到不同的時期和階段,統籌安排建設順序,進行投資估算。
運營者梳理項目分期目標、建設內容等文檔,形成等級保護對象項目分期規劃。
3.10 分析預期建設成效
按照等級保護體系設計,分析按項目分期建設完成后的預期建設成效,包括社會效益、經濟效益等。
小結
本文描述了網絡安全等級保護體系設計的通用實踐。運營者可參考本文,結合本單位實際情況,對本單位的網絡安全等級保護體系進行設計或調整。若有不成熟的地方,敬請指正。
