01 中级等级测评师应具备哪些能力要求?
GB/T 36959-2018的相关描述,如下:
1、应熟悉网络安全等级保护相关政策、法规;
2、正确理解网络安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
3、掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
4、具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
5、能够独立开发测评作业指导书,熟悉测评指导书的开发、版本控制和评审流程;
6、能够根据等级保护对象的特点,编制测评方案,确定测评对象,测评指标和测评方法;
7、具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具有较强的文字表达能力;
8、了解等级保护各个工作环节的相关要求,能够针对测评中发现的问题,提出合理化的整改建议。
02 系统定级
2.1 定级要素概述
等级保护对象的定级要素包括:
1、受侵害的客体;
2、对客体的侵害程度。
2.2 受侵害的客体
1、公民、法人和其他组织的合法权益;
2、社会秩序、公共利益;
3、国家安全。
2.3 定级要素与安全保护等级的关系
2.4 定级流程
针对二级及以上系统:
1、确定定级对象
2、初步确定等级
3、专家评审
4、主管部门核准
5、备案审核
2.5 定级方法
定级对象的安全主要包括业务信息安全和系统服务安全,首先确定各自方面的受侵害客体和对客体的侵害程度,然后确定各自方面的等级保护等级,其中较高等级作为整体的等级保护等级。流程如下:
2.6 业务信息安全、系统服务安全控制点
2.6.1 系统服务安全控制点(A):
安全物理环境:
电力供应
一级:提供稳定电压供应及过电压保护。
二级:提供短期的备用电力供应,满足关键设备需求。
三级:提供冗余供电线路和备用供电系统,保证为主要设备供电。
四级:要求提供应急供电设施。
安全计算环境:
数据备份恢复
一级:要求提供重要数据的本地数据备份与恢复功能。
二级:增加提供异地数据备份功能的要求。
三级:增加提供异地数据实时备份,重要数据处理系统热冗余的要求。
四级:增加建立异地灾难备份中心的要求
2.6.2 业务信息安全控制点(S):
安全物理环境:
电磁防护
一级:无
二级:要求具有基本的防电磁干扰能力,如电源线和通信线缆应隔离铺设。
三级:做到关键设备和磁介质的电磁屏蔽。
四级:屏蔽范围扩展到关键区域。
安全通信网络:
可信验证
一级:要求对系统引导程序、系统程序等进行可信验证并报警。
二级:增加对重要配置参数和通信应用程序等进行可信验证并报警,同时送安全管理中心。
三级:增加对应用程序关键执行环节进行动态可信验证。
四级:对应用程序所有执行环节进行动态可信验证,同时送安全管理中心,并进行动态关联感知。
安全区域边界:
可信验证
一级:要求网络边界设备基于可信根,对系统引导程序、系统程序等进行可信验证并报警。
二级:增加边界设备对重要配置参数和通信应用程序等进行可信验证并报警,同时送安全管理中心。
三级:对应用程序关键执行环节进行动态可信验证。
四级:对应用程序所有执行环节进行动态可信验证,同时送安全管理中心,并进行动态关联分析、报警。
安全计算环境:
身份鉴别
一级:要求对登录的用户进行身份标识和鉴别,并且对用户鉴别信息进行了严格的要求;同时,对用户登录过程及登录后的操作行为进行必要的安全防护、
二级:进行远程管理时,应采用加密措施防止鉴别信息在网络传输过程中被窃听。
三级:要求用户在登录时应采用两种或两种以上的鉴别措施对用户进行身份认证。
四级:同上。
访问控制
一级:要求实现一般的访问控制授权,修改系统默认配置并使账号避免共享。
二级:要求执行最小授权原则并实现管理用户的权限分离。
三级:要求具有负责配置访问控制策略的授权主体;配置主体对客体的访问控制粒度;并对重要的主、客体设置安全标记。
四级:要求对所有的主体、客体实现基于安全标记的强制访问控制。
可信验证
一级:要求基于可信根对系统引导程序、系统程序等进行可信验证并报警。
二级:在重要配置和应用程序等进行可信验证并报警,并送至安全管理中心。
三级:要求在应用程序的关键执行环节进行动态可信验证,
四级:要求在应用程序的所有执行环节进行动态科学验证,并将验证结果进行动态关联感知。
数据完整性
一级:保证重要数据在传输过程中的完整性 (校验技术或密码技术)。
二级:同上。
三级:增加数据存储过程中的完整性要求 (校验技术或密码技术)。
四级:增加抗抵赖的要求。
数据保密性
一级:无 二级:无
三级:要求保证数据在传输和存储过程中的保密性 (密码技术)。
四级:同上。
剩余信息保护
一级:无
二级:要求鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
三级:增加敏感数据的存储空间被释放或重新分配前得到完全清除要求。
四级:同上。
个人信息保护
一级:无
二级:要求仅采集和保存业务必须的用户个人信息,并禁止未授权访问和非法使用用户个人信息。
三级:同上。
四级:同上。
03 等级测评中可能出现的风险及其规避措施
3.1 等级测评中可能出现的风险
可能影响系统正常运行
验证测试工作误操作的可能,测试工具漏洞扫描、性能测试及渗透测试等,都可能影响服务器和系统正常有哪些。
可能泄露敏感信息
测评人员有意或无意泄露被测系统状态信息。
木马植入风险
渗透测试完成后,有意或无意将测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。
3.2 风险规避手段
1、签署委托测评协议
2、签署保密协议
3、签署现场测评授权书
4、现场测评工作风险的规避
测评之前,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。
5、测评现场还原
测评完成后,测评人员将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复到测评前状态。
6、规范化实施过程
7、沟通与交流
04 等级测评过程
4.1 测评准备活动
收集被测定级对象相关资料、准备测评所需资料,为编制方案打下良好基础。
4.1.1 工作启动
测评机构组建等级测评项目组,获取测评委托单位及定级对象的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。
4.1.2 信息收集和分析
通过查阅被测定级对象已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况以及责任部门相关情况,为编写测评方案、开展现场测评和安全评估工作奠定基础。
4.1.3 工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉被测定级对象,测试测评工具,准备各种表单等。
4.2 方案编制活动
选取测评对象、测评指标、测评方法,规划现场测评实施方案,为现场测评活动提供最基本的文档和指导方案
4.2.1 测评对象确定
1、识别并描述被测定级对象的整体结构
2、识别并描述被测定级对象的边界
3、识别并描述被测定级对象的网络区域(根据区域划分情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等)
4、识别并描述被测定级对象的主要设备(各个设备主要承载的业务,软件安装情况以及各个设备之间的主要连接情况等)
5、确定测评对象(结合被测定级对象的安全级别和重要程度,综合分析系统中各个设备和组件的功能、特点,从被测定级对象构成组件的重要性、安全性、共享性、全面性、恰当性等几方面属性确定出技术层面的测评对象,并将与被测定级对象相关的人员管理文档确定为测评对象)
6、描述测评对象(根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互连设备、安全设备、访谈人员及安全管理文档等)
针对不同级别的抽样比例:
一级:配置相同的安全设备、边界网络设备、网络互连设备以及服务器至少抽查一台作为测评对象
二级:配置相同的安全设备、边界网络设备、网络互连设备以及服务器至少抽查两台作为测评对象
三级:配置相同的安全设备、边界网络设备、网络互连设备、服务器、终端以及备份设备,每类至少抽查两台作为测评对象
四级:配置相同的安全设备、边界网络设备、网络互连设备、服务器、终端以及备份设备,每类至少抽查三台作为测评对象
4.2.2 测评指标确定
1、根据定级结果,得出系统A类(系统服务保证类)、S类(业务信息安全类)、G类(通用安全保护类)基本要求的组合情况。
2、根据组合情况,从基本要求中选择相应等级的基本安全要求作为基本测评指标。
3、根据被测定级对象实际情况,确定不适用测评指标。
4、根据测评委托单位被测定级对象业务自身需求,确定特殊测评指标。
5、对确定的基本测评指标和特殊测评指标进行描述,并分析给出指标不适用的原因。
4.2.3 测评内容确定
确定现场测评的具体实施内容,将测评指标和测评对象结合起来,将测评指标映射到各测评对象上,然后结合测评对象的特点,说明各测评对象所采取的测评方法。
4.2.4 工具测试方法确定
1、确定工具测试环境(与被测系统配置相同的备份环境、生产验证环境或测试环境作为工具测试环境)
2、确定需要进行测试的测评对象
3、选择测试路径(由外到内、从其他网络到本地网络的逐步逐点接入)
4、根据测试路径,确定工具接入点
5、结合网络拓扑图,描述工具的接入点、测试目的、测试途径和测试对象等内容
4.2.5 测评指导书开发
1、描述单个测评对象,包括测评对象的名称、位置信息、用途、管理人员等信息。
2、根据28448确定测评活动,包括测评项、测评方法、测评步骤和预期结果等四部分。
3、单项测评一般以表格形式设计和描述测评项、测评方法、测评步骤和预期结果等。整体测评一般以文字描述的方式表述,以测评用例的方式进行组织、
4、根据测评指导书,形成测评结果记录表格。
4.2.6 测评方案编制
1、根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测定级对象与单位其他系统之间的连接情况等。
2、根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
3、估算现场测评工作量、工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。
4、根据测评项目组成员安排,编制工作安排情况。
5、根据以往测评经验以及被测定级对象规模,编制具体的测评计划,包括现场工作人员的分工和时间安排。
6、汇总以上内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
7、评审和提交测评方案,内部审核,客户签字认可。
8、根据测评方案制定风险规避实施方案。
4.3 现场测评活动
现场测评准备、现场测评和结果记录
1、现场测评准备
2、现场测评和结果记录
3、结果确认和资料归还
4.4 报告编制活动
通过单项测评结果判定和整体测评分析等方法,分析整个定级对象的安全保护状况与相应等级的保护要求之间的差距,编制测评报告
1、单项测评结果判定
2、单元测评结果判定
3、整体测评
4、系统安全保障评估
5、安全问题风险分析
6、等级测评结论形成
7、测评报告编制
4.5 等级测评现场测评方式及工作任务
测评人员根据测评指导书实施现场测评时一般包括:
访谈:访谈有关人员,获取相关证据
核查:文档审查、实地察看、配置核查
测试:利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描(二级以上)、渗透性测试(三级以上)、功能测试、性能测试、入侵检测和协议分析(三级以上)等。
05 通用要求各级速记
缩略语
5.1 物理安全环境
物理位置选择:2建筑物、楼层
物理访问控制:1出入口(3↑电子)、4重要区域第二道
防盗窃和防破坏 1设备固定标记、2线缆隐蔽、34报警or监视系统
防雷击 1接地、3感应雷
防火 1灭火设备或系统(2↑自动消防系统)、2防火材料、34区域隔离
防水和防潮 1门窗屋顶墙、2结露和地下水、3安装水敏检测仪器
防静电 2静电地板、3静电消除措施
温湿度控制 1温度调节设施(2↑自动)
电力供应 1稳压及过压、2短期供电、3冗余或并行、4应急电源
电磁防护 2线缆隔离、3关键设备屏蔽、4关键区域屏蔽
5.2 安全通信网络
网络架构 2划分区域、区域隔离、3设备处理能力、带宽、链路及设备冗余、4重要业务保证
通信传输 1数据完整性(校验或密码技术)、3保密性(密码技术)、4双向认证、基于硬件模块
可信验证 1范围及动静态验证
5.3 安全区域边界
边界防护 1受控端口访问、3非授权设备内联、非授权用户外联、无线网络通过受控边界设备接入内网、4非授权设备内联及非授权用户外联的阻断、接入设备的可信验证
访问控制-措施 1通信访问控制规则设置、测量数量最小化、应对端口及地址和协议进行检查、2会话状态决定访问能力、3应用协议或应用内容、4网络边界数据交换通过协议转换或协议隔离
入侵防范 3关键节点检测阻止和限制外部攻击(2检测常见的攻击行为)、关键节点检测阻止和限制内部攻击、攻击行为分析、记录攻击行为并报警
恶意代码 2关键节点检测和清除恶意代码、3关键节点检测和清除垃圾邮件
安全审计 2关键节点审计覆盖每个用户重要行为和重要事件、审计记录内容、审计记录定期备份、3↓远程用户访问行为及访问互联网的行为等的单独审计和分析、4统一时钟源
可信验证 范围及动静态验证
5.4 安全计算环境
身份鉴别 1唯一性复杂度定期、失败处理会话结束登录失败超时处理、2防止远程管理鉴别信息被窃取、3双因素认证
访问控制-资源 1分配账户权限、删除或修改默认、删除过期多余、2管理用户权限最小化权限分离、3主体配置访问策略规定对客体的访问规则、访问控制颗粒度、4主客体设置安全标记及强制访问规则确定主体访问客体
安全审计 2关键节点审计覆盖每个用户重要行为和重要事件、审计记录内容、审计记录定期备份、3审计进程的保护、4审计内容包括主体标识、客体标识和结果
入侵防范 1最小化安装组件和应用程序、系统服务默认共享高危端口关闭、2管理终端限制(接入方式及地址)、人机和通信接口数据有效性校验功能、及时补漏、3重要节点检测入侵并报警
恶意代码防范 1免受恶意代码攻击技术措施、3主动免疫可信验证机制
可信验证 1范围及动静态验证
数据完整性 1重要数据传输完整性(校验or密码)、3重要数据存储完整性(校验or密码)、4抗抵赖
数据保密性 3重要数据传输保密性、重要数据存储保密性
数据备份恢复 1本地备份与恢复、2异地实时备份、3重要数据热冗余提高可用性、4异地灾备中心实时切换
剩余信息保护 2鉴别存储释放前清除、3敏感信息存储释放前清除
个人信息保护 2只采集保存必须的信息、禁止个人信息非法访问使用
5.5 安全管理中心
系统管理 2身份鉴别和特定登录及审计、系统的资源和运行的配置控制及管理
审计管理 2身份鉴别和特定登录及审计、审计记录的分析及处理
安全管理 3身份鉴别和特定登录及审计、安全策略的配置
集中管控 3特定管理区域、安全的传输路径(管理)、运行状态的集中监控并验证、审计信息集中分析处理(6个月)、策略和恶意代码及补丁升级事件集中管理、识别安全事件和报警分析、4系统范围内时钟唯一
5.6 安全管理制度
安全策略 2制定方针和策略
管理制度 1活动覆盖的管理制度、2操作规程、3管理体系
制定和发布 2专人或专门部门负责制定、版本控制
评审和修订 2定期评审改进
5.7 安全管理机构
岗位设置 3安全委员会或领导小组、2安全职能部门(设立主管及各负责人)、1定义三员及部门和岗位职责
人员配备 1一定数量的三员、3专职安全员、4关键岗位多人
授权和审批 1明确审批事项部门和人、2建立事项审批程序及重要事项多级审批(3建立审批程序)、3定期审查审批事项
沟通和合作 2内部沟通、外部职能部门和专家及服务商和安全组织、外联单位
审核和检查 2定期常规检查、3定期全面检查(有效性)、安全检查报告(包括表格记录等)
5.8 安全管理人员
人员录用 1专责部门或人员、2背景调查技能考核、3保密协议及关键岗位责任协议、4关键岗位内部选拔
人员离岗 1离岗账户及资料、3离岗程序及承诺保密
安全意识教育和培训 1所有人员培训告知奖惩、3制订不同岗位培训计划、定期考核
外部人员访问管理 1外来人员申请受控区陪同(2↑书面申请)、2接入申请陪同开账号、人员退出清理、保密协议、4关键区域和关键系统不许访问
5.9 安全建设管理
定级和备案 1书面形式说明定级方法和理由、2应组织向各部门和专家论证合理性和正确性、定级结果经相关部门批准、将材料送相关部门和公安机关备案
安全方案设计 1选择调整补充基本安全措施、23根据和不同等级的保护对象关系进行规划设计(3↑整体规划设计)、3专家论证
产品采购和使用 1网络安全产品、2密码产品、3产品选型及候选范围、重要产品做专项测试
自行软件开发 2测试开发环境分开,测试结果受控、3制定软件开发制度、3制定代码编写规范、3软件开发文档及使用指南使用及控制、2开发中安全性测试安装前恶意代码测试、3程序资源库的修改更新发布版本控制、3专职软件开发人员
外包软件开发 2交付前恶意代码检测、3提供设计文档和使用指南、提供源代码并审查
工程实施 1专门人员或部门负责过程管理、2制定工程实施方案、3第三方监理监督过程
测试验收 1按测试方案测试并形成报告、2上线前进行安全测试并形成报告(含密码应用报告)
系统交付 1根据交付清单清单、对维护人员进行培训、2提供建设过程文档和维护文档
等级测评 2定期测评整改、重大变更及等级变更测评、测评机构
服务供应商管理 1选择符合国家规定、签订协议明确义务(2↑明确各方需履行的网络安全义务)、3服务商定期评审
5.10 安全运维管理
环境管理 1专人或专部门负责管理维护机房、3建立机房管理(规定)制度、重要区域不接待敏感信息及介质不乱放、4人员进出授权重要区域监视
资产管理 2保护对象相关的资产清单、3根据资产重要程度管理及根据不同价值采用不同管理措施、按信息分类和标识方法规定对信息的使用和传输进行规范管理
介质管理 1介质存放安全分类管理专人管理、2介质传输过程管理和归档
设备维护管理 1设备线路专人维护、2建立维护制度、3信息处理设备离机房和办公司要审批(数据加密)、存有介质的设备报废和重用要清除信息
漏洞和风险管理 1识别漏洞和风险及时修补和评估、3定期安全测评形成报告采取措施纠正
网络和系统安全管理 1划分不同的网络和系统管理员、专人负责账户管理、2建立网络和系统安全管理制度、重要设备的配置和操作手册、记录运维操作日志、3专人或部门分系统及日志报警信息、严格控制变更性运维在批准后调整留日志改配置、严格控制运维工具使用、严格控制远程运维、与外部连接均需授权和批准
恶意代码防范管理 1外来计算机或存储接入前作恶意代码检测(2↑恶意代码库升级)、3定期验证恶意代码攻击措施的有效性
配置管理 2记录和保存基本配置信息、3配置信息变更纳入系统变更范畴
密码管理 2遵循国家标准和行业标准、技术和产品经国家密码管理部门认证核准、4采用硬件模块
变更管理 2变更方案制定评审批准实施、3建立变更审批程序、建立终止变更并从变更中恢复的程序并演练
备份与恢复管理 1定期备份、规定备份方式频度等、2按数据重要性制定备份恢复策略和程序
安全事件处置 1及时报告安全主管部门安全弱点和可疑事件、2制定报告和处置制度、分析处置收集记录总结、3重大事件的报告处置程序、联合防护和应急机制处理跨单位安全事件
应急预案管理 2制定统一应急预案框架、制定预案、预案培训和演练、3定期评估修订预案、4重大事件跨单位联合预案
外包运维管理 2符合国家规定、签订协议、3能力保证、协议中明确敏感信息处理等安全要求
00 考试重点
0.1 安全审计控制点相关
0.1.1 测评对象、级差
0.1.1.1 通用要求–>安全区域边界–>安全审计
测评对象:综合安全审计系统
一级:无
二级:
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要用户的行为和重要安全事件进行审计
审计记录应包括事件的时间、用户、事件类型、事件是否成功及其他与审计相关的信息
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖*
三级:应能对远程访问的用户行为,访问互联网的用户行为等单独进行行为审计和数据分拆
四级:同二级
0.1.1.2 通用要求–>安全计算环境–>安全审计
测评对象:
1、终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)
2、网络设备(包括虚拟网络设备)
3、安全设备(包括虚拟安全设备)
4、移动终端
5、移动终端管理系统
6、移动终端管理客户端
7、感知节点设备
8、网关节点设备
9、控制设备
10、业务应用系统
11、数据库管理系统
12、中间件和系统管理软件
13、系统设计文档
……
一级:无
二级:
1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
2、审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
3、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
三级:应对审计进程进行保护,防止未经授权的中断
四级:审计记录应包括事件的时间、用户、事件类型、主体标识、客体标识和结果等
0.1.1.3 通用要求–>安全管理中心–>安全审计
测评对象:
综合安全审计系统、数据库审计系统等提供集中审计功能的系统
一级:无
二级:
1、应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计
2、应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等
三级:同上
四级:同上
0.1.1.4 云计算扩展要求–>安全区域边界–>安全审计
测评对象:堡垒机或相关组件
一级:无
二级:
应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启
应保证云服务商与云服务客户系统和数据的操作可被云服务客户审计*
三级:同上
四级:同上
0.1.2 高风险判定指引
0.1.2.1 安全区域边界–>安全审计
对应要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判定为高风险。
适用范围:所有系统。
满足条件:无法对重要的用户行为和重要安全事件进行日志审计。
补偿措施:无。
整改建议:建议在网络边界、重要网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。
0.1.2.2 安全计算环境–>安全审计( 网络设备、安全设备、主机设备等)
对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统
2、重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
补偿措施:
1、如使用堡垒机或其他第三方审计工具进行日志审计,能有效记录用户行为和重要安全事件,可视为等效措施,判符合。
2、如通过其他技术或管理手段能对事件进行溯源的,可酌情降低风险等级。
3、如核查对象非重要核心设备,对整个信息系统影响有限的情况下,可酌情降低风险等级。
整改建议:建议在重要核心设备、安全设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件类审计策略或使用第三方日志审计工具,实现对相关设备操作与安全行为的全面审计记录,保证发生安全问题时能够及时溯源。
0.1.2.3 安全计算环境–>安全审计( 应用系统)
对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统
2、应用系统无任何日志审计功能,无法对用户的重要行为进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
补偿措施:
1、如有其他技术手段对重要的用户行为进行审计、溯源,可酌情降低风险等级。
2、如审计记录不全或审计记录有记录,但无直观展示,可根据实际情况,酌情降低风险等级。
整改建议:建议应用系统完善审计模块,对重要用户操作、行为进行日志审计,审计范围不仅针对前端用户的操作、行为,也包括后台管理员的重要操作。
安全计算环境安全审计测评方法:
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1、 应检查安全审计范围是否覆盖到每个用户,是否对重要的用户行为和重要安全事件进行审计
2、 检查是否开启日志进程和审计进程
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
1、应检查审计记录信息是否包括事件的日期和时间、主体标识、客体标识、事件类型、事件是否成功及其他与审计相关的信息,检查是否配置NTP服务统一时间管理,配置是否正确
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1、应检查是否采取了保护措施对审计记录进行保护,是否采取技术措施对审计记录进行定期存档备份并核查备份策略,是否限制了审计文件的访问权限,是否不可删除及修改
2、检查日志是否保存达到6个月以上
d) 应对审计进程进行保护,防止未经授权的中断
应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否收到保护
安全区域边界安全审计测评方法:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1、应检查网络安全设备是否开启日志记录或安全审计功能,是否部署安全审计系统对网络边界、重要网络节点设备的运行状况进行审计,是否对用户操作行为进行审计及审计分析
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
1、应检查审计记录信息是否包括事件的日期和时间、用户、时间类型、事件是否成功及其他审计相关信息,检查是否在系统范围内统一使用了唯一确定的时钟源,以确保审计分析的正确性
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1、检查日志是否不可删改,是否采用专用的审计系统对设备的监控日志、用户管理日志等进行收集记录并定期进行备份,检查备份机制和备份策略是否合理,检查日志是否能够保存6个月以上
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
1、应检查是否对远程访问用户及互联网访问用户行为单独进行审计和分析
0.2 标准使用场景
0.2.1 标准范解
在定级阶段,网络运营者主要使用GB/T22240和相应的行业或企业标准来划分定级对象和确定安全保护等级;
在安全建设阶段,网络运营者主要使用GB/T22239-2019、GB/T25070-2019和相应的行业或企业标准来进行规划设计和建设工作,科学合理的选择和部署必要的安全措施;
在等级测评阶段,测评机构主要依据GB/T28448-2019、GB/T28449-2018和相应的行业或企业标准来规范和指导等级测评工作。
0.2.2 补充云计算知识
云计算概念:
以按需自助获取、管理资源的方式,通过网络访问,可扩展的、灵活的物理或虚拟共享资源池的模式(GB/T 31167-2014)
具有如下特点:
- 按需自助:自助获取、扩展
- 泛在网络访问:随处可用
- 资源池化:集中化设备,资源虚拟化
- 快速弹性:快速获取、释放
- 可度量的服务:计量
云计算安全扩展内容(个性化保护需求):
- 基础设施的位置
- 虚拟化安全保护
- 镜像和快照保护
- 云服务商选择
- 供应链管理
云计算技术构建的信息系统:
责任主体不同,因此前两个要单独定级
- 云计算平台
- 云服务客户业务应用系统
- 使用云计算技术构建的业务应用系统
云计算服务模式:
- LaaS:基础设施即服务 (虚拟网络、存储、计算资源,如云主机)
- PaaS:平台即服务 (开发、测试、运行环境,如中间件、数据库管理系统)
- SaaS:软件即服务 (如邮件服务等)
主流的云计算部署模式:
- 公有云
- 私有云
- 社区云
- 混合云
云计算扩展要求测评原则:
- 责任分担原则
- 云服务模式运用性原则
备注:云扩展要求作为全局的能力要求,不要对每一测评对象或设备进行单独测评。
0.3 安全通信网络中的网络架构相关
0.3.1 测评对象、级差
0.3.1.1 通用要求–>安全通信网络–>网络架构
测评对象:
1、处理能力满足业务高峰需要:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
2、带宽满足业务高峰需求:综合网管系统
3、可靠的技术隔离手段:网络拓扑
4、设备冗余和可用性:网络管理员和网络拓扑(所有测评内容均肯定,否则为*不符合***)
一级:无
二级:
1、应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
2、应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
三级:
1、应保证网络设备的业务处理能力满足业务高峰期需要
2、应保证网络各部分的带宽满足业务高峰期需要
3、应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
四级:应按照业务服务的重要程度分配带宽,优先保障重要业务
0.3.1.2 云计算–>安全通信网络–>网络架构
测评对象:
1、平台不承载高于其安全保护等级业务应用系统:云计算平台和业务应用系统定级备案材料
2、虚拟网络隔离:网络资源隔离措施、综合网管系统和云管平台
一级:
1、应保证云计算平台不承载高于其安全保护等级的业务应用系统
2、应实现不同云服务客户虚拟网络之间的隔离
二级:应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力
三级:
1、应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略
2、应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务
四级:
1、应能提供虚拟资源的主体和客体设置安全标记的能力,保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问
2、应提供通信协议转换或通信协议隔离等的数据交换方式,保证云服务客户可以根据业务需求自主选择边界数据交换方式
应为第四级业务应用系统划分独立的资源池
0.3.1.3 工业控制系统–>安全通信网络–>网络架构
测评对象:
1、企业系统与工业控制系统隔离:网闸、路由器、交换机和防火墙等提供访问控制功能的设备
2、不同安全域采用隔离技术:路由器、交换机和防火墙等提供访问控制功能的设备
一级:
1、工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段
2、工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段
二级:涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网络及外部公共信息的安全隔离
三级:区域间应采用单向的技术隔离手段
四级:区域间应采用符合国家或行业规定的专业产品实现单向安全隔离
0.3.2 高风险判定指引
0.3.2.1 网络架构-网络设备业务处理能力
对应要求:应保证网络设备的业务处理能力满足业务高峰期需要。
判例内容:对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施,可判定为高风险。
适用范围:对可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上。
补偿措施:针对设备宕机或服务中断制定了应急预案并落实执行,可酌情降低风险等级。
整改建议:建议更换性能满足业务高峰期需要的设备,并合理预计业务增长,制定合适的扩容计划。
0.3.2.2 网络架构–>网络区域划分
对应要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
判例内容:应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、涉及资金类交易的支付类系统与办公网同一网段;
2、面向互联网提供服务的系统与内部系统同一网段;
3、重要核心网络区域与非重要网络在同一网段。
补偿措施:无。
整改建议:建议根据各工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网络区域,并做好各区域之间的访问控制措施。
0.3.2.3 网络架构–>网络访问控制设备不可控
对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例内容:互联网边界访问控制设备无管理权限,且无其他边界防护措施的,难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、互联网边界访问控制设备无管理权限;
2、无其他任何有效访问控制措施;
3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。
补偿措施:无。
整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。
0.3.2.4 网络架构–>互联网边界访问控制
对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、互联网出口无任何访问控制措施。
2、互联网出口访问控制措施配置不当,存在较大安全隐患。
3、互联网出口访问控制措施配置失效,无法起到相关控制功能。
补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。
0.3.2.5 网络架构–>不同区域边界访问控制
对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例内容:办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、办公网与生产网之间无访问控制措施;
2、办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。
补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
整改建议:建议不同网络区域间应部署访问控制设备,并合理配置访问控制策略,确保控制措施有效。
0.3.2.6 网络架构–>关键线路、设备冗余
对应要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
判例内容:对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。
适用范围:对可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、关键链路、核心网络设备或关键计算设备无任何无冗余措施,存在单点故障。
补偿措施:
1、如系统采取多数据中心部署,或有应用级灾备环境,能在生产环境出现故障情况下提供服务的,可酌情降低风险等级。
2、对于系统可用性要求不高的其他3级系统,如无冗余措施,可酌情降低风险等级。
3、如核心安全设备采用并联方式部署,对安全防护能力有影响,但不会形成单点故障,也不会造成重大安全隐患的,可酌情降低风险等级。
整改建议:建议关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署(如采用热备、负载均衡等部署方式),保证系统的高可用性。
0.4 制度相关
国家和网络安全职能部门下发的有关网络安全的政策及法律:
1、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。
2、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)
3、《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003]27号
4、《关于信息安全等级保护工作的实施意见》(公通字【2004】66号),主要内容包括贯彻落实网络安全等级保护制度的基本原则,等级保护工作的基本内容,工作要求和实施计划,以及各部门的职责分工。
5、四部委《信息安全等级保护管理办法》(公通字[2007] 43号),主要内容包括网络安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,以及信息安全产品和测评机构的选择等,为开展网络安全等级保护工作提供了规范保障。
6、定级环节——《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007] 861号)。
7、备案环节——《信息安全等级保护备案实施细则》(公信安[2007] 1360号)
8、等级测评环节——《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010] 303号)
9、等级测评环节——《网络安全等级保护测评机构管理办法》(公信安[2018] 765号)
国家有关网络安全等级保护制度的政策及法律要求:
1、《中华人民共和国人民警察法》规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。
2、国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。
3、2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。
4、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南 。
5、《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。”
6、国家发改委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室联合印发了《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技[2012]1986号)
7、公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。
8、2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。
9、2014年12月中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出, “推进健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制”。
10、《中央网络安全和信息化领导小组2015年工作要点》中,要求“落实国家信息安全等级保护制度”。
《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。
第三十一条 国家对……关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
