等级保护技术标准解读(三)——网络运营者的等保工作指南
发布时间:
2017-06-23
来源:
作者:
访问量:
18
《网络安全等级保护实施指南》
修订解读
作者 公安部信息安全等级保护评估中心 袁静
国家等级保护系列标准的应用为我国信息安全等级保护制度实施起到了很好的推动作用、较好地支撑了国家信息安全保障体系建设,成效显著。但是,随着一系列事件的发生,我国网络安全形势也随着整个国际形势的变化变得更加严峻。美国和其他一些发达国家在网络空间中的顶层设计、发展战略和相应部署措施,使得我们看到了网络空间的战略威胁,习近平总书记等中央领导同志对维护我国网络安全作出了一系列重要批示,从全局和战略的高度深刻指出了网络安全问题带来的严重威胁和严峻挑战,为我们进一步加强网络空间安全工作,维护国家安全和社会公共安全指明了方向。
本次修订和调整《GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南》(以下简称《实施指南》),通过分析研究信息化发展的新技术、新应用,比如移动互联技术、大数据技术、云计算技术、工业控制技术、IPv6技术等的使用场景和应用特点等,提出这些新技术、新应用系统的等级保护对象和可能面临的威胁,并结合国家信息安全等级保护工作的新思路及新要求,为运营使用单位在实施等级保护工作时提供工作内容及工作方法指导,从技术角度使工作指导流程化,并使之贯穿整个信息系统生命周期。同时,修订的《实施指南》还与新修订的《网络安全等级保护定级指南》、《网络安全等级保护基本要求》、《网络安全等级保护测评要求》等系列标准保持一致性,确保《实施指南》最大范围的指导性和适用性。
一、 标准修订方向梳理
《实施指南》标准编制组在修订时梳理了可能影响备案单位落实等级保护工作的四个方面,并将这些方面作为标准的主要修订方向:
1、新技术新应用导致等级保护对象发生变化,系统存在形态变化提出定级、设计、运维等等级保护工作新要求。比如,IaaS云服务使得信息系统基础设施由云服务商建设,而应用层面则由备案单位负责建设,由云服务商和备案单位共同负责运维,从而使得系统的存在形态发生了变化,原来作为等级保护对象的信息系统也就发生了变化,那么在信息系统定级时也必须相应有所变化,这与等级保护实施工作中的系统定级工作密切相关。
2、根据新的国际形势和网络安全形势,国家等级保护工作管理部门将原先的建设整改工作重点,转而更为关注信息系统安全监控与安全态势分析、与信息安全预警通报机制相互关联等工作内容,这与等级保护实施工作中的安全运行与维护工作密切相关。
3、等级保护实施工作的6个阶段的内容应相互呼应流转起来。如安全规划工作中有信息共享需求,设计实施阶段中应有信息共享相关设计,运维阶段中应有相应的共享信息的出口(如安全监控),应急阶段中应根据共享信息进行应急。
4、将原标准内容进一步细化,使其能够指导单位开展新建对象的等级保护工作。
二、 标准修订主要内容
修订后的《实施指南》以新建等级保护对象如何开展等级保护工作为主线。修订的主要内容分为以下几个方面:
1、名称的变化
《中华人民共和国网络安全法》(以下简称“网络安全法”)于2017年6月1日起实施。网络安全法第21条明确“国家实行网络安全等级保护制度”,第31条明确“国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。为了与网络安全法提出的“网络安全等级保护制度”保持一致,作为支撑性的主要技术标准,GB/T 25058的名称由原来的“信息系统安全等级保护实施指南”改为“网络安全等级保护实施指南”。
2、实施基本流程的变化
实施的基本流程从原来的5个阶段调整为6个阶段(见图1):等级保护对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护、应急响应与保障、定级对象终止。其中应急响应与保障是本次修订增加的阶段。
图1 等级保护对象安全等级保护工作实施的基本流程
3、定级备案阶段扩展
在本阶段增加了行业/领域定级工作,对行业主管单位如何管理行业内等级保护对象的定级工作给予指导。行业/领域定级工作包括梳理本行业/领域的重要社会功能/职能,分析确定主要业务,并对各项业务给予定级指导意见,部署、指导并督促本行业/领域的定级工作。
考虑到等级保护对象的重要性由其承载的业务功能及其社会职能决定,因此将等级保护对象的分析过程调整为从对象所在单位在其行业/领域中的重要性以及对象在单位中的地位两方面进行分析。
4、总体安全规划阶段的变化
与新版等级测评报告保持一致,基本安全需求强调了两个来源需求的结合,既源自国家等级保护管理规范和技术标准的要求,同时还来源于行业等级保护管理规范和技术标准要求。
总体安全设计时强调等级保护对象的体系设计要求,不仅仅是零散的功能项的堆积,增加了“安全技术体系架构设计”和“安全管理体系框架设计”等内容。同时,还对云计算、移动互联系统在设计时的特殊关注点和安全保护措施给予指导,譬如云计算规划时应不低于其承载的定级对象等级等。
5、安全运行与维护阶段的变化
随着社会分工不断细化,越来越多的运营使用单位采取购买服务的方式将等级保护对象运维工作委托给服务商,因此,本次修订中增加并细化了服务商的管理和监控相关内容,包括选择服务商时应分析其服务能力、信息安全风险以及服务内容互斥性等方面。对于服务商的管理以及如何监控服务商的服务过程和内容也给予了相应指导。
______
总之,《实施指南》定位于指导等级保护对象落实等级保护制度,本次修订尽力细化了标准内容以使其指导性更强,因此,除上述介绍的主要变化外,还增加了态势感知、信息共享、安全监控、应急响应与保障等方面的内容,欲知更详细内容,请阅读具体标准条款。
以上内容转自公众号:安全测评联盟
上一条:
相关资讯
