网络安全等级保护细则
本文本详细阐述了网络安全等级保护体系的设计与实施过程,主要包括以下几个核心要点:
等级保护体系设计的原则与依据
- 设计需结合技术与管理两方面内容。
- 必须满足国家及行业相关要求。
- 需遵循技术原则(自主保护、分区分域等)、依据(政策法规与标准规范)及思路(纵深防御、一致强度等)。
- 可以通过外部机构协助完成定级与部署工作。
安全域划分与防护措施- 安全域划分需考虑业务功能、安全等级及网络结构等因素。
- 采用边界隔离技术,并根据安全策略制定技术措施。
- 示例:VLAN划分、IP逻辑隔离等方法的应用。
安全技术体系架构- 深度防御架构:从物理环境到计算环境层层防护。
- 技术措施包括防火墙部署、访问控制等。
- 根据需求定制化解决方案,并满足不同场景的安全防护需求。
安全管理机制- 设计统一的安全管理中心进行集中管理。
- 确保各环节的安全性并落实责任分工。
项目分期规划与建设清单- 根据中长期规划制定分期目标和建设内容。
- 合理分配资源与时间,确保逐步推进目标实现。
预期成效分析- 分析各阶段建设完成后对社会效益和经济效益的提升作用。
总结而言,该文档为网络安全等级保护体系的设计提供了全面的技术指导和实施框架。
一、等级保护体系设计的主要工作要求
等级保护体系设计的主要工作要求包括:
(1)等级保护体系设计应包含技术和管理两方面的内容;
(2)等级保护体系设计不仅需从国家层面设定相应的保护等级要求,并且还需从所在行业及领域的角度制定对应的保护标准;
(3)运营者应在等级保护体系设计结束后,形成设计文档;
(4)等级保护体系设计过程中,若有变更,应执行变更管理;
在以下情况下与其外部机构协助实施等级保护体系设计工作建议与外部机构签署保密协议
二、等级保护体系设计的基础准备工作
管理者在制定网络安全等级保护体系方案之前,应首先做好等级保护对象的定级备案工作和安全需求评估工作。其中主要涉及……
(1)等级保护对象的定级备案:明确该对象的安全防护级别,并以此指导体系设计时参考相应级别的安全防护标准。如需深入了解,请参考《浅谈如何规范开展等级保护定级和备案工作》一文。
(2)安全需求分析:基于对应防护级别安全防护要求确定网络运营方的安全防护级别需求,在后续的安全防护体系规划过程中采取针对性的安全防护措施。如需进一步了解,请参考《浅谈如何规范有序地开展网络安全需求分析》。
三、等级保护体系设计主要过程
在做好等级保护体系设计的前期准备工作后, 启动等级保护体系的设计流程. 其主要实施流程包括以下几个方面: 首先是风险评估阶段; 其次是应急响应方案制定; 最后是监控与维护策略规划.
3.1 确定实现目标
在开展网络安全等级保护体系建设的过程中,运营部门需根据本单位的具体情况制定相应的措施和目标。首要任务是制定网络安全等级保护体系建设的目标方案,并以此指导后续各项具体工作。
实现目标可分为总体目标和详细目标。其中:
(1)总体目标即等级保护体系设计要达到的总体安全保护目标。
(2)详细目标可以根据项目分期、分阶段等确定具体目标。例如:
运营者可以通过将总体目标划分为等级保护对象各阶段的具体安全目标来实现这一战略规划。例如,在开发建设阶段和运行维护阶段分别设定详细的保障措施。
——等级保护体系设计应包含的内容分为若干个项目在不同时间段实施时 最终目标即可明确为各项目的实现目标
3.2 明确设计原则、依据和思路
确定实现目标后,运营者应明确遵循的设计原则、依据和思路。
3.2.1 明确设计原则
一般而言,在设计原则的制定过程中需要综合考虑以下各项要素:主动防御机制用于实现自主保护;区域细分策略以实现分区分域;重点防护措施以保障关键点的安全;合理边界设置以确定适度安全范围;同步机制的建立需包含"三同步"理念;可调节策略的制定需与动态调整要求相配合;技术管控双重要求需明确技术管理与安全防护的关系;标准体系构建需满足成熟标准和科学依据的要求;成熟标准的落实需关注其在实际应用中的合理性定位;科学依据的应用需强调其在技术管理中的合理定位;保密要求的制定需确保信息系统的安全性。
3.2.2 明确设计依据
设计依据应涵盖国家层面的政策法规以及行业内的网络安全等级保护制度等技术规范,并结合系统集成与安全开发的具体要求进行制定。
3.2.3 明确设计思路
设计思路是指导总体及后续详细设计的灵魂,一般而言,应把握以下几点:
(1)构建分域的控制体系
采用该思路进行设计,在架构上考虑将系统划分为多个不同的安全区域,并以此为基础进行技术措施的构建。根据具体需求,在各个主要的安全区域内还可以进一步划分二级、三级安全分区等细分区域。对于二级、三级分区及其边界部分,则同样采用一级分区所使用的相同级别的安全防护措施方式来形成完整的分层安全性防护体系。
(2)构建纵深的防御体系
基于"纵深防御"策略构建安全体系架构。该体系架构遵循"一个中心"统一指挥原则,在"三重防护"(即物理层、网络层和应用层)框架下展开设计。涵盖从物理环境到计算环境的安全防护措施,并通过安全管理平台实现对所有保护对象的安全集中管控。充分挖掘各技术手段间的协同效应,在内外双面包围中形成全方位多层次的安全防护网。
(3)保证一致的安全强度
对于位于同一安全区域的目标采取一致性的安全防护手段,并制定整体化的防控方案(当低级别的目标被安置在高区时,则必须执行"按高防护"政策)。通过这种方式使得各项防控手段通过相互补充达到协同效果,并最终构建起全方位的防控网络。
3.3 安全域划分设计
通常情况下,在对网络环境实施安全管理时,并非采用相同级别的防护措施来覆盖整个系统;相反,在各个业务领域实施差异化的防护策略更为合理。由此可见,在具体实施网络安全防护体系时必须遵循这一原则
**安全域是基于信息属性、使用者特征、安全目标以及策略等要素将同一系统划分为若干逻辑子网。每个区域都具有一致的安全防护需求,并享有一致的安全访问与边界管理策略,在区域内各实体间存在互信关系。不同区域之间遵循相同的安全管理策略。简而言之,安全域即指具备相似或相近安全保障需求且互信的网络实体集合。
3.3.1 安全域划分原则
安全域划分的基本原则如下:
3.3.2 安全域划分方式
该方案的安全域划分子系统应基于网络中各业务系统的终端与主机之间的访问关系以及主机之间的相互关联性进行考量。当各业务主机之间无相互访问需求时,则分别制定各业务系统的安全域划分策略;反之,则需综合考虑多个相关系统的安全域划分。
一个物理网络区域通常会与多个安全区域进行直接关联,而每个安全区域一般只与一个物理网络区域相关联.
3.3.3 局域网安全域划分
在局域网内部进行安全域划分是一项关键任务,在当前网络安全防护体系中占据重要地位,在实际操作中需要综合考虑多种因素
具体而言,在规划网络安全架构时应当充分评估
(1)根据业务功能特点划分
不改变当前业务逻辑,可以使用两级三层结构进行划分:
(2)根据安全等级要求划分
网络信息安全等级保护机制主要是通过建立安全域来进行信息系统的分区管理。在执行等级保护措施时,则必须确保每个安全域都得到充分重视和严格执行。
等级保护的对象本质上是安全域,在完成重要信息系统网络安全等级保护定级工作后,将不同层级的安全保障体系中归集到相同的安全域进行部署。
(3)根据VLAN划分
在局域网内部进行安全域划分时,技术基础即为VLAN(虚拟局城网)。在同一个VLAN内的成员可被视为具有相同的安全策略对象,并基于此实现互信关系。将多个VLAN连接起来形成统一的网络架构时,默认情况下各端口处于开放状态。
3.3.4 安全域划分的隔离措施
在实现网络安域划分的过程中, 通过应用边界隔离技术和边界访问控制等手段, 对于各个对应的安全域区域, 根据制定的不同安全策略实施相应的防护措施
VLAN逻辑隔离方案是在同一台交换机内部实现不同VLAN的划分与独立管理,在每个VLAN内负责一个特定的安全域网络通信环境。该方案在现有网络架构下适用性较强且易于部署操作,但其带来的网络安全风险也相对较高。
IP逻辑隔离是基于VLAN逻辑隔离体系下对不同安全域实施的不同IP子网地址划分,在数据链路层和网络层均实现了有效隔离。然而这种方式可能会带来较大的网络改动规模,并可能导致一定的网络安全风险存在。
物理隔离通过将不同安全域完全分离并各自部署独立的网络基础设施,具体包括网线、交换机、路由器等关键设备,并确保它们之间不存在任何逻辑或物理上的连接。这种方式在初期投入方面相对较高,并且会对现有网络架构产生较大的改动需求;然而,在保障网络安全方面却能有效降低潜在风险。
3.3.5 安全域划分后的安全技术措施
主要目标在于确保安全策略的有效执行。通常采用网络划分作为基础来确定安全域边界。在管理层面根据制定的安全策略与具体要求来建立相应的管理制度与操作规范;而在技术层面,则依赖于部署专门的安全设备并结合先进的安全技术手段来完成对相应区域的安全防护工作;最终目标是以确保实现相应区域内的安全要求为基础来达到整体的安全防护效果。
3.3.6 安全域划分示例
该运营者遵循安全域划分原则及常规划分标准,在本单位内对安全域进行了详细的等级划分方案。
3.4 确定各安全域的保护强度
依据等级保护对象的风险等级划分以及不同安全域的安全特性分布情况,详细分析其风险等级,并据此制定相应的防护策略。例如:
某运营者划分为'核心域'用于整合所有关键业务系统的核心部分。一旦确定该类系统的安全级别设为三级,则该区域需按照三级安全标准来规划防护架构以确保其安全水平。
3.5 设计安全技术体系
运营者需在完成安全域合理划分和制定各区域防护级别之后,规划等级保护安全技术体系。
3.5.1 安全技术体系架构设计
基于各运营主体具有不同的目标设定,并采用各自特有的技术类型,在特定的应用环境中运行配置的情况下,其呈现的形式可能因具体情况而异;具体表现为基础信息网络、信息系统(包含采用移动互联等技术的子系统)、云计算平台/系统、大数据平台/系统以及物联网设备与工业控制系统等多种形态。
因形态各异的等级保护对象所面临的挑战存在差异性而导致的安全保障要求也不尽相同。为了便于统一描述并实现对不同网络安全防护级别以及形态多样的等级保护对象的共性化与个性化保障措施的建立,在通用场景与特定应用场景下展开等级保护安全技术体系的设计工作。
该方案旨在针对网络安全等级保护实施过程中普遍存在的共性化防护需求而制定相应的技术规范。不论网络安全威胁呈现何种形态特征,在确定防护级别时都应当依据相应的安全保护等级标准来制定相应的防护措施
(2)特定应用场景依据云计算、移动互联、物联网以及工业控制系统的需求制定定制化保护方案的需求,并通过相关技术手段确保相应网络安全保护级别的一系列安全技术要求能够得到满足。
安全技术体系架构由从外到内的纵深防御体系构成。
纵深防御体系根据等级保护的体系框架设计 。
其中:
物理环境安全防护旨在防止服务器、网络设备及其他设备设施免受地震、火灾、水灾及盗窃等事故造成的损害影响。
(2)“通信网络安全防护”保护暴露于外部的通信线路和通信设备;
网络安全防护体系负责开展网络边界的全方位安全管理工作中。该系统通过合理规划各层级的对象配置位置,在确保每个特定级别的定级对象均获得独立的安全保障的同时,默认情况下会将不同级别的核心组件分别部署至相应的防护层级内。特别地,在存在高低层次的对象共存情况下,则需遵循"就高保护"原则进行管理安排。
在计算环境下进行的安全防护工作包括,在内部安全区域中实施设备层的安全保护措施以及网络与数据层面的安全保障措施。
(5)“安全管理中心”对整个等级保护对象实施统一的安全技术管理。
等级保护对象的安全技术体系架构见下图:
(1)规定不同级别定级对象的物理环境的安全保护技术措施
运营商遵循《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)以及各行业对应的网络安全等级保护规范性文件,并结合实际的安全需求等信息,制定不同级别定级对象的物化环境安全防护策略及相应的安全技术保障措施。在制定这些防护策略与技术措施时,请充分考虑各层次定级对象共用同一物化环境的情况。一旦出现不同层次的定级对象共用同一物化环境,则该环境中相应的安全防护策略与技术措施必须满足最高层次定级对象所规定的网络安全等级保护基本要求。
(2)规定不同级别定级对象的通信网络的安全保护技术措施
运营者遵循《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等相关文件、行业规范性文件以及具体的安全需求等信息,制定通信网络的安全防护策略与相应的技术保障措施。在制定上述防护策略时需充分考虑通信网络中各环节之间的资源共用情况。当不同级别的定级对象通过同一线路或设备传递数据时,该线路或设备所对应的网络安全防护策略及技术措施必须达到最高级别定级对象所规定的最低安全标准。
(3)规定不同级别定级对象的网络边界保护技术措施
运营者基于《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)以及各行业针对网络安全等级保护的相关规范性文件、结合实际的安全需求等因素制定不同级别定级对象网络边界的防护策略及相关安全技术方案。当不同级别的定级对象共用同一设备进行网络边界防护时,则该专用设备及其相关的保障方案和技术措施应当符合最高级别定级对象所对应的网络安全等级保护的基本要求。
(4)规定不同级别定级对象的内部安全保护技术措施
运营商依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等相关规范性文件规定的内容以及行业特定要求,在综合考量各类安全需求的基础上制定了针对不同级别的定级对象及其内部网络平台、系统平台、业务应用以及相关数据信息等提出的安全保护策略与技术措施。在此基础上,在特定情况下若出现低级别的定级对象部署于高级别的网络区域内,则该级别的系统平台、业务应用及数据信息等必须满足相应的等级保护基本要求。
(5)规定定级对象之间互联的安全保护技术措施
运营者遵循《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等相关标准及行业规范性文件,并结合组织内的安全需求,在跨局域网互联场景下制定相应的防护策略及具体的技术措施。该措施涵盖同级网络间的防护策略以及不同层级间的防护方案,并针对内部网络的对象制定相应的防护策略及技术保障措施。该方案同样涵盖同级网络间的防护策略以及不同层级间的防护方案。
(6)规定云计算、移动互联等新技术的安全保护技术措施
运营者遵循《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)以及各行业特定规范性文件,并结合自身安全需求等因素,制定针对云计算、移动互联等新技术的安全防护策略及相应的技术保障措施。对于采用云服务的企业而言,其云平台必须至少满足所承载对象达到最高级别定级标准下的最低防护标准。
对骨干网络/城域网络及其相关设备组间的互联配置、局域网内设备组间的互联配置、网络边界以及内部平台与机房等多维度的安全防护策略和先进技术措施进行整合与优化配置,构建完整的网络安全防护体系架构。
3.5.2 提出实现等级保护技术体系的安全技术措施
说明
将安全技术体系中要求实现的安全策略、架构、防护措施和具体要求落实到产品的功能模块或物理实体上,并明确具体的实现方案和规范要求。
根据网络安全等级保护要求, 运营商应依据相关安全控制项的内容, 逐一制定相应的安全技术措施方案。
对于改建或扩建等级保护对象的运营者,在网络安全相应等级保护要求下提出的安全控制点内容,则需对等级保护对象新增或变更的内容实施相应的安全技术措施设计。
运营者在安全物理环境、安全区域边界、安全通信网络、以及包含主机与应用数据的安全计算环境等五个维度上进行系统性规划,并提出了相应的安全管理方案与技术保障措施。例如:
网络安全等级保护标准(三级)的相关规定中对"安全分段边界"的具体规定包括"访问权限管理措施"方面的详细说明。
基于如上要求,运营者根据本单位实际情况,设计使用防火墙做如下部署:
设计使用防火墙做如下策略配置:
3.6 设计安全管理体系
管理者根据安全保护相应等级对安全管理制度的要求,并结合实际工作情况来建立安全管理规范体系。
安全管理体系由安全策略、安全管理制度、操作规程、记录表单等构成。
通常情况下,在实际应用中进行安全管理体系的设计涉及多个方面。这包括采用的方法来实现体系架构构建的具体模块和技术方案的设计,并确保对安全管理制度进行更新和完善(制修订)、审核评估(评审)、正式颁布实施(发布)、日常监督和操作(执行)以及持续优化(检查与废弃工作机制)的过程。
对于有关注兴趣的读者来说,《浅谈关键信息基础设施运营者如何制修订安全管理制度》一文可供查阅。
3.7 设计安全组织体系
遵循网络安全不同级别的要求来保障安全组织的有效性,并结合本单位的具体情况和实际需求构建相应的安全管理体系。
一般而言,在安全管理中进行组织架构规划时会包含以下几个关键要素: 首先是对组织机构设置的规划; 其次是对各岗位及其职责范围的具体划分; 最后是对安全从业人员管理工作运行机制的系统构建。这些要素共同构成了安全管理工作的基本框架和实施保障体系。具体来说:
基于安全组织体系设计所涉及的设计内容,在岗位职责设计存在不合理之处时,请明确采取何种方式重新配置职责。
相应岗位缺少了的话,请确定设立哪些新岗位,并说明这些新岗位的具体职责范围以及是否需要考虑对现有岗位进行调整或优化。
针对岗位需求和工作特点,在安全从业人员管理方面实施一系列规范化措施。具体包括岗位责任认定、选拔培养机制、轮岗调出流程以及岗位职责明确化等环节。同时注重提升从业人员的安全意识和专业能力,并通过定期开展安全培训和应急演练来加强日常管理。
对于感兴趣的研究者而言,《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文值得深入研究。
3.8 梳理等级保护建设清单
依据当前的安全技术架构、安全管理架构以及组织架构的具体规划需求,详细制定并形成详细的建设清单。
3.9 形成项目分期规划
等级保护是一项系统工程,在实施过程中需要涵盖政策制定预算规划技术支撑管理流程以及人才储备和资源保障等多个关键要素。由于实际操作中通常难以一次性完成所有防护措施的落地与执行运营团队应当采取项目化运作的方式按照科学合理的规划分期分批推进防护对象的相关防护工作
等级保护建设项目规划的主要包含三个阶段:一是制定各阶段的目标;二是设计各阶段的实施内容;三是完成项目的阶段性规划方案。
(1)确定项目分期目标
运营者根据本单位网络安全和信息化建设的长期规划目标以及相关技术方案需求,在充分评估网络安全建设的资金预算安排、实际资金规模等资源保障条件的基础上,在当前存在的安全隐患中按照重要性排序原则确定各时间段内的安全保障措施目标
(2)规划项目分期建设内容
在制定好项目的分阶段目标后,
基于所制定的分阶段目标与施工清单,
安排好分批次、分阶段的主要施工内容,
然后据此将施工内容按照实际需求整合形成不同类型的子工程,
同时明确各子工程间的依赖关系或相互促进的作用,
以便指导后续各个阶段项目的推进工作,
并加强对于这些阶段项目的整体管理。
(3)形成项目分期规划
项目运营方依据项目分阶段目标以及建设内容综合考虑时间和资源分配、问题解决的紧急程度以及资金预算等多方面因素,在全面规划下将施工清单划分至不同时间段与阶段,并合理编排施工进度安排以完成投资预算编制工作。
运营者对项目分期目标、建设内容和要求等进行收集和整理,并完成初步规划方案。
3.10 分析预期建设成效
基于等级保护体系规划,评估项目分期建设和完成后可能带来的综合成效,并重点关注社会效益与经济效益。
小结
运营者可以根据本文内容,在分析本单位实际情况的基础上, 制定或优化本单位的网络安全等级保护体系