網絡安全等級保護建設是等級保護的核心,沒有安全建設前期定級、備案就是落在紙面上的空文,沒有實實在在的建設後期測評結果将慘不忍睹。是以,安全建設管理至關重要,他是從藍圖到實施的關鍵性階段,是以實履職的階段。隻有依據國家法律法規和标準,紮實的開展了建設以及對建設進行管理,後期的測評結果才能熠熠生輝。
等級保護對象在建設過程中,要經過系統定級和備案、安全方案設計、産品采購和使用、軟體開發、工程實施、測試驗收、系統傳遞等幾個階段,每個階段都涉及到多個活動,隻有對這些活動實施科學和完善的管理,才能保證系統建設的進度、品質和安全。同時,安全建設管理過程中,有沒有對第三方建設機關進行有效管理以及有沒有留存足夠的安全建設相關資料,在等級保護測評階段其實是可以通過測評檢查出來的,若在建設階段第三方存在偷工減料的行為,則等級保護對象安全責任機關,可以依據測評的結果要求第三方按照國家标準和合同,提升整改并留存好所有建設過程文檔、驗收資料、教育訓練資料等等,做到閉環管理。可以這麼認為,等級測評貴在真實反應情況,隻有真實反應了情況,各方在給責任機關提供服務中的水分才能擠壓出去。
很多人,問過我。責任機關是不是應與測評機構直接簽署合同。我隻是從原理性去考量這個問題,在等級保護測評階段,勢必會對建設過程中方方面面進行測評,是以測評在圍繞建設過程的内容,一方面是責任機關驗證自身建設水準的一個有力參考,另一方面是檢驗第三方在建設過程中是否依據國家标準實實在在為責任機關提供建設服務。是以,第三方建設內建機關若與測評機構簽署合同,存在掩蓋建設過程中存在的風險和隐患或偷工減料的問題,對責任機關來說可預見性風險随機轉成隐患,更加難以發現。然而,一旦發生網絡安全事件,責任機關是直接責任承擔者,最終吃虧的自然是責任機關。
安全通用要求的安全建設管理部分針對安全建設過程提出安全控制要求,涉及的安全控制點包括定級和備案、安全方案設計、安全産品采購和使用、自行軟體開發、外包軟體開發、工程實施、測試驗收、系統傳遞、等級測評、服務供應商管理。
安全建設管理在控制點和要求項上的逐級變化,如表所示。
安全建設管理在控制點和要求項上的逐級變化
| 序号 | 控制點 | 一級 | 二級 | 三級 | 四級 |
| 1 | 定級和備案 | 1 | 4 | 4 | 4 |
| 2 | 安全方案設計 | 1 | 3 | 3 | 3 |
| 3 | 安全産品采購和使用 | 1 | 2 | 3 | 4 |
| 4 | 自行軟體開發 | 2 | 7 | 7 | |
| 5 | 外包軟體開發 | 2 | 3 | 3 | |
| 6 | 工程實施 | 1 | 2 | 3 | 3 |
| 7 | 測試驗收 | 1 | 2 | 2 | 2 |
| 8 | 系統傳遞 | 2 | 3 | 3 | 3 |
| 9 | 等級測評 | 3 | 3 | 3 | |
| 10 | 服務供應商管理 | 2 | 2 | 3 | 3 |
基本要求一至四級,詳情見下表
| 安全建設管理 | 安全建設管理 | 安全建設管理 | 安全建設管理 |
| 定級和備案 | 定級和備案 | 定級和備案 | 定級和備案 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| 應以書面的形式說明保護對象的安全保護等級及确定等級的方法和理由。 | a) 應以書面的形式說明保護對象的安全保護等級及确定等級的方法和理由; | a)應以書面的形式說明保護對象的安全保護等級及确定等級的方法和理由; | a)應以書面的形式說明保護對象的安全保護等級及确定等級的方法和理由; |
| — | b) 應組織相關部門和有關安全技術專家對定級結果的合理性和正确性進行論證和審定; | b)應組織相關部門和有關安全技術專家對定級結果的合理性和正确性進行論證和審定; | b)應組織相關部門和有關安全技術專家對定級結果的合理性和正确性進行論證和審定; |
| — | c) 應保證定級結果經過相關部門的準許; | c)應保證定級結果經過相關部門的準許; | c)應保證定級結果經過相關部門的準許; |
| — | d) 應将備案材料報主管部門和相應公安機關備案。 | d)應将備案材料報主管部門和相應公安機關備案。 | d)應将備案材料報主管部門和相應公安機關備案。 |
| 安全方案設計 | 安全方案設計 | 安全方案設計 | 安全方案設計 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| 應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施。 | a) 應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施; | a)應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施; | a)應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施; |
| — | b) 應根據保護對象的安全保護等級進行安全方案設計; | b)應根據保護對象的安全保護等級及與其他級别保護對象的關系進行安全整體規劃和安全方案設計,設計内容應包含密碼技術相關内容,并形成配套檔案; | b)應根據保護對象的安全保護等級及與其他級别保護對象的關系進行安全整體規劃和安全方案設計,設計内容應包含密碼技術相關内容,并形成配套檔案; |
| — | c) 應組織相關部門和有關安全專家對安全方案的合理性和正确性進行論證和審定,經過準許後才能正式實施。 | c)應組織相關部門和有關安全專家對安全整體規劃及其配套檔案的合理性和正确性進行論證和審定,經過準許後才能正式實施。 | c)應組織相關部門和有關安全專家對安全整體規劃及其配套檔案的合理性和正确性進行論證和審定,經過準許後才能正式實施。 |
| 産品采購和使用 | 産品采購和使用 | 産品采購和使用 | 産品采購和使用 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| 應確定網絡安全産品采購和使用符合國家的有關規定。 | a) 應確定網絡安全産品采購和使用符合國家的有關規定; | a)應確定網絡安全産品采購和使用符合國家的有關規定; | a)應確定網絡安全産品采購和使用符合國家的有關規定; |
| — | b) 應確定密碼産品與服務的采購和使用符合國家密碼管理主管部門的要求。 | b)應確定密碼産品與服務的采購和使用符合國家密碼管理主管部門的要求; | b)應確定密碼産品與服務的采購和使用符合國家密碼管理主管部門的要求; |
| — | — | c)應預先對産品進行選型測試,确定産品的候選範圍,并定期審定和更新候選産品名單。 | c)應預先對産品進行選型測試,确定産品的候選範圍,并定期審定和更新候選産品名單; |
| — | — | — | d)應對重要部位的産品委托專業測評機關進行專項測試,根據測試結果選用産品。 |
| 自行軟體開發 | 自行軟體開發 | 自行軟體開發 | 自行軟體開發 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| — | a) 應将開發環境與實際運作環境實體分開,測試資料和測試結果受到控制; | a)應将開發環境與實際運作環境實體分開,測試資料和測試結果受到控制; | a)應将開發環境與實際運作環境實體分開,測試資料和測試結果受到控制; |
| — | b) 應在軟體開發過程中對安全性進行測試,在軟體安裝前對可能存在的惡意代碼進行檢測。 | b)應制定軟體開發管理制度,明确說明開發過程的控制方法和人員行為準則; | b)應制定軟體開發管理制度,明确說明開發過程的控制方法和人員行為準則; |
| — | — | c)應制定代碼編寫安全規範,要求開發人員參照規範編寫代碼; | c)應制定代碼編寫安全規範,要求開發人員參照規範編寫代碼; |
| — | — | d)應具備軟體設計的相關文檔和使用指南,并對文檔使用進行控制; | d)應具備軟體設計的相關文檔和使用指南,并對文檔使用進行控制; |
| — | — | e)應保證在軟體開發過程中對安全性進行測試,在軟體安裝前對可能存在的惡意代碼進行檢測; | e)應在軟體開發過程中對安全性進行測試,在軟體安裝前對可能存在的惡意代碼進行檢測; |
| — | — | f)應對程式資源庫的修改、更新、釋出進行授權和準許,并嚴格進行版本控制; | f)應對程式資源庫的修改、更新、釋出進行授權和準許,并嚴格進行版本控制; |
| — | — | g)應保證開發人員為專職人員,開發人員的開發活動受到控制、監視和審查。 | g)應保證開發人員為專職人員,開發人員的開發活動受到控制、監視和審查。 |
| 外包軟體開發 | 外包軟體開發 | 外包軟體開發 | 外包軟體開發 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| — | a) 應在軟體傳遞前檢測其中可能存在的惡意代碼; | a)應在軟體傳遞前檢測其中可能存在的惡意代碼; | a)應在軟體傳遞前檢測其中可能存在的惡意代碼; |
| — | b) 應保證開發機關提供軟體設計文檔和使用指南。 | b)應保證開發機關提供軟體設計文檔和使用指南; | b)應保證開發機關提供軟體設計文檔和使用指南; |
| — | — | c)應保證開發機關提供軟體源代碼,并審查軟體中可能存在的後門和隐蔽信道。 | c)應保證開發機關提供軟體源代碼,并審查軟體中可能存在的後門和隐蔽信道。 |
| 工程實施 | 工程實施 | 工程實施 | 工程實施 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| 應指定或授權專門的部門或人員負責工程實施過程的管理。 | a) 應指定或授權專門的部門或人員負責工程實施過程的管理; | a)應指定或授權專門的部門或人員負責工程實施過程的管理; | a)應指定或授權專門的部門或人員負責工程實施過程的管理; |
| — | b) 應制定安全工程實施方案控制工程實施過程。 | b)應制定安全工程實施方案控制工程實施過程; | b)應制定安全工程實施方案控制工程實施過程; |
| — | — | c)應通過第三方工程監理控制項目的實施過程。 | c)應通過第三方工程監理控制項目的實施過程。 |
| 測試驗收 | 測試驗收 | 測試驗收 | 測試驗收 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| 應進行安全性測試驗收。 | a) 應制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告; | a)應制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告; | a)應制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告; |
| — | b) 應進行上線前的安全性測試,并出具安全測試報告。 | b)應進行上線前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關内容。 | b)應進行上線前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關内容。 |
| 系統傳遞 | 系統傳遞 | 系統傳遞 | 系統傳遞 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| a) 應制定傳遞清單,并根據傳遞清單對所交接的裝置、軟體和文檔等進行清點; | a) 應制定傳遞清單,并根據傳遞清單對所交接的裝置、軟體和文檔等進行清點; | a)應制定傳遞清單,并根據傳遞清單對所交接的裝置、軟體和文檔等進行清點; | a)應制定傳遞清單,并根據傳遞清單對所交接的裝置、軟體和文檔等進行清點; |
| b) 應對負責運作維護的技術人員進行相應的技能教育訓練。 | b) 應對負責運作維護的技術人員進行相應的技能教育訓練; | b)應對負責運作維護的技術人員進行相應的技能教育訓練; | b)應對負責運作維護的技術人員進行相應的技能教育訓練; |
| — | c) 應提供建設過程文檔和運作維護文檔。 | c)應提供建設過程文檔和運作維護文檔。 | c)應提供建設過程文檔和運作維護文檔。 |
| 等級測評 | 等級測評 | 等級測評 | 等級測評 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| — | a) 應定期進行等級測評,發現不符合相應等級保護标準要求的及時整改; | a)應定期進行等級測評,發現不符合相應等級保護标準要求的及時整改; | a)應定期進行等級測評,發現不符合相應等級保護标準要求的及時整改; |
| — | b) 應在發生重大變更或級别發生變化時進行等級測評; | b)應在發生重大變更或級别發生變化時進行等級測評; | b)應在發生重大變更或級别發生變化時進行等級測評; |
| — | c) 應確定測評機構的選擇符合國家有關規定。 | c)應確定測評機構的選擇符合國家有關規定。 | c)應確定測評機構的選擇符合國家有關規定。 |
| 服務供應商選擇 | 服務供應商選擇 | 服務供應商選擇 | 服務供應商選擇 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| a) 應確定服務供應商的選擇符合國家的有關規定; | a) 應確定服務供應商的選擇符合國家的有關規定; | a)應確定服務供應商的選擇符合國家的有關規定; | a)應確定服務供應商的選擇符合國家的有關規定; |
| b) 應與標明的服務供應商簽訂與安全相關的協定,明确約定相關責任。 | b) 應與標明的服務供應商簽訂相關協定,明确整個服務供應鍊各方需履行的網絡安全相關義務。 | b)應與標明的服務供應商簽訂相關協定,明确整個服務供應鍊各方需履行的網絡安全相關義務; | b)應與標明的服務供應商簽訂相關協定,明确整個服務供應鍊各方需履行的網絡安全相關義務; |
| — | — | c)應定期監督、評審和稽核服務供應商提供的服務,并對其變更服務内容加以控制。 | c)應定期監督、評審和稽核服務供應商提供的服務,并對其變更服務内容加以控制。 |
參考資料:
網絡安全等級測評師教育訓練教程
網絡安全等級保護基本要求
網絡安全等級保護測評要求
等