网络安全等级保护建设是等级保护的核心,没有安全建设前期定级、备案就是落在纸面上的空文,没有实实在在的建设后期测评结果将惨不忍睹。所以,安全建设管理至关重要,他是从蓝图到实施的关键性阶段,是以实履职的阶段。只有依据国家法律法规和标准,扎实的开展了建设以及对建设进行管理,后期的测评结果才能熠熠生辉。
等级保护对象在建设过程中,要经过系统定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等几个阶段,每个阶段都涉及到多个活动,只有对这些活动实施科学和完善的管理,才能保证系统建设的进度、质量和安全。同时,安全建设管理过程中,有没有对第三方建设单位进行有效管理以及有没有留存足够的安全建设相关资料,在等级保护测评阶段其实是可以通过测评检查出来的,若在建设阶段第三方存在偷工减料的行为,则等级保护对象安全责任单位,可以依据测评的结果要求第三方按照国家标准和合同,提升整改并留存好所有建设过程文档、验收资料、培训资料等等,做到闭环管理。可以这么认为,等级测评贵在真实反应情况,只有真实反应了情况,各方在给责任单位提供服务中的水分才能挤压出去。
很多人,问过我。责任单位是不是应与测评机构直接签署合同。我只是从原理性去考量这个问题,在等级保护测评阶段,势必会对建设过程中方方面面进行测评,所以测评在围绕建设过程的内容,一方面是责任单位验证自身建设水平的一个有力参考,另一方面是检验第三方在建设过程中是否依据国家标准实实在在为责任单位提供建设服务。所以,第三方建设集成单位若与测评机构签署合同,存在掩盖建设过程中存在的风险和隐患或偷工减料的问题,对责任单位来说可预见性风险随机转成隐患,更加难以发现。然而,一旦发生网络安全事件,责任单位是直接责任承担者,最终吃亏的自然是责任单位。
安全通用要求的安全建设管理部分针对安全建设过程提出安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。
安全建设管理在控制点和要求项上的逐级变化,如表所示。
安全建设管理在控制点和要求项上的逐级变化
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 定级和备案 | 1 | 4 | 4 | 4 |
2 | 安全方案设计 | 1 | 3 | 3 | 3 |
3 | 安全产品采购和使用 | 1 | 2 | 3 | 4 |
4 | 自行软件开发 | 2 | 7 | 7 | |
5 | 外包软件开发 | 2 | 3 | 3 | |
6 | 工程实施 | 1 | 2 | 3 | 3 |
7 | 测试验收 | 1 | 2 | 2 | 2 |
8 | 系统交付 | 2 | 3 | 3 | 3 |
9 | 等级测评 | 3 | 3 | 3 | |
10 | 服务供应商管理 | 2 | 2 | 3 | 3 |
基本要求一至四级,详情见下表
安全建设管理 | 安全建设管理 | 安全建设管理 | 安全建设管理 |
定级和备案 | 定级和备案 | 定级和备案 | 定级和备案 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; | a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; | a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; |
— | b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; | b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; | b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; |
— | c) 应保证定级结果经过相关部门的批准; | c)应保证定级结果经过相关部门的批准; | c)应保证定级结果经过相关部门的批准; |
— | d) 应将备案材料报主管部门和相应公安机关备案。 | d)应将备案材料报主管部门和相应公安机关备案。 | d)应将备案材料报主管部门和相应公安机关备案。 |
安全方案设计 | 安全方案设计 | 安全方案设计 | 安全方案设计 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。 | a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; |
— | b) 应根据保护对象的安全保护等级进行安全方案设计; | b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件; | b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件; |
— | c) 应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后才能正式实施。 | c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 | c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 |
产品采购和使用 | 产品采购和使用 | 产品采购和使用 | 产品采购和使用 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
应确保网络安全产品采购和使用符合国家的有关规定。 | a) 应确保网络安全产品采购和使用符合国家的有关规定; | a)应确保网络安全产品采购和使用符合国家的有关规定; | a)应确保网络安全产品采购和使用符合国家的有关规定; |
— | b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。 | b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; | b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; |
— | — | c)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 | c)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单; |
— | — | — | d)应对重要部位的产品委托专业测评单位进行专项测试,根据测试结果选用产品。 |
自行软件开发 | 自行软件开发 | 自行软件开发 | 自行软件开发 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
— | a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; |
— | b) 应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。 | b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; | b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; |
— | — | c)应制定代码编写安全规范,要求开发人员参照规范编写代码; | c)应制定代码编写安全规范,要求开发人员参照规范编写代码; |
— | — | d)应具备软件设计的相关文档和使用指南,并对文档使用进行控制; | d)应具备软件设计的相关文档和使用指南,并对文档使用进行控制; |
— | — | e)应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测; | e)应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测; |
— | — | f)应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; | f)应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; |
— | — | g)应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 | g)应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 |
外包软件开发 | 外包软件开发 | 外包软件开发 | 外包软件开发 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
— | a) 应在软件交付前检测其中可能存在的恶意代码; | a)应在软件交付前检测其中可能存在的恶意代码; | a)应在软件交付前检测其中可能存在的恶意代码; |
— | b) 应保证开发单位提供软件设计文档和使用指南。 | b)应保证开发单位提供软件设计文档和使用指南; | b)应保证开发单位提供软件设计文档和使用指南; |
— | — | c)应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 | c)应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 |
工程实施 | 工程实施 | 工程实施 | 工程实施 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
应指定或授权专门的部门或人员负责工程实施过程的管理。 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理; | a)应指定或授权专门的部门或人员负责工程实施过程的管理; | a)应指定或授权专门的部门或人员负责工程实施过程的管理; |
— | b) 应制定安全工程实施方案控制工程实施过程。 | b)应制定安全工程实施方案控制工程实施过程; | b)应制定安全工程实施方案控制工程实施过程; |
— | — | c)应通过第三方工程监理控制项目的实施过程。 | c)应通过第三方工程监理控制项目的实施过程。 |
测试验收 | 测试验收 | 测试验收 | 测试验收 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
应进行安全性测试验收。 | a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; |
— | b) 应进行上线前的安全性测试,并出具安全测试报告。 | b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 | b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 |
系统交付 | 系统交付 | 系统交付 | 系统交付 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; |
b) 应对负责运行维护的技术人员进行相应的技能培训。 | b) 应对负责运行维护的技术人员进行相应的技能培训; | b)应对负责运行维护的技术人员进行相应的技能培训; | b)应对负责运行维护的技术人员进行相应的技能培训; |
— | c) 应提供建设过程文档和运行维护文档。 | c)应提供建设过程文档和运行维护文档。 | c)应提供建设过程文档和运行维护文档。 |
等级测评 | 等级测评 | 等级测评 | 等级测评 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
— | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | a)应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | a)应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; |
— | b) 应在发生重大变更或级别发生变化时进行等级测评; | b)应在发生重大变更或级别发生变化时进行等级测评; | b)应在发生重大变更或级别发生变化时进行等级测评; |
— | c) 应确保测评机构的选择符合国家有关规定。 | c)应确保测评机构的选择符合国家有关规定。 | c)应确保测评机构的选择符合国家有关规定。 |
服务供应商选择 | 服务供应商选择 | 服务供应商选择 | 服务供应商选择 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
a) 应确保服务供应商的选择符合国家的有关规定; | a) 应确保服务供应商的选择符合国家的有关规定; | a)应确保服务供应商的选择符合国家的有关规定; | a)应确保服务供应商的选择符合国家的有关规定; |
b) 应与选定的服务供应商签订与安全相关的协议,明确约定相关责任。 | b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。 | b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务; | b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务; |
— | — | c)应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 | c)应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 |
参考资料:
网络安全等级测评师培训教程
网络安全等级保护基本要求
网络安全等级保护测评要求
等