网络安全等级保护:如何做好网络安全运行与维护
发布日期:2021-11-25
来源:河南等级保护测评
前面我们将安全设计与实施看了一遍,接下来我们则进入安全运行与维护,如图所示进入第四层左侧部分安全运行与维护。有关右侧部分应急响应与保障另文说明之,应急这块在《网络安全法》中有第二十五条单独进行规范,所以也是非常重要的一个工作。完成上个阶段实施后,就进入运行和维护阶段,这是网络生命周期的工作常态。
该阶段的目标是按照等级保护对象安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。图片
这些内容在《网络安全等级保护基本要求》中,涉及从技术到管理众多测评项。我一再说,落实等级保护工作从规划已经开始,而不是测评才开始。从规划开始就遵循“三同步”原则叫安全建设;测评完成后,发现的安全问题叫安全整改。等级测评后发现的有很多问题是在安全规划之初因对安全工作了解不深入不全面,遗留问题。安全建设过程中未考虑周全的地方,在安全整改过程中也是一个补救过程。安全建设整改最终目的是提升网络安全综合防护水平和能力。
做过网络安全等级保护测评的朋友,对安全运行与维护应该比较熟悉了。对于扎实开展了规划设计实施的朋友其实对这块应该更熟悉。这涉及到运行管控、变更管控、状态监控、服务商管控、等级测评、检查改进等几部分内容。接下来我们将展开探讨:
第一阶段:运行管理和控制
该阶段又可以由运行管理职责确定、运行管理过程控制两部分内容构成。
运行管理职责确定是需要输入安全详细设计方案,安全组织机构表,根据划分运行管理角色、授予管理权限、定义人员职责,通过对运行管理活动或任务的角色划分,并授予相应的管理权限,来达到确定安全运行管理的具体人员和职责的目标。应至少划分为系统管理员、安全管理员和安全审计员。最终输出运行管理人员角色和职责表。
划分运行管理角色应注意:根据管理制度和实际运行管理需求,划分运行管理需要的角色及用户,并由系统管理员创建角色及用户。越高安全保护等级的运行管理角色划分越细。
授予管理权限应注意:根据管理制度和实际运行管理需要,由安全管理员授予每一个运行管理角色及用户不同的管理权限。安全保护等级越高的系统管理权限的划分也越细。
定义人员职责应注意:根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管理角色的职责。由安全审计员对系统管理员、安全管理员操作日志进行审计。
运行管理过程控制是需要输入运行管理需求,运行管理人员角色和职责表。通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。最终输出各类运行管理操作规程。
建立操作规程应注意:将操作过程或流程规范化,并形成指导运行管理人员工作的操作规程,操作规程作为正式文件处理。操作规程应至少覆盖运维人员、使用用户等的各类操作,如:移动介质使用规程、终端使用规程、数据库操作规程等。安全保护等级越高的系统,对更多的操作要形成操作规程文件。
操作过程记录应注意:对运行管理人员按照操作规程执行的操作过程形成相关的记录文件,可能是日志文件,记录操作的时间和人员、正常或异常等信息。
这个阶段的工作是由运营、使用单位完成。
第二阶段:变更管理和控制
该阶段又可以由变更需求和影响分析、变更过程控制两部分内容构成。
变更需求和影响分析是需要输入变更需求,通过对运行与维护过程中的变更需求和变更影响的分析,来确定变更的类别,计划后续的活动内容。最终形成变更方案。
变更需求分析应注意:对运行与维护过程中的变更需求进行分析,确定变更的内容、变更资源需求和变更范围等,判断变更的必要性和可行性。
变更影响分析应注意:对运行与维护过程中的变更可能引起的后果进行判断和分析、确定可能产生的影响大小、确定进行变更的先决条件和后续活动等。
明确变更的类别应注意:确定等级保护对象是局部调整还是重大变更。如果是由等级保护对象类型发生变化、承载的信息资产类型发生变化、等级保护对象服务范围发生变化和业务处理自动化程度发生变化等原因引起等级保护对象安全保护等级发生变化的重大变更,则需要重新确定等级保护对象安全保护等级,返回到等级保护实施过程的等级保护对象定级阶段。如果是局部调整,则确定需要配套进行的其他工作内容。
制定变更方案则需要依据上面变更需求分析、变更影响分析、明确变更的类别进行方案开发。
变更过程控制是需要输入变更方案,通过变更内容审核和审批、建立变更过程日志、形成变更结果报告,确保运行与维护过程中的变更实施过程受到控制,各项变化内容进行记录,保证变更对业务的影响最小。最终输出并更结果报告。
变更内容审核和审批应注意:对变更目的、内容、影响、时间和地点以及人员权限进行审核,以确保变更合理、科学的实施。按照机构建立的审批流程对变更方案进行审批。
建立变更过程日志应注意:按照批准的变更方案实施变更,对变更过程各类系统状态、各种操作活动等建立操作记录或日志。
形成变更结果报告应注意:收集变更过程的各类相关文档,整理、分析和总结各类数据,形成变更结果报告,并归档保存。
这个阶段的工作是由运营、使用单位完成。
第三阶段:安全状态监控
该阶段又可以由监控对象确定、监控对象状态信息收集、监控状态分析和报告三部分内容构成。
监控对象确定需要输入安全详细设计方案,系统验收报告等,通过对安全关键点分析、形成监控对象列表,确定可能会对等级保护对象安全造成影响的因素,即确定安全状态监控的对象。最终输出监控列表。
安全关键点分析应注意:对影响系统、业务安全性的关键要素进行分析,确定安全状态监控的对象,这些对象可能包括防火墙、人侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象;也可能包括安全标准和法律法规等外部对象。
形成监控对象列表应注意:根据确定的监控对象,分析监控的必要性和可行性、监控的开销和成本等因素,形成监控对象列表。
监控对象状态信息收集需要输入监控对象列表,通过选择监控工具、状态信息收集,收集安全状态监控的信息,识别和记录入侵行为,对等级保护对象的安全状态进行监控。最终输出安全状态信息。
选择监控工具应注意:根据监控对象的特点、监控管理的具体要求、监控工具的功能、性能特点等,选择合适的监控工具。
监控工具也可能不是自动化的工具,而只是由各类人员构成的,遵循一定规则进行操作的组织或者是两者的综合。
状态信息收集应注意:收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等;或者是来自外部环境的安全标准和法律法规的变更信息。
监控状态分析和报告需要输人安全状态信息,通过对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。最终输出安全状态分析报告。
状态分析应注意:对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势。
影响分析应注意:根据对安全状况变化的分析,分析这些变化对安全的影响,通过判断他们的影响决定是否有必要作出响应。
形成安全状态分析报告应注意:根据安全状态分析和影响分析的结果,形成安全状态分析报告,上报安全事件或提出变更需求。
这个阶段的工作是由运营、使用单位完成。
第四阶段:安全自查和持续改进
该阶段又可以由安全状态自查、改进方案制定、安全改进实施三部分内容构成。
安全状态自查需要输入等级保护对象详细描述文件、变更结果报告、安全状态分析报告,通过对等级保护对象的安全状态进行自查,为等级保护对象的持续改进过程提供依据和建议,确保等级保护对象的安全保护能力满足相应等级安全要求。安全自查报告。最终输出安全自查报告。这点需要给大家强调一下,其实公安机关每年都有安全监督检查,其前期阶段也是需要各单位进行安全自查,在这个过程中可以把工作做在平时,以便更好的应对公安机关要求以及自查后的临检工作。
确定自查对象和自查方法应注意:确定检查的对象和方法,确定本次安全自查的范围及安全自查工具、调研表格等。
制定自查计划和自查方案应注意:确定自查工作的角色和职责,确定自查工作的方法,成立安全自查工作组。制定安全自查工作计划和安全自查方案,说明安全自查的范围、对象、工作方法等,准备安全自查需要的各类表单和工具。
安全自查实施应注意:根据安全自查计划,通过询问、检查和测试等多种手段,进行安全状况自查,记录各种自查活动的结果数据,分析安全措施的有效性、安全事件产生的可能性和定级对象的实际改进需求等。
安全自查结果和报告应注意:总结安全自查的结果,提出改进的建议,并产生安全自查报告。将安全自查过程的各类文档、资料归档保存。
改进方案制定需要输入安全自查报告,依据安全检查的结果,调整等级保护对象的安全状态,保证等级保护对象安全防护的有效性。最终输出安全改进方案。
在这里,再多说一句。很多单位在等级保护测评结束后,公安机关要求限期整改,感觉到疑惑。网络安全工作开展的目标和态度如果正确了,其实这点理论上没有什么可以感觉疑惑的,网络安全最终的目标或目的是达到整体安全。工作目标和目的在,与公安机关要求理论上没关系,而是应该主动完成整改工作。不然,你的安全工作做得是什么呢?难道只是别人给你评一个分数吗?这只是面子问题,没有解决里子存在的问题。
安全改进的立项应注意:根据安全检查结果确定安全改进的策略,如果涉及安全保护等级的变化,则应进入安全保护等级保护实施的一个新的循环过程;如果安全保护等级不变,但是调整内容较多、涉及范围较大,则应对安全改进项目进行立项,重新开始安全实施/实现过程;如果调整内容较小,则可以直接进行安全改进实施。
制定安全改进方案应注意:确定安全改进的工作方法、工作内容、人员分工、时间计划等,制定安全改进方案。安全改进方案只适用于小范围内的安全改进,如安全加固、配置加强、系统补丁等。
安全改进实施需要输入安全改进方案,通过安全方案实施控制、安全措施测试与验收、配套技术文件和管理制度的修订,保证按照安全改进方案实现各项补充安全措施,并确保原有的技术措施和管理措施与各项补充的安全措施一致有效地工作。最终输出测试或验收报告。按照安全改进方案实施和落实各项补充的安全措施后,要调整和修订各类相关的技术文件和管理制度,保证原有体系完整性和一致性。
这个阶段的工作是由运营、使用单位完成。
第五阶段:服务商管理和监控
该阶段又可以由服务商选择、服务商管理、服务商监控三部分内容构成。
服务商选择需要输入安全详细设计方案,实施方案等,通过对安全服务商服务能力分析、网络安全风险分析、服务内容互斥分析,来确定符合国家规定或行业规定的设计、测评、建设资质的服务商,为后续的管理和监控奠定基础。最终输出已选择的服务商,安全服务方案。这方面属于我们常规中说的供应链安全,作为网络运营、使用单位应该慎重选择安全服务机构,以免为单位引入新风险。
服务能力分析应注意:从影响系统、业务安全性等关键要素层面分析服务商服务能力,根据国家招投标相关要求,选择最佳服务商,这些要素可能包括服务商的基本情况、企业资质和人员资质、信誉、技术力量和行业经验、内部控制和管理能力、持续经营状况、服务水平及人员配备情况等。
网络安全风险分析应注意:在选择服务商时,需要识别服务商的网络安全风险,防止高风险、不合格服务商承担安全运行维护项目,网络安全风险点包括但不限于以下几点:
——服务商可能的泄密行为;
——服务商服务能力及行业经验;
——物理访问、信息资料丢失、系统越权访问、误操作等;
——服务商企业资质、人员资质及网络安全口碑、业绩;
——服务商以往服务项目案例。
服务内容互斥分析应注意:在选择服务商时,需要识别服务商提供的服务与之前或后续提供的服务之间没有互斥性。承担等级保护对象安全建设服务的机构应具备等级保护安全建设服务机构资质。承担等级测评服务的机构具备等级测评机构资质。
服务商管理需要输入已选择的服务商,安全服务方案,通过人员管理、服务管理,从而对服务商从多维度进行切实有效管理,使得服务商在约定范围内开展服务工作。
人员管理应注意:为确保服务商服务工作符合约定要求,使用单位对服务人员的管理措施应至少包括但不限于:
——使用单位需制定服务商人员管理规定,包含但不限于上岗资质审核机制、保密协议、品行管理、服务技能考核、行为管理、系统权限管理、口令管理等。
——使用单位负责对服务商核心人员的确定和变更进行备案。
——服务商人员在为使用单位提供服务的过程中,严格遵守使用单位的各项规定、管理要求,服从使用单位安排。
——如因服务商人员原因,给使用单位或第三方造成人员人身伤害或财产损失的,服务商应承担赔偿责任。
——使用单位督促服务商对服务人员开展培训及安全教育工作。
服务管理应注意:为确保服务商服务工作符合约定要求,服务商应满足但不限于:
——服务商提供齐全进场相关资料(如企业资质、人员资质、人员名单、物资资料等),并接受使用单位的审核。
——服务商基本信息发生变更,如:法人、单位名称、银行账户等,应提前通知使用单位。
——按照约定要求服务商提供各项服务,保质保量完成服务目标;如因服务商未完成服务目标给使用单位造成损失的,应予赔偿。
——服务商确保所提供服务不存在任何侵犯第三方著作权、商标权、专利权等合法权益的情形;服务商保护好对服务过程中产生的研究成果及知识产权,未经使用单位许可,服务商不得以任何形式向任何第三方转让权利义务。
——服务商提供项目验收和考核的相关材料,配合使用单位组织开展项目结题验收和考核工作。
——使用单位根据约定的售后服务内容及标准,实时跟踪服务商售后服务考核情况,作为后续服务商选择参考。
服务商监控需要输入服务商日常服务记录,安全服务方案,通过对服务商及其人员在服务过程中的行为进行有效监控,若发现不合规行为,限时保质整改,确保服务商服务工作持续、规范、高效。最终输出服务商分析评价报告。
在选择安全服务商过程中,需要注意包含但不限于以下注意事项:
——使用单位负责组织制定服务评审标准及办法,并依据办法对服务质量进行评审;服务商应接受使用单位对其提供服务情况进行的监督和检查,并应及时按照使用单位要求对所提供的服务进行改进或调整,使服务质量符合使用单位要求。
——使用单位对服务商日常工作进行指导,当发现服务商工作中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给使用单位造成损失的,服务商应承担全部赔偿责任。
——使用单位监管项目进展情况期间,对于重大情况服务商应及时主动报告。
——使用单位负责对服务商人员定期进行考核评价,考核方式可采用日常考核、季度考核和年度考核,也可采用适合使用单位的考核方式;如发生严重违反合作原则、伤害使用单位利益、影响服务质量等行为,使用单位有权随时向服务商提出人员撤换要求。
——服务过程中,服务商如因正当理由需要调整、变更人员的,应提前通知使用单位,做好工作交接,并获得使用单位同意后方可进行。
这个阶段工作主要由运营、使用单位,网络安全服务机构等共同完成。
第六个阶段:等级测评
该阶段需要输入等级保护对象详细描述文件、等级保护对象安全保护等级定级报告、系统验收报告等文件,通过网络安全等级测评机构对已经完成等级保护建设的等级保护对象定期进行等级测评,确保等级保护对象的安全保护措施符合相应等级的安全要求。最终输出安全等级测评报告,整改需求。所以测评结束之后测评报告必不可少,另外安全整改需求也是必须,整改工作也是本文第五阶段持续改进所强调的内容。
在此阶段,网络安全等级测评机构依据有关等级保护对象安全保护等级测评的规范或标准对等级保护对象开展等级测评。运营、使用单位参考等级测评出具的安全等级测评报告,分析确定整改需求。
这个阶段是现阶段所有单位最熟知的一个阶段,也就是很多行业有硬性指标,要求所谓“过等保”。
这个阶段工作主要由主管部门,运营、使用单位,网络安全等级测评机构等共同完成。
