0%

现在是横盘期,买入一手五粮液,标志着正式踏入股市,以此留念。

秋风木叶
2020-10-15

昨天户外测试,路过一洒水车,将我和我的电脑都琳成落汤鸡,今天发现电池电量很快就用光,用检测程序检测之后发现电池真的已损坏,电池因公殉职……

阅读全文 »

今晨与May到公园跑步,阳光明媚而温柔,秋风宜人,晨跑之后神清气爽,筋骨很舒畅,随后到菜市场买菜,又买几个包子当早餐,回家泡一杯羊奶粉给May,用完早餐,小憩片刻,时至9时。

午饭之前学习软考课程,下午至晚上加班准备明日工作所需资料,期间可花少许时间帮May分担家务,权当做课间休息。

以上便是今日之安排,锻炼身体、关爱家人、学习、工作均未有耽误,这是对《自问》中的第四个问题 “如何平衡工作与家庭,工作与学习,工作与健康的关系?” 的初步探索。

休假完毕,问自己几个问题:

  1. 身处逆境时如何奋勇向前? 明确目标,持之以恒
  2. 如何减少理想与现实的差距? 书山有路勤为径,学海无涯苦作舟
  3. 如何保持初心不改? 吾日三省吾身
  4. 如何平衡工作与家庭,工作与学习,工作与健康的关系? 理解责任与担当
  5. 如何保持良好心态,遇事冷静不激动? 多读圣贤书,内修
  6. 想要的究竟是什么? 自由
  7. 所处的环境是否就是想要的? 我不确定,所以先否定,要努力改变
  8. 你快乐吗? 现在我很快乐,但有时候不快乐,要找到原因

当时我所回答的是”理解责任与担当“,理解责任与担当,才能明白摆正自己的位置,知道工作、学习、家庭以及健康的重要意义,这是思想意识层面要达到的,要付诸行动我觉得谨记两个字就好:自律。

理解责任与担当是实现自律原动力。合理利用时间,是自律的一种表现形式。

阅读全文 »

休假完毕,问自己几个问题:

阅读全文 »

01 中级等级测评师应具备哪些能力要求?

GB/T 36959-2018的相关描述,如下:

1、应熟悉网络安全等级保护相关政策、法规;
2、正确理解网络安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
3、掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
4、具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
5、能够独立开发测评作业指导书,熟悉测评指导书的开发、版本控制和评审流程;
6、能够根据等级保护对象的特点,编制测评方案,确定测评对象,测评指标和测评方法;
7、具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具有较强的文字表达能力;
8、了解等级保护各个工作环节的相关要求,能够针对测评中发现的问题,提出合理化的整改建议。

02 系统定级

2.1 定级要素概述

等级保护对象的定级要素包括:

1、受侵害的客体;
2、对客体的侵害程度。

2.2 受侵害的客体

1、公民、法人和其他组织的合法权益;
2、社会秩序、公共利益;
3、国家安全。

2.3 定级要素与安全保护等级的关系

定级要素与安全保护等级的关系

2.4 定级流程

针对二级及以上系统:

1、确定定级对象
2、初步确定等级
3、专家评审
4、主管部门核准
5、备案审核

2.5 定级方法

定级对象的安全主要包括业务信息安全系统服务安全,首先确定各自方面的受侵害客体对客体的侵害程度,然后确定各自方面的等级保护等级,其中较高等级作为整体的等级保护等级。流程如下:

定级方法流程示意图

2.6 业务信息安全、系统服务安全控制点

2.6.1 系统服务安全控制点(A):

安全物理环境:

电力供应

一级:提供稳定电压供应及过电压保护。
二级:提供短期的备用电力供应,满足关键设备需求。
三级:提供冗余供电线路和备用供电系统,保证为主要设备供电。
四级:要求提供应急供电设施。

安全计算环境:

数据备份恢复

一级:要求提供重要数据的本地数据备份与恢复功能。
二级:增加提供异地数据备份功能的要求。
三级:增加提供异地数据实时备份重要数据处理系统热冗余的要求。
四级:增加建立异地灾难备份中心的要去

2.6.2 业务信息安全控制点(S):

安全物理安全:

电磁防护

一级:无
二级:要求具有基本的防电磁干扰能力,如电源线和通信线缆应隔离铺设。
三级:做到关键设备和磁介质的电磁屏蔽。
四级:屏蔽范围扩展到关键区域。

安全通信网络:

可信验证

一级:要求对系统引导程序、系统程序等进行可信验证并报警。
二级:增加对重要配置参数和通信应用程序等进行可信验证并报警,同时送安全管理中心
三级:增加对应用程序关键执行环节进行动态可信验证
四级:对应用程序所有执行环节进行动态可信验证,同时送安全管理中心,并进行动态关联感知

安全区域边界:

可信验证

一级:要求网络边界设备基于可信根,对系统引导程序、系统程序等进行可信验证并报警。
二级:增加边界设备对重要配置参数和通信应用程序等进行可信验证并报警,同时送安全管理中心
三级:对应用程序关键执行环节进行动态可信验证
四级:对应用程序所有执行环节进行动态可信验证,同时送安全管理中心,并进行动态关联分析、报警

安全计算环境:

身份鉴别

一级:要求对登录的用户进行身份标识和鉴别,并且对用户鉴别信息进行了严格的要求;同时,对用户登录过程及登录后的操作行为进行必要的安全防护
二级:进行远程管理时,应采用加密措施防止鉴别信息在网络传输过程中被窃听。
三级:要求用户在登录时应采用两种或两种以上的鉴别措施对用户进行身份认证
四级:同上。

访问控制

一级:要求实现一般的访问控制授权,修改系统默认配置并使账号避免共享
二级:要求执行最小授权原则并实现管理用户的权限分离
三级:要求具有负责配置访问控制策略的授权主体;配置主体对客体的访问控制粒度;并对重要的主、客体设置安全标记
四级:要求对所有的主体、客体实现基于安全标记的强制访问控制。

可信验证

一级:要求基于可信根对系统引导程序、系统程序等进行可信验证并报警。
二级:在重要配置和应用程序等进行可信验证并报警,并送至安全管理中心
三级:要求在应用程序的关键执行环节进行动态可信验证
四级:要求在应用程序的所有执行环节进行动态科学验证,并将验证结果进行动态关联感知

数据完整性

一级:保证重要数据在传输过程中的完整性。
二级:同上。
三级:增加数据存储过程中的完整性要求。
四级:增加抗抵赖的要求。

数据保密性

一级:无
二级:无
三级:要求保证数据在传输和存储过程中的保密性
四级:同上。

剩余信息保护

一级:无
二级:要求鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
三级:增加敏感数据的存储空间被释放或重新分配前得到完全清除要求。
四级:同上。

个人信息保护

一级:无
二级:要求仅采集和保存业务必须的用户个人信息,并禁止未授权访问和非法使用用户个人信息。
三级:同上。
四级:同上。

03 等级测评中可能出现的风险及其规避措施

3.1 等级测评中可能出现的风险

可能影响系统正常运行

验证测试工作误操作的可能,测试工具漏洞扫描、性能测试及渗透测试等,都可能影响服务器和系统正常有哪些。

可能泄露敏感信息

测评人员有意或无意泄露被测系统状态信息。

木马植入风险

渗透测试完成后,有意或无意将测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。

3.2 风险规避手段

1、签署委托测评协议
2、签署保密协议
3、签署现场测评授权书
4、现场测评工作风险的规避

测评之前,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。

5、测评现场还原

测评完成后,测评人员将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复到测评前状态。

6、规范化实施过程
7、沟通与交流

04 等级测评过程

4.1 测评准备活动

收集被测定级对象相关资料、准备测评所需资料,为编制方案打下良好基础。

4.1.1 工作启动

测评机构组建等级测评项目组,获取测评委托单位及定级对象的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。

4.1.2 信息收集和分析

通过查阅被测定级对象已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况以及责任部门相关情况,为编写测评方案、开展现场测评和安全评估工作奠定基础。

4.1.3 工具和表单准备

测评项目组成员在进行现场测评之前,应熟悉被测定级对象,测试测评工具,准备各种表单等。

4.2 方案编制活动

选取测评对象、测评指标、测评方法,规划现场测评实施方案,为现场测评活动提供最基本的文档和指导方案

4.2.1 测评对象确定

1、识别并描述被测定级对象的整体结构
2、识别并描述被测定级对象的边界
3、识别并描述被测定级对象的网络区域(根据区域划分情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等)
4、识别并描述被测定级对象的主要设备(各个设备主要承载的业务,软件安装情况以及各个设备之间的主要连接情况等)
5、确定测评对象(结合被测定级对象的安全级别和重要程度,综合分析系统中各个设备和组件的功能、特点,从被测定级对象构成组件的重要性、安全性、共享性、全面性、恰当性等几方面属性确定出技术层面的测评对象,并将与被测定级对象相关的人员管理文档确定为测评对象)
6、描述测评对象(根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互连设备、安全设备、访谈人员及安全管理文档等)

4.2.2 测评指标确定

1、根据定级结果,得出系统A类(系统服务保证类)、S类(业务信息安全类)、G类(通用安全保护类)基本要求的组合情况
2、根据组合情况,从基本要求中选择相应等级的基本安全要求作为基本测评指标。
3、根据被测定级对象实际情况,确定不适用测评指标
4、根据测评委托单位级被测定级对象业务自身需求,确定特殊测评指标
5、对确定的基本测评指标和特殊测评指标进行描述,并分析给出指标不适用的原因。

4.2.3 测评内容确定

确定现场测评的具体实施内容,将测评指标和测评对象结合起来,将测评指标映射到各测评对象上,然后结合测评对象的特点,说明各测评对象所采取的测评方法。

4.2.4 工具测试方法确定

1、确定工具测试环境(与被测系统配置相同的备份环境、生产验证环境或测试环境作为工具测试环境)
2、确定需要进行测试的测评对象
3、选择测试路径(由外到内、从其他网络到本地网络的逐步逐点接入)
4、根据测试路径,确定工具接入点
5、结合网络拓扑图,描述工具的接入点、测试目的、测试途径和测试对象等内容

4.2.5 测评指导书开发

1、描述单个测评对象,包括测评对象的名称、位置信息、用途、管理人员等信息。
2、根据28448确定测评活动,包括测评项、测评方法、测评步骤和预期结果等四部分。
3、单项测评一般以表格形式设计和描述测评项、测评方法、测评步骤和预期结果等。整体测评一般以文字描述的方式表述,以测评用例的方式进行组织、
4、根据测评指导书,形成测评结果记录表格。

测评方案编制

1、根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测定级对象与单位其他系统之间的连接情况等。
2、根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来。
3、估算现场测评工作量、工作量根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算。
4、根据测评项目组成员安排,编制工作安排情况。
5、根据以往测评经验以及被测定级对象规模,编制具体的测评计划,包括现场工作人员的分工和时间安排。
6、汇总以上内容及方案编制活动的其他任务获取的内容形成测评方案文稿。
7、评审和提交测评方案,内部审核,客户签字认可。
8、根据测评方案制定风险规避实施方案。

4.3 现场测评活动

现场测评准备、现场测评和结果记录

1、现场测评准备
2、现场测评和结果记录
3、结果确认和资料归还

4.4 报告编制活动

通过单项测评结果判定和整体测评分析等方法,分析整个定级对象的安全保护状况与相应等级的保护要求之间的差距,编制测评报告

1、单项测评结果判定
2、单元测评结果判定
3、整体测评
4、系统安全保障评估
5、安全问题风险分析
6、等级测评结论形成
7、测评报告编制


00 考试重点

0.1 安全审计控制点相关

0.1.1 测评对象、级差

0.1.1.1 通用要求–>安全区域边界–>安全审计

测评对象:综合安全审计系统

一级:无
二级
在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要用户的行为和重要安全事件进行审计
审计记录应包括事件的时间、用户、事件类型、事件是否成功及其他与审计相关的信息
对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖*
三级:应能对远程访问的用户行为,访问互联网的用户行为等单独进行行为审计和数据分拆
四级:同二级

0.1.1.2 通用要求–>安全计算环境–>安全审计

测评对象
1、终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)
2、网络设备(包括虚拟网络设备)
3、安全设备(包括虚拟安全设备)
4、移动终端
5、移动终端管理系统
6、移动终端管理客户端
7、感知节点设备
8、网关节点设备
9、控制设备
10、业务应用系统
11、数据库管理系统
12、中间件和系统管理软件
13、系统设计文档
……

一级:无
二级
1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
2、审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
3、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
三级:应对审计进程进行保护,防止未经授权的中断
四级:审计记录应包括事件的时间、用户、事件类型、主体标识、客体标识和结果

0.1.1.3 通用要求–>安全管理中心–>安全审计

测评对象
综合安全审计系统、数据库审计系统等提供集中审计功能的系统

一级:无
二级
1、应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计
2、应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等
三级:同上
四级:同上

0.1.1.4 云计算扩展要求–>安全区域边界–>安全审计

测评对象堡垒机或相关组件

一级:无
二级
应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启
应保证云服务商与云服务客户系统和数据的操作可被云服务客户审计*
三级:同上
四级:同上

0.1.2 高风险判定指引

0.1.2.1 安全区域边界–>安全审计

对应要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

判例内容:在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判定为高风险。

适用范围:所有系统。

满足条件:无法对重要的用户行为和重要安全事件进行日志审计。

补偿措施:无。

整改建议:建议在网络边界、重要网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。

0.1.2.2 安全计算环境–>安全审计( 网络设备、安全设备、主机设备等)

对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

判例内容:重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源,可判定为高风险。

适用范围:3级及以上系统。

满足条件(同时):
1、3级及以上系统
2、重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。

补偿措施
1、如使用堡垒机或其他第三方审计工具进行日志审计,能有效记录用户行为和重要安全事件,可视为等效措施,判符合。
2、如通过其他技术或管理手段能对事件进行溯源的,可酌情降低风险等级。
3、如核查对象非重要核心设备,对整个信息系统影响有限的情况下,可酌情降低风险等级。

整改建议:建议在重要核心设备、安全设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件类审计策略或使用第三方日志审计工具,实现对相关设备操作与安全行为的全面审计记录,保证发生安全问题时能够及时溯源。

0.1.2.3 安全计算环境–>安全审计( 应用系统)

对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

判例内容:应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。

适用范围:3级及以上系统。

满足条件(同时):
1、3级及以上系统
2、应用系统无任何日志审计功能,无法对用户的重要行为进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。

补偿措施

1、如有其他技术手段对重要的用户行为进行审计、溯源,可酌情降低风险等级。
2、如审计记录不全或审计记录有记录,但无直观展示,可根据实际情况,酌情降低风险等级。

整改建议:建议应用系统完善审计模块,对重要用户操作、行为进行日志审计,审计范围不仅针对前端用户的操作、行为,也包括后台管理员的重要操作。

0.2 标准使用场景

定级阶段,网络运营者主要使用GB/T22240和相应的行业或企业标准来划分定级对象和确定安全保护等级;

安全建设阶段,网络运营者主要使用GB/T22239-2019GB/T25070-2019和相应的行业或企业标准来进行规划设计和建设工作,科学合理的选择和部署必要的安全措施;

等级测评阶段,测评机构主要依据GB/T28448-2019GB/T28449-2018和相应的行业或企业标准来规范和指导等级测评工作。

0.3 安全通信网络中的网络架构相关

0.3.1 测评对象、级差

0.3.1.1 通用要求–>安全通信网络–>网络架构

测评对象
1、处理能力满足业务高峰需要:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
2、带宽满足业务高峰需求:综合网管系统
3、可靠的技术隔离手段:网络拓扑
4、设备冗余和可用性:网络管理员和网络拓扑(所有测评内容均肯定,否则为*不符合***)

一级:无
二级
1、应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
2、应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
三级
1、应保证网络设备的业务处理能力满足业务高峰期需要
2、应保证网络各部分的带宽满足业务高峰期需要
3、应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
四级:应按照业务服务的重要程度分配带宽,优先保障重要业务

0.3.1.2 云计算–>安全通信网络–>网络架构

测评对象
1、平台不承载高于其安全保护等级业务应用系统:云计算平台和业务应用系统定级备案材料
2、虚拟网络隔离:网络资源隔离措施、综合网管系统和云管平台

一级
应保证云计算平台不承载高于其安全保护等级的业务应用系统
应实现不同云服务客户虚拟网络之间的隔离
二级:应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力
三级
1、应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略
2、应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务
四级
1、应能提供虚拟资源的主体和客体设置安全标记的能力,保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问
2、应提供通信协议转换或通信协议隔离等的数据交换方式,保证云服务客户可以根据业务需求自主选择边界数据交换方式
应为第四级业务应用系统划分独立的资源池

0.3.1.3 工业控制系统–>安全通信网络–>网络架构

测评对象
1、企业系统与工业控制系统隔离:网闸、路由器、交换机和防火墙等提供访问控制功能的设备
2、不同安全域采用隔离技术:路由器、交换机和防火墙等提供访问控制功能的设备

一级
工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段
工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段
二级:涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网络及外部公共信息的安全隔离
三级:区域间应采用单向的技术隔离手段
四级:区域间应采用符合国家或行业规定的专业产品实现单向安全隔离

0.3.2 高风险判定指引

0.3.2.1 网络架构-网络设备业务处理能力

对应要求:应保证网络设备的业务处理能力满足业务高峰期需要。

判例内容:对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施,可判定为高风险。

适用范围:对可用性要求较高的3级及以上系统。

满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上。

补偿措施:针对设备宕机或服务中断制定了应急预案并落实执行,可酌情降低风险等级。

整改建议:建议更换性能满足业务高峰期需要的设备,并合理预计业务增长,制定合适的扩容计划。

0.3.2.2 网络架构–>网络区域划分

对应要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

判例内容:应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。

适用范围:所有系统。

满足条件(任意条件):
1、涉及资金类交易的支付类系统与办公网同一网段;
2、面向互联网提供服务的系统与内部系统同一网段;
3、重要核心网络区域与非重要网络在同一网段。

补偿措施:无。

整改建议:建议根据各工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网络区域,并做好各区域之间的访问控制措施。

0.3.2.3 网络架构–>网络访问控制设备不可控

对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容:互联网边界访问控制设备无管理权限,且无其他边界防护措施的,难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。

适用范围:所有系统。

满足条件(同时):

1、互联网边界访问控制设备无管理权限;
2、无其他任何有效访问控制措施;
3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。
补偿措施:无。

整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。

0.3.2.4 网络架构–>互联网边界访问控制

对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。

适用范围:所有系统。

满足条件(任意条件):
1、互联网出口无任何访问控制措施。
2、互联网出口访问控制措施配置不当,存在较大安全隐患。
3、互联网出口访问控制措施配置失效,无法起到相关控制功能。

补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。

整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。

0.3.2.5 网络架构–>不同区域边界访问控制

对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容:办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,可判定为高风险。

适用范围:所有系统。

满足条件(同时):
1、办公网与生产网之间无访问控制措施;
2、办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。

补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。

整改建议:建议不同网络区域间应部署访问控制设备,并合理配置访问控制策略,确保控制措施有效。

0.3.2.6 网络架构–>关键线路、设备冗余

对应要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

判例内容:对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。
适用范围:对可用性要求较高的3级及以上系统。

满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、关键链路、核心网络设备或关键计算设备无任何无冗余措施,存在单点故障。

补偿措施
1、如系统采取多数据中心部署,或有应用级灾备环境,能在生产环境出现故障情况下提供服务的,可酌情降低风险等级。
2、对于系统可用性要求不高的其他3级系统,如无冗余措施,可酌情降低风险等级。
3、如核心安全设备采用并联方式部署,对安全防护能力有影响,但不会形成单点故障,也不会造成重大安全隐患的,可酌情降低风险等级。

整改建议:建议关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署(如采用热备、负载均衡等部署方式),保证系统的高可用性。

0.4 制度相关

国家和网络安全职能部门下发的有关网络安全的政策及法律:

1、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。

2、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)

3、《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003]27号

4、《关于信息安全等级保护工作的实施意见》(公通字【2004】66号),主要内容包括贯彻落实网络安全等级保护制度的基本原则,等级保护工作的基本内容,工作要求和实施计划,以及各部门的职责分工。

5、四部委《信息安全等级保护管理办法》(公通字[2007] 43号),主要内容包括网络安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,以及信息安全产品和测评机构的选择等,为开展网络安全等级保护工作提供了规范保障。

6、定级环节——《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007] 861号)。

7、备案环节——《信息安全等级保护备案实施细则》(公信安[2007] 1360号)

8、等级测评环节——《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010] 303号)

9、等级测评环节——《网络安全等级保护测评机构管理办法》(公信安[2018] 765号)

国家有关网络安全等级保护制度的政策及法律要求:

1、《中华人民共和国人民警察法》规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。

2、国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。

3、2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。

4、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南 。

5、《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。”

6、国家发改委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室联合印发了《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技[2012]1986号)

7、公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。

8、2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。

9、2014年12月中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出, “推进健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制”。

10、《中央网络安全和信息化领导小组2015年工作要点》中,要求“落实国家信息安全等级保护制度”。

《中华人民共和国网络安全法》

第二十一条 国家实行网络安全等级保护制度。
第三十一条 国家对……关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。


秋风木叶
2020-9-13
2020-9-19 更新

目前三级以上系统的等级测评中包含渗透测试的内容,有很多朋友对于渗透测试与安全性测试的区别还分不清,故征集一篇优秀文章来帮大家解除迷惑

特别声明:
1.本站所有文章除特殊说明外均默认开源
2.文章必须为原创
3.本站暂无收入来源,无力向您支付稿费,但您可以享受如下待遇:

  • 如果愿意,您后续还可以通过本站发表文章,当然前提是要通过审核
  • 您将有机会获得一个tacgib.club的邮箱账号

这是本站发布的首次征文活动,如果您有兴趣欢迎来搞,稿件请发送至邮箱:f@tacgib.club,文章要求Markdown格式,邮件主题:投稿+文章标题


秋风木叶
2020-9-7

很久没有动过笔了,今天有新的感觉,索性就记录下来吧。

虽然来公司已经有两个多月了,但是我还在努力适应环境之中,这与我的慢热性格有极大关系,最近心情还时常处于紧绷的状态下。

而今天却有不同。

阅读全文 »

虽不能加入web安全小组,但是仍然非常感谢晚风,遥祝考研顺利。


秋风木叶
2020-8-26