下载掌阅APP,畅读海量书库
立即打开
前面写过:1983 年美国NCSC推出了首个可信计算机系统安全评估标准TCSEC,也叫橘皮书。
1995 年,英国贸工部根据英国企业对信息安全的呼声,把大企业的信息安全管理给组织起来,制定了世界上第一个信息安全管理体系标准BS7799《信息安全管理实施细则》,作为工商业各大组织实施信息安全管理的指南。由于该标准采用建议和指导的方式编写,因此不能作为认证标准使用。
1998 年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准BS7799-2《信息安全管理体系规范》(前面那个改为BS7799-1),作为对一个组织的信息安全管理体系进行品势认证的依据标准。
1999 年,由于计算机和信息处理技术、网络和信息领域的迅速发展,英国又对其做了修订,新修订的 1999 版进一步强调未来组织在工作中所涉及的信息安全和信息安全的责任。
BS7799-1 为如何建立和实施符合BS7799-2 标准要求的信息安全管理体系提供了最佳的应用建议。
图 389
第一部分BS7799-1《信息安全管理实施细则》包含 10 个主题 127 项安全控制超 500 条细则。
前面已经详细说过GB17859《计算机信息系统安全等级划分准则》是信息安全领域唯一一个强制性标准,是很多信息安全标准的源头,也是等级保护工作开展遵循的国家标准的上位标准,所以它是基石。
前面讲过的五个等级:
①用户自主保护级;
②系统审计保护级;
③安全标记保护级;
④结构化保护级;
⑤访问验证保护级。
GB17859 的不足:
●停留在基于局域网和单机的系统上,没有考虑复杂的信息系统,更没有考虑到互联网,当然,这也是对于智能终端和智能产品来说,参考它更加适合的原因;
●侧重点保护的是信息的机密性,而对信息的完整性、可用性考虑得不多,更没有考虑到抗抵赖等方面;
●将可信计算机TCB的多项安全机制的多少作为确定安全等级的依据,这点不符合现有的安全方向。
在 2000 年 12 月,BS7799-1 被ISO/IEC正式采用成为国际标准ISO/ICE 17799:2000《信息技术-信息安全管理实施规则》,后面改名为ISO27002,而BS7799-2 也在 2005 年被采用,成为大名鼎鼎的ISO27001:包括 10 个控制域:
●信息安全方针;
●组织信息安全;
●资产管理;
●人力资源安全;
●物理与环境安全;
●访问控制;
●信息系统获得开发与维护;
●信息安全事件管理;
●商业连续性管理;
●适用性。
ISO27001 将在第 7 章中的信息安全中讲。
图 390
根据ISO27002 发展为适合云安全评价标准的ISO27017、ISO27018、ISO27002 这 11 个控制域和云服务相关的差异如下图所示。
图 391
2014 年 8 月推出云服务的个人隐私保护规范ISO27018;2015 年 12 月发布云服务信息安全控制实施指引。
图 392
ISO27017、ISO27018 都是可以用来认证的标准,它们都依赖于ISO27001 认证。
认证对象:ISO27018 的认证对象为依赖合同及协议要求,处理个人信息的云服务提供商,ISO27007 为云服务客户、云服务提供商。
部署模式:ISO27018 适用于公有云部署、27017 适合任意模式的部署。
ISO27018 在ISO27002 基础上补充了 41 个控制措施要求,ISO27017 在ISO27002 基础上补充了 44 个控制措施要求。
ISO27018 在环境分离、信息备份、事件记录的安全控制上做了改变,ISO27017 在用户注册注销、特权管理、密码认证信息管理、信息访问权限、特权程序使用上做了改变。
ISO27018 在和个人信息相关上面扩展了 23 个安全控制,而ISO27018 只要在用户、供应商的关系上进行安全控制措施的扩展。
国内应该是参考GB17859(技术方面)和ISO17799(管理方面)制定出GB/T 22239《网络安全等级保护基本要求》及其衍生标准。
图 393
等保的并没有定义等级名称,这里括号内对比GB17859 的等级名称。
●第一级(用户自主保护级):信息系统受到破坏后,会对公民、法人、其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
●第二级(系统审计保护级):信息系统受到破坏后,会对公民、法人好额其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
●第三级(安全标记保护级):信息系统受到破坏后,会对社会秩序或公共利益造成严重损害,或者对国家安全造成损害。
●第四级(结构化保护级):信息系统受到破坏后,会对社会秩序或公共利益造成特别严重损害,或者对国家安全造成严重损害。
●第五级(访问验证保护级):信息系统受到破坏后,会对国家安全造成特别严重损害。
服务与产品的云服务大多都在公有云上,云服务安全的权威标准如下。
●国内:等保系列标准,GB/T 22239 等。
●国际:ISO27001、ISO27018 等。
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及信息的存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行等级管理,对信息系统中发生的信息安全事件分等级响应、处置。(源自网络)
(1)起步与探索
1994 年 2 月,国务院第 147 号令(中华人民共和国计算机信息系统安全保护条例);
2004 年 9 月《关于信息安全等级保护工作的实施意见》;
2007 年 6 月《信息安全等级保护管理办法》(公通字);
2007 年 7 月《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安)。
(2)标准与发展
GB/T 22239-2008 信息系统等级保护基本要求;
GA/T 22240-2008 信息系统等级保护定级指南;
GB/T 25070-2008 信息系统等级保护安全设计技术要求;
GB/T 28448-2008 信息系统等级保护测评要求;
GB/T 28449-2008 信息系统等级保护测评过程指南。
(3)深耕与落地
2007 年 6 月《中华人民共和国网络安全法》;
2018 年 6 月《网络安全等级保护管理条例》。
(4)网络安全 2.0
2019 年 5 月《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019);
2020 年 7 月《贯彻落实网络安全等保制度和关保制度的知道意见》(公安部);
2020 年 11 月《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)。
根据《网络安全法》的规定,等级保护是信息安全保障的基本制度。
《网络安全法》第二十一条规定,国家实现网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或被窃取、篡改。第三十一条规定,对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
因此,除特殊行业外,一定规模或想知名的网站必须有等保来背书。
以前,网站被攻击或者信息泄露只会影响到自身的业务,在《中华人民共和国网络安全法》出台以后,这些网站是会被罚款、行政处分、关停整顿的。
这是在网上搜索到一些例子,列举在这里:(实际的理由就是没有通过等保三级的背书)
图 394
最出名就是X滴事件了,被罚款 80 亿,最早的原因就是网络安全审查;而最近的美光,也是网络安全审查,禁止在市场销售其产品。
所以既权威又绕不开的标准就是等保标准,只要有点影响的云服务就需要进行等保测评。
到这里,这一节基本就回答了为什么将等保作为权威标准了。对于经常听到的三保一评是什么,也有必要简单了解一下。
(1)起因
在国内,三保一评估在网络安全的工作中占据了非常重要的位置,结合网上的一些资料把它写下来备忘。
(2)概念
图 395
●分保就是涉密信息系统分级保护。(一般企业不会涉及这个)
●涉密信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。
●等保是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理、对信息系统中发生的信息安全事件分等级进行处置。
●关键基础设施是指面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务公用事业等重要行业和领域以及其他一旦遭破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息技术设施。
●关保就是对关键基础设施进行重点保护。(不知道是不是达到等保四级)
图 396
●分保依据的是《国家保密法》和内部的一些文件;
●等保依据的就是《网络安全法》;
●关保依据的是《网络安全法》和《关键信息基础设施安全条例》;
●密评依据的是《密码法》。
图 397
重点说一下流程。
①系统定级:明确系统所处理信息的最高密级、确定系统保护等级。
②方案设计:进行风险评估,设计方案,并通过专家论证,负责系统审批的保密工作部门应参加论证。
③工程实施:组建工程监理机构,制定管理制度,监督工程实施或选择具有涉密资质的工程监理单位进行监理。
④系统测评:系统工厂实施完毕后,建设使用单位向国家保密局涉密信息系统保密测评中心申请完成系统测评。
⑤系统审批:涉密信息系统在投入运行前后,经过了保密部门的审批。
⑥日常管理:包括基本管理要求,人员管理,物理环境与设施管理、信息保密管理等。
⑦测评与检测:涉密信息系统投入运行后还应定期进行安全保密测评和检查。
⑧系统废止:废止涉密信息系统应向保密工作部门备案,并按照保密规定妥善处理涉及国家机密信息的设备、产品、资料等。
图 398
等保的工作可以从四个方面进行论述:
●等级;
●工作流程;
●技术要求;
●管理要求。
图 399
这里重点写一下评测步骤。
①定级:运营单位按照《网络安全等级保护定级指南》,确定信息系统安全等级,同时向立项审批部门提交定级报告。
图 400
②备案:等级确定后一定时间内,由其运营、使用单位到所在地区的市级以上公安机关办理备案手续。
③审核:公安机关审核备案材料,定级不准的重新定级,材料不齐的继续补充材料,审核通过的办法系统等级保护备案证书。
④分析需求:对照等保有关规定和标准分析系统安全建设整改需求,一般是委托安全服务机构进行分析。
⑤建设整改:根据需求制定整改方案,按照有关规范和标准,开展信息系统安全建设整改。
⑥测评:选择第三方测评机构进行测评,对于新建系统可在试运行阶段进行测评。
⑦提交报告:系统运营向地级以上市公安机关报测评报告,项目验收文档中也必须包含测评报告。
⑧定期测评:三级系统每年至少一次的选择第三方测评机构进行测评。
图 401
重点说一下工作流程。
①识别认定:运营者配合有关部门,开展关键信息基础设施识别和认定活动,围绕关键信息基础设施承载的关键业务,开展风险识别。
②安全防护:根据已识别的安全风险,在规划、人员、数据、供应链等方面制定和实施适当的安全防护措施,确保关键信息基础设施的运行安全。
③检测评估:制定相应的检测评估准则,确定检测评估流程及内容等,分析潜在安全风险可能引发的安全事件。
④检测预警:制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,及时发出安全警示。
⑤事件处置:制定并实施适当的应对措施,并恢复由于网络安全事件而受损的功能或服务,动态识别关键信息基础设施的安全风险并进行处置。
图 402
解释面向的各个对象。
●基础信息网络:电信网、广播电视网、互联网。
●重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
●重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
●面向社会的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
图 403
图 404
●涉密信息系统保护是信息安全等级保护的重要组成部分;
●等级保护是关键信息基础设施保护的基础;
●关键信息基础设施是等级保护的重点防护对象;
●关键信息基础设施必须落实安全等级保护制度;
●商用密码应用安全是保障网络和信息系统安全的一项防护措施;
●商用密码应用安全是保障关键信息基础设施的重要手段。
分保、等保、关保、密评只是安全防护角度和力度存在一定差异,适用于不同的对象。
既然绕不开等保,那么就需要分析它,进而深刻理解,如此才能掌握云端安全建设。