8.1 信息安全管理
8.1.1 保障要求
网络与信息安全保障体系中的安全管理建设,通常需要满足以下 5 项原则:
(1)网络与信息安全管理要做到总体策划,确保安全的总体目标和所遵循的原则。
(2)建立相关组织机构,要明确责任部门,落实具体实施部门。
(3)做好信息资产分类与控制,达到员工安全、物理环境安全和业务连续性管理等。
(4)使用技术方法解决通信与操作的安全、访问控制、系统开发与维护,以支撑安全目标、安全策略和安全内容的实施。
(5)实施检查安全管理的措施与审计,主要用于检查安全措施的效果,评估安全措施执行的情况和实施效果。
网络安全与管理至少要成立一个安全运行组织,制定一套安全管理制度并建立一个应急响应机制。组织需要确保以下 3 个方面满足保障要求:
(1)安全运行组织应包括主管领导、信息中心和业务应用等相关部门,领导是核心,信息中心是实体,业务部门是使用者。
(2)安全管理制度要明确安全职责,制定安全管理细则,做到多人负责、任期有限、职责分离的原则。
(3)应急响应机制是主要由管理人员和技术人员共同参与的内部机制,要提出应急响应的计划和程序,提供对安全事件的技术支持和指导,提供安全漏洞或隐患信息的通告、分析和安全事件处理等相关培训。
8.1.2 管理内容
信息安全管理涉及信息系统治理、管理、运行、退役等各个方面,其管理内容往往与组织治理与管理水平,以及信息系统在组织中的作用与价值等方面相关,在ISO/IEC 27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。
1.组织控制
在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁情报、身份管理、访问控制等。
2.人员控制
在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公安全纪律等。
3.物理控制
在物理控制方面主要包括物理安全边界、物理入口、物理安全监控防范物理和环境威胁、设备选址和保护、存储介质、布线安全和设备维护等。
4.技术控制
在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、容量管理、恶意代码与软件防范、技术漏洞管理、访问源代码、身份验证、配置管理、信息删除、数据屏蔽、 数据泄露预防、网络安全和信息备份等。
8.1.3 管理体系
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系,参考步骤包括:
①配备安全管理人员。
②建立安全职能部门。
③成立安全领导小组。
④主要负责人出任领导。
⑤建立信息安全保密管理部门。
8.1.4 等级保护
“等保 2.0”将“信息系统安全”的概念扩展到了“网络安全”。
1.安全保护等级划分
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下5级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
2.安全保护能力等级划分
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239)规定了不同级别的等级保护对象应具备的基本安全保护能力。
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:略。
3.“等保2.0”的核心内容
网络安全等级保护制度进入2.0时代,其核心内容包括:
①将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;
②将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互
联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;
③将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企
业健康发展。
4.“等保2.0”的技术变更
网络安全等级保护2.0技术变更的内容主要包括:
·物理和环境安全实质性变更
·网络和通信安全实质性变更
·设备和计算安全实质性变更
·应用和数据安全实质性变更
5.“等保2.0”的管理变更
网络安全等级保护2.0管理变更的内容主要包括:
·安全策略和管理制度实质性变更
·安全管理机构和人员实质性变更
·安全建设管理实质性变更
·安全运维管理实质性变更
6.网络安全等级保护技术体系设计通用实践
·通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现,都应根据安
全保护等级,实现相应级 别的安全技术要求。
·特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出,针对特定应用场景,实现相应网络安全保护级别的安全技术要求.
安全技术体系架构由从外到内的纵深防御体系构成。
