分保、等保、關保、密碼應用對比詳解

 二維碼
發(fā)表時間:2021-01-15 10:00

一、中國網(wǎng)絡安全發(fā)展的關鍵時間節(jié)點:

1、等級保護標準(國家標準:GB):

  • 1994年2月,國務院發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令),規(guī)定“計算機信息系統(tǒng)實行安全等級保護”的制度框架。

  • 2007年6月,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》(公通字[2007]43號),形成信息安全等級保護的基本理論框架。

  • 2008年6月,《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》標準正式頒布。

  • 2014年2月,中央網(wǎng)絡安全和信息化領導小組成立。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長;李克強、劉云山任副組長。

  • 2017年6月1日,《中華人民共和國網(wǎng)絡安全法》正式實施。明確了“國家實行網(wǎng)絡安全等級保護制度”,同時第七十四條明確規(guī)定“違反本法規(guī)定,給他人造成損害的,依法承擔民事責任。違反本法規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。”自此,公安執(zhí)法部門有了安全執(zhí)法依據(jù)。

  • 2019年12月1日,GB/T 22239-2008 等級保護基本要求更新為《GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求》,針對信息技術的發(fā)展對標準要求進行了更新。


2、分級保護標準(保密標準:BMB):

  • 1997年《中共中央關于加強新形勢下保密工作的決定》明確了在新形勢下保密工作的指導思想和基本任務,提出要建立與《保密法》相配套的保密法規(guī)體系和執(zhí)法體系,建立現(xiàn)代化的保密技術防范體系。

  • 2004年12月23日中央保密委員會下發(fā)了《關于加強信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級保護制度。

  • 2005年12月28日,國家保密局下發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》。

3、關鍵信息基礎設施網(wǎng)絡安全保護(國家標準:GB,報批中未正式發(fā)布)

  • 2016年12月,全國信安標委秘書處邀請專家研討《關鍵信息基礎設施網(wǎng)絡安全框架》標準,并討論關鍵信息基礎設施安全保護現(xiàn)狀;

  • 2018年06月,全國信安標委秘書處發(fā)布《信息安全技術 關鍵信息基礎設施網(wǎng)絡安全保護要求》征求意見稿。

  • 2019年11月5日,《信息安全技術 關鍵信息基礎設施網(wǎng)絡安全保護基本要求》(報批稿)完稿。

  • 2019年12月3日,《信息安全技術 關鍵信息基礎設施網(wǎng)絡安全保護基本要求》(報批稿)試點工作啟動。

4、信息系統(tǒng)密碼應用基本要求(國家標準:GB,征求意見中未正式發(fā)布)

  • 2018年2月,國家密碼管理局正式發(fā)布實施密碼行業(yè)標準《GM:T 0054-2018信息系統(tǒng)密碼應用基本要求》。

  • 2018年2月,經(jīng)國密局批準,行標(GM/T 0054-2018 《信息系統(tǒng)密碼應用基本要求》)升國標《信息安全技術 信息系統(tǒng)密碼應用基本要求》。2018年7月獲得國家標準化管理委員會的立項批準。

  • 2019年6月,全國信安標委秘書處發(fā)布《信息安全技術 信息系統(tǒng)密碼應用基本要求》征求意見稿。


二、目前網(wǎng)絡安全主要的幾大標準及其差異:

1、分級保護標準(簡稱:分保)

a)管理對象:所有涉及國家秘密的信息系統(tǒng),重點是黨政機關、軍隊和軍工單位。


b)標準要求文件:

                BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術要求》

                BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》


c)系統(tǒng)定級:根據(jù)其涉密信息系統(tǒng)處理信息的最高密級,可以劃分為秘密級、機 密級和機密級(增強)、絕密級三個等級。

d)分級保護標準框架:


e)分級保護部分涉及產(chǎn)品(僅供參考):屏蔽機房、手機屏蔽柜、保密文件柜、紅黑隔離電源、微機視頻信息保護系統(tǒng)、手機屏蔽儀、主機監(jiān)控與審計系統(tǒng)、光盤刻錄監(jiān)控和審計系統(tǒng)、打印監(jiān)控和審計系統(tǒng)、三合一(違規(guī)外聯(lián)監(jiān)控、涉密移動存儲介質(zhì)使用管控、非涉密信息單向?qū)耄┫到y(tǒng)、涉密專用優(yōu)盤、存儲介質(zhì)信息消除工具、計算機終端保密檢查系統(tǒng)、惡意代碼輔助檢測系統(tǒng)、保密碎紙機、存儲介質(zhì)銷毀機、身份鑒別系統(tǒng)等等。


2、等級保護標準(簡稱:等保)

a)管理對象:

運營商和服務提供商:電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡,經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

重要行業(yè):鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

重要機關:市(地)級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)。


b)標準文件:

GB-T 25070-2019 《信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求》

GB-T 28448-2019 《信息安全技術 網(wǎng)絡安全等級保護測評要求》

GB-T 22240-2020 《信息安全技術 網(wǎng)絡安全等級保護定級指南》

GB-T 22239-2019 《信息安全技術 網(wǎng)絡安全等級保護基本要求》

GB_T 25058-2019 《信息安全技術 網(wǎng)絡安全等級保護實施指南》


c) 系統(tǒng)定級:

信息系統(tǒng)的安全防護共分為以下五個等級:

第一級(自主保護級 )

信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級(指導保護級 )

信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級(監(jiān)督保護級 )

信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級(強制保護級 )

信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級(專控保護級 )

信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。


d) 等級保護標準體系框架:



e) 等級保護涉及產(chǎn)品(僅供參考):


3、關鍵信息基礎設施網(wǎng)絡安全保護(簡稱:關基、關保)

a)管理對象:電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛(wèi)生健康、社會保障、國防科技等行業(yè)和領域中一旦遭到破壞或者喪失功能,會嚴重危害國家安全、經(jīng)濟安全、社會穩(wěn)定、公眾健康和安全的業(yè)務。


b)標準文件:《信息安全技術 關鍵信息基礎設施網(wǎng)絡安全保護基本要求》2019年11月報批,未正式發(fā)布


c)什么是關鍵信息基礎設施(CII:critical information infrastructure)?

支撐關鍵業(yè)務持續(xù)、穩(wěn)定運行不可或缺的網(wǎng)絡設施、信息系統(tǒng)。在形態(tài)構成上,可以是單個網(wǎng)絡設施、信息系統(tǒng),也可以是由多個網(wǎng)絡設施、信息系統(tǒng)組成的集合。在本質(zhì)上,屬于關鍵業(yè)務的信息化部分,為關鍵業(yè)務提供信息化支撐。


d)關鍵信息基礎設施安全防護能力等級有幾個?

關鍵信息基礎設施安全防護能力依據(jù)5個能力域完成程度的高低進行分級評估,包括3個能力等級,從能力等級1到能力等級3,逐級增高,能力等級之間為遞進關系,高一級的能力要求包括所有低等級能力要求。

能力域明確了運營者在關鍵信息基礎設施安全防護所需具備的能力,包括識別認定、安全防護、檢測評估、監(jiān)測預警、事件處置5個方面的關鍵能力,每個安全能力包含若干能力指標,每個能力指標包含若干評價內(nèi)容。

能力等級及特征如下表。

表 安全能力等級及特征

關鍵信息基礎設施安全防護能力等級

等級特征

能力等級1

能識別相關風險,防護措施成體系,能夠開展檢測評估活動,具備監(jiān)測預警能力;能夠按規(guī)定接受和報送相關信息;在突發(fā)事件發(fā)生后能應對并按計劃恢復。

能力等級2

能清晰識別相關風險,防護措施有效,能夠檢測評估出主要安全風險,主動監(jiān)測預警和態(tài)勢感知,事件響應較為及時,業(yè)務能夠及時恢復。

能力等級3

識別認定完整清晰,防護措施體系化、自動化高,能夠及時檢測評估出主要安全風險,使用自動化工具進行監(jiān)測預警和態(tài)勢感知,信息共享和協(xié)同程度高,事件響應及時有效,業(yè)務可近實時恢復。


e)   關鍵信息基礎設施安全防護能力評價內(nèi)容及方法是什么?

關鍵信息基礎設施安全防護能力評價包括能力域級別評價、等級保護測評和密碼測評三部分。關鍵信息基礎設施安全防護能力評價前,關鍵信息基礎設施應首先通過相應等級的等級保護測評和相關密碼測評。然后,組織應按照評價內(nèi)容和評價操作方法開展評價工作,給出對每項評價指標的判定結果和所處級別,得出每個能力域級別,綜合5個能力域級別以及等級保護測評結果得出關鍵信息基礎設施安全防護能力級別。

關鍵信息基礎設施安全防護能力應綜合考慮5個能力域級別與等級保護測評結果。對應能力等級1的關鍵信息基礎設施等級保護測評結果應至少為中;對應能力等級2的關鍵信息基礎設施等級保護測評結果應至少為良;對應能力等級3的關鍵信息基礎設施等級保護測評結果應為優(yōu)。


4、密碼應用基本要求

a)管理要求:信息系統(tǒng)中的身份鑒別、數(shù)據(jù)加密、數(shù)據(jù)簽名等密碼技術功能由密碼算法、密碼技術、密碼產(chǎn)品、密碼服務等提供。從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全的各個層面提供全面整體的密碼應用安全技術支撐,從而保障信息系統(tǒng)的用戶身份真實性、重要數(shù)據(jù)的機密性和完整性、操作行為的不可否認性。


b)標準文件:行標(GM/T 0054-2018 《信息系統(tǒng)密碼應用基本要求》)升國標《信息安全技術 信息系統(tǒng)密碼應用基本要求》,國標征求意見稿階段,未正式發(fā)布。


c)系統(tǒng)定級:

  • 第一級,是信息系統(tǒng)密碼應用安全要求等級的最低等級,信息系統(tǒng)管理者可按照業(yè)務實際情況自主應用密碼技術應對可能的安全威脅。

  • 第二級,是在第一級的等級要求上,要求信息系統(tǒng)具備身份鑒別、數(shù)據(jù)安全保護的非體系化密碼保障能力,可應對當前部分安全威脅;

  • 第三級,是在第二級的等級要求上,要求更強的身份鑒別、數(shù)據(jù)安全、訪問控制等方面密碼應用技術能力與管理能力,要求信息系統(tǒng)建設有規(guī)范、可靠、完整的密碼保障體系,是體系化密碼應用引導性要求;

  • 第四級,是在第三級的等級要求上,要求更強的身份鑒別、數(shù)據(jù)安全、訪問控制等方面密碼應用技術能力與管理能力,信息系統(tǒng)建設有規(guī)范、可靠、完整、主動防御的密碼保障體系,是體系化密碼應用的強制要求;

d)基本要求框架:

5、幾大標準關系圖解:


三、網(wǎng)絡安全防護建設過程中的十問:

1、去網(wǎng)安部門做了備案,拿到備案證明,是否等于通過等保?備案后多久需要完成等保測評?

備案證明并不等同于通過等保,備案只是說明你的某個業(yè)務系統(tǒng)準備做對應等級的網(wǎng)絡安全防護,通過等級保護測評會由相關部門發(fā)放等保測評通過的通知或證書。一般通過三級以上等保測評的通知或證書上都會有證書的有效期,到有效期后需要重新對信息系統(tǒng)進行等保測評;但如果信息系統(tǒng)沒有新的業(yè)務或者網(wǎng)絡改造調(diào)整等對等保測評項可能有影響的變因,則一般不需要再次進行網(wǎng)絡安全整改。

一個二級或三級的系統(tǒng)現(xiàn)場測評周期一般一周左右,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,以及雙方的配合度等有所增減。小規(guī)模安全整改(管理制度、策略配置、技術整改)2-3 周,出具報告時間一周,整體持續(xù)周期 1-2 個月。如果整改不及時或牽涉到購買設備,時間不好說,但總的要求一般為一年內(nèi)要完成。


2、通過等級保護測評以后,是不是不會再出安全事故?

通過等級保護測評只能說明在測評的時候,業(yè)務系統(tǒng)達到了對應等級的防護強度,不等于業(yè)務系統(tǒng)的“保命符”。畢竟駭客攻擊的時候不會去看系統(tǒng)通沒通過等級保護測評,駭客看的是攻破業(yè)務系統(tǒng)本身的難度與其自身的實力的差距,以及攻破業(yè)務系統(tǒng)對于其所帶來的經(jīng)濟或其他價值所產(chǎn)生的“性價比”。

通過等級保護測評后,以下方面有可能導致出現(xiàn)安全事故:

  • 駭客能力超過了業(yè)務系統(tǒng)所對應等級的防護強度

  • 網(wǎng)絡安全防護設計存在不足、網(wǎng)絡安全設備未有效使用或策略設置不當、設備廠商出現(xiàn)漏洞被駭客利用、設備規(guī)則庫未及時更新或無法滿足業(yè)務系統(tǒng)所需性能等

  • 安全管理制度落實不到位、安全管理人員缺乏培訓(安全能力、安全意識不足)、應急演練不足(出現(xiàn)安全事件時不能及時有效應對)等


3、拿到等保測評通過證書后,一但出現(xiàn)安全事故是否可以規(guī)避或減輕追責?

拿到等級測評通過證書不等于拿到了“免死金牌”。按照標準完成了等級保護測評,可以在一定程度地規(guī)避風險,不等于拋棄網(wǎng)絡安全責任,也不是將安全責任交給等級保護測評機構或其他第三方。出現(xiàn)安全事故后,安全責任的追責基本為以下幾種情況。

  • 等保工作沒有開展,出了網(wǎng)絡安全事故,安全責任肯定是甲方自己去承擔。

  • 等保工作開展了,高危風險沒有及時去整改,出了問題,安全責任主要責任也是甲方的。

  • 等保工作開展了,測評機構測評不合規(guī),對已有高危風險未檢測出而導致的安全問題,主要責任應當由測評機構承擔,甲方負有次要責任。

  • 等保工作開展了,發(fā)現(xiàn)的高危風險及其他風險也及時整改了,出了網(wǎng)絡安全事故,主要責任不屬于甲方。


4、我已經(jīng)上了安全設備,為什么還會出現(xiàn)出安全事故?

采購部署了安全設備,也不是就把安全漏洞都給完全修復了。網(wǎng)絡安全防護是修“防洪堤”的工程,我們需要保障其合理適度的基礎上,及時根據(jù)系統(tǒng)現(xiàn)狀做查漏補缺和技術升級。如果設備上了以后沒有做好以下的幾個方面,安全事故發(fā)生的幾率就會加大。

  • 網(wǎng)絡安全建設規(guī)劃不當:網(wǎng)絡架構不合理;系統(tǒng)安全區(qū)域劃分不合理;安全設備部署位置不當;安全設備功能及策略規(guī)劃不合理等

  • 網(wǎng)絡安全運維管理不足:網(wǎng)絡設備規(guī)則庫未及時更新;性能不能滿足業(yè)務系統(tǒng)需求未及時更換;信息系統(tǒng)設備及網(wǎng)絡安全設備管理權限不清晰、責任劃分不明確等

  • 安全管理執(zhí)行不到位:安全管理制度浮于形式;網(wǎng)絡安全人員培訓不足,對新型威脅及行業(yè)發(fā)展動態(tài)了解缺乏;應急響應方案設計不當;應急演練進行過少,出現(xiàn)網(wǎng)絡安全事件時反應不當、反應不及時等。


5、應該如何選擇安全廠商的產(chǎn)品?

網(wǎng)絡安全建設實踐過程中,我們應從等保合規(guī)和業(yè)務系統(tǒng)實際安全風險兩個角度區(qū)選擇產(chǎn)品:

  • 當信息系統(tǒng)相較無特殊安全風險時,產(chǎn)品的選擇基本遵從等保合規(guī)的角度出發(fā),選擇有相關認證證書的產(chǎn)品優(yōu)先。如“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證”,“中國國家信息安全產(chǎn)品認證證書”,“計算機軟件著作權登記證書”,“信息技術產(chǎn)品安全分級評估”,“涉密信息系統(tǒng)產(chǎn)品檢測證書”,“軍用信息安全產(chǎn)認證證書”等;大部分主流安全廠商常規(guī)合規(guī)產(chǎn)品基本都能滿足,如啟明星辰、天融信、網(wǎng)御星云、奇安信(原360企業(yè)安全)、深信服等。

  • 當信息系統(tǒng)有特殊安全風險時,產(chǎn)品除了滿足等保合規(guī)的基礎上,也要考慮特殊安全風險的防護,而這些特殊防護需求的安全防護設備是一些主流廠商沒有或者不具優(yōu)勢的。如業(yè)務系統(tǒng)數(shù)據(jù)庫中有公民個人信息,而業(yè)務系統(tǒng)有外包開發(fā)或?qū)ν馓峁┕駛€人數(shù)據(jù)印證等情況,則涉及到數(shù)據(jù)脫敏相關設備;信息系統(tǒng)覆蓋范圍大、信息端口多,存在非法設備內(nèi)聯(lián)網(wǎng)絡的風險,則涉及到網(wǎng)絡準入相關設備;如業(yè)務系統(tǒng)操作者操作責任關聯(lián)現(xiàn)實身份較強,涉及到操作失誤后操作者身份的認定,身份鑒別需求較高,則涉及到CA數(shù)字證書相關設備等。


6、網(wǎng)絡完全建設時,是采購同一廠商的產(chǎn)品比較好,還是采購不同廠商的產(chǎn)品比較好?

  • 網(wǎng)絡安全建設時,采購同一廠商同一品牌的產(chǎn)品好處在于后期安全運維難度較小、后續(xù)安全服務保障更好,會一定程度的降低安全管理人員的能力需求和運維壓力;缺點是該廠商出現(xiàn)安全漏洞時安全風險加大,廠商服務不到位時替換成本較高,依賴性強等。

采購不同廠商的產(chǎn)品好處在于差異化防護,有效避免個別廠商出現(xiàn)安全漏洞時的安全風險,對廠商服務的依賴性降低,可以比較不同廠商的產(chǎn)品和服務,增加選擇空間;缺點是對安全管理人員的能力及精力需求較高,出現(xiàn)安全事故時可能無法判定出現(xiàn)安全風險的設備,互相推諉攻擊等。

故而采購設備時應綜合考慮①單位信息安全管理人員編制數(shù)量;②單位信息安全管理人員能力及培養(yǎng)規(guī)劃;③意向廠商產(chǎn)品業(yè)內(nèi)認可度;④意向廠商本地化服務能力或經(jīng)銷商本地化服務能力等因素,綜合判斷后來選擇采購方式。


7、在預算有限的情況下,該如何合理的進行網(wǎng)絡安全防護建設?

在預算有限的情況下,我們需要先對單位的信息系統(tǒng)現(xiàn)狀、未來3~5年單位的信息系統(tǒng)建設規(guī)劃、單位業(yè)務系統(tǒng)安全風險點進行綜合調(diào)研后,做好安全建設規(guī)劃。先對網(wǎng)絡架構進行優(yōu)化,明確不同安全區(qū)域間的安全風險及安全防護策略需求,區(qū)分重點安全防護風險以匹配對應產(chǎn)品,非高風險防護產(chǎn)品列入后續(xù)安全建設規(guī)劃(避免重復建設),購買性能合適的產(chǎn)品(避免設備性能不足影響安全防護效果,性能過高造成資金浪費)。


8、在對產(chǎn)品性能指標不太了解的情況下,該選擇什么性能的產(chǎn)品?

對各種產(chǎn)品性能指標了解不足的情況下,選擇產(chǎn)品可以通過咨詢相關產(chǎn)品技術人員、業(yè)內(nèi)專家、實際產(chǎn)品測試等方式選擇。通用等保合規(guī)產(chǎn)品的主要選型要素如下:

  • 下一代防火墻:主要為吞吐量、應用層吞吐量、并發(fā)連接數(shù)、每秒新建連接數(shù),主要考慮設備部署位置實際業(yè)務數(shù)據(jù)帶寬。需注意的是吞吐量參數(shù)不等同于實際可管理帶寬能力,不同廠商的相同吞吐量設備,因廠商設備硬件配置差異、軟件優(yōu)化差異等存在一定差異;特別是當下一代防火墻開啟入侵防御、病毒查殺、VPN等功能后,其實際防護流量大幅下降的情況下。在無法有效判斷的情況下,可以考慮設備測試后再行采購。

  • 上網(wǎng)行為管理:主要為可管理帶寬(推薦帶寬)、最大可管理人數(shù),主要考慮互聯(lián)網(wǎng)出口帶寬及互聯(lián)網(wǎng)訪問人數(shù)。

  • 堡壘主機、日志審計:主要為授權管理設備數(shù),主要考慮需管理的網(wǎng)絡設備及系統(tǒng)數(shù)量。


9、供應商提供一份產(chǎn)品采購清單后,承諾一定可以通過等保測評,是否可信?

基本不可信。等級保護測評是有其測評標準、測評項權重及算分標準的,在對業(yè)務系統(tǒng)進行全面的測試、判定高風險項并改善、通過算分得出判定結論前,是無法判定業(yè)務系統(tǒng)通過的。不過由于等級保護是按照標準要求來進行測評的,故而有經(jīng)驗的專業(yè)網(wǎng)絡安全建設商或測評人員可以依照以往客戶建設/測評經(jīng)驗以及對產(chǎn)品及信息系統(tǒng)的了解,初步判斷系統(tǒng)中的高風險項、風險點推薦匹配產(chǎn)品,以期達成或超過預期的分數(shù)。從而在等級保護測評時,就算有部分風險點未得以改善的情況下,也可以達成或超過通過等級保護測評的分數(shù)。

這也是先測評再整改還是先整改再測評的關鍵點所在。

  • 先測評再整改:可以根據(jù)等級保護測評機構現(xiàn)場初測后的專業(yè)建議進行整改,有的放矢。但如單位本身風險較大、較多的情況,涉及到設備采購,需要方案立項、申請預算、招投標、合同供貨等流程后,等保測評機構再次測試通過才可以取得測評通過證書。適合于對通過測評時間不迫切,本身網(wǎng)絡安全建設了解不足、無專業(yè)人員協(xié)助網(wǎng)絡安全建設規(guī)劃的單位。

  • 先整改再測評(測評、整改同時進行):通過專業(yè)人員/專家的指導協(xié)助,提前對網(wǎng)絡安全風險點進行加固,爭取等級保護測評機構現(xiàn)場測評時一次通過。但需要單位本身對網(wǎng)絡安全建設標準由一定的了解,指導協(xié)助的專業(yè)人員不光對政策標準有足夠的研究,且對網(wǎng)絡安全建設有足夠的項目經(jīng)驗。適合于通過測評時間有要求,自身對網(wǎng)絡安全建設標準有一定的研究或有適合的專業(yè)人員協(xié)助的單位。


10、為什么不同供應商提供的方案清單會有不同,有的所采購的產(chǎn)品不同,有的同一產(chǎn)品采購的數(shù)量不同?

由于等級保護測評機構時根據(jù)標準要求測評項進行測評,測評的只是有沒有實現(xiàn)相關的安全防護要求,而非部署什么產(chǎn)品,其提供的整改建議也以差距分析、需整改項為主。故而即使有等級保護測評機構的整改建議,不同供應商提供網(wǎng)絡安全建設清單的時候,根據(jù)其對政策標準、信息系統(tǒng)了解的不同,以及其對產(chǎn)品、安全區(qū)域間安全防護能力理解的差異。以下一代防火墻的部署為例:

  • 同樣要達成“網(wǎng)絡區(qū)域邊界”要求中的“邊界防護”“訪問控制”“入侵防范”,是采用“下一代防火墻+開啟入侵防御模塊”(設備+模塊)僅采購一臺設備的方式,還是采用“下一代防火墻+入侵防御系統(tǒng)”(設備+設備)采購兩臺設備的方式,就需要結合業(yè)務系統(tǒng)的實際情況以及相關廠商設備的功能性能實現(xiàn)來決定。在這需要說明一點,廠商的網(wǎng)絡安全設備都是由硬件+軟件組成,其實際性能取決于所配置硬件的基礎算力和軟件算法優(yōu)化的程度決定的。采用“設備+模塊”必然對設備的性能有所影響。而采用“設備+設備”由于兩臺設備的硬件都是為自身軟件服務,性能上有保障。另外由于采用“開啟入侵防御模塊”的方式,其軟件模塊在安全防護功能的實現(xiàn)深度上必然不如單獨的“入侵防御系統(tǒng)設備”。不過采用“設備+模塊”的方式由于出口網(wǎng)絡僅串聯(lián)一臺設備,故而其出現(xiàn)單點故障的幾率和產(chǎn)品性價比上要優(yōu)于采用“設備+設備”的方式。

結論:采用“設備+模塊”的方式,在產(chǎn)品性能及安全功能實現(xiàn)細節(jié)上要遜于“設備+設備”的方式,但在設備故障幾率和價格上要優(yōu)于“設備+設備”的方式。“設備+模塊”的方式適用于網(wǎng)絡安全防護流量較小、安全預算較少、對安全防護能力要求較低的單位;而“設備+設備”的方式適用于網(wǎng)絡安全防護流量較大、安全預算充足、對安全防護能力要求較高的單位。

  • 互聯(lián)網(wǎng)出口、上/下級網(wǎng)絡聯(lián)網(wǎng)出口、服務器前端都部署下一代防火墻是不是為了多上設備坑預算,等保標準又沒有明確要部署。實際上不同位置的實現(xiàn)的功能效果及部署策略都是不同的,互聯(lián)網(wǎng)出口的防火墻主要過濾和防御來自互聯(lián)網(wǎng)的未知來源威脅,訪問的業(yè)務相對較復雜,需要設置的防護策略相對較復雜、較難屏蔽安全風險因素;而上下級網(wǎng)絡由于相對較安全,其訪問來源可控,訪問業(yè)務較明確,需要設置的防護策略相對較簡單明了、比較容易屏蔽來自上下級網(wǎng)絡的安全風險因素;而服務器前端部署防火墻,由于服務器業(yè)務訪問的地址、端口、協(xié)議等相對比較清晰簡明,在做安全防護策略時可以有針對性的屏蔽非業(yè)務訪問,有效堵截攻擊者的攻擊手段。