目录
- 网络安全体系架构
- 网络安全组织
- 安全管理
- 网络安全等级保护2.0
- 等保项目流程
- 等保标准变化
- 等保2.0新增内容
- 等保2.0变化
- 智慧城市安全体系应用参考
- 智能交通网络安全体系应用参考
网络安全体系架构
建设网络安全,要体系化,要从一个整体去做考虑,而不能只单纯的考虑一个技术,技术再牛逼,管理做不好,也是不行的,安全实际上是取决于你最薄弱的部分,也就是木桶效应,所以我们要体系化的进行网络安全建设
网络安全体系框架图,最顶层是国家的法律法规,第一个网络安全法,第二个密码法,第三个数据安全法,这是顶层架构,现在国家基本上已经把整个框架给搭出来了
在十几年前,我们做安全,包括你想搞个黑客啥的,你在网上随便去找,随便去搞,没人管你,但是现在如果你想到网上随便去搞个站,说不定明天就进去了,没有危言耸听
因为以前没有法律法规,他没依据,他抓不了你,现在有了这玩意,而且里面规定的还挺详细的,几门法律相继而来,不仅个人,包括一些公司
安全策略是指符合我们法律法规要求的一些安全原则、安全方法,比如说,我们做数据安全防护,里边要考虑到,你多久备份一次,这里面会有备份策略,比如防火墙上,你会启用一些访问控制策略,这些是偏技术的策略,还有一些管理上的安全策略
安全组织主要是机构和人,我们国家有最牛逼的安全组织,网络安全领导小组扛旗,有了组织之后,有了人之后,后面才好办事情,管理跟技术是一样重要的,这两个是在等保二点零里面重点去讲的
网络安全基础设施常见的,比如说硬件设备,比如说pki,公钥密码体系,他负责颁发证书,公安是一个组织,维护社会的安定,像这种颁发证书的KPI也是一个在我们网络安全领域的基础服务组织,网络安全服务
网络安全科技与产业生态,现在国家是在鼓励国产化,鼓励创新,现在国内也涌现了一批这样的网络安全科技企业,比如最早的三六零,现在的奇安信、绿盟等等,他们都是在整个产业链里面的
安全教育与培训,软考是再给大家去做安全教育,还有我们国家每年十月,国庆之后的第二周,会有一个网络安全教育周,会在各个大学,中小学普及网络安全的一些知识,提高全员的网络安全意识,做一个普惠性质的,这也是教育培训
网络安全投入与建设,网络安全建设没钱就是扯淡,所以国家现在在保证安全的投入,国家对网络安全越来越重视,正是由于设备卖的多,安全的相关从业人员薪资才能水涨船高,因为只有把这个蛋糕做大了,所有人才能够分的多一点
安全运营与应急响应,安全标准与规范,我们建设安全的时候,按照标准和规范来,不能买了一个厂的设备,跟厂的都对接不了,那肯定不行
运营与应急响应,运营是一个动态的过程,交付之后你会使用很多年,在使用的过程中要不断的去升级,不断的去改造,不断的优化,那出了问题之后要能够及时响应,及时恢复,应急响应
网络安全组织
组织很重要,没有组织,你干很多事情就干不了,我们国家的组织还是挺厉害的,网络安全的组织结构,主要包含领导层,管理层,执行层以及外部协作层
领导层主要协调各部门的工作,审查与批准网络安全系统相关的一些策略,审查与批准相关的一些实施计划预算,工作人员的考察和录用,领导不具体的干事情,但是他干的都是一些顶层的组织协调,给钱、给人,并且对人进行一些考察,这是领导干的事情
管理层主要是由安全负责人,比如说网络中心的主任,还有一些中层管理人员组成,主要的职责,制定策略,制定相关的预算计划,比如说,我这个项目要花100万,由由领导去批,领导签字,有些时候大的项目可能还过一下内部的党组会,内部讨论一下,你这100万花的有没有问题,花这100万值不值,这是管理层,他提预算,上面去批并且制定相关的一些工作流程,要做监督,监督日常的维护。管理层,不具体干事情还是负责一些顶层一些东西,还负责监督
执行层是去干活的人,干活的人主要由业务人员,技术人员,系统管理员,项目工程人员注册,所以就干活,简单简单,设备维护,遵照目前的一些工作流程去搞我们的工作
外部协作层,可能有组织外的一些专家,合作伙伴构成,他们就是协助干活,简单理解就是协助干活,项目的实施组的成员还比较多,有甲方的人,有集成商的,有厂商的,还可能有外部的一些专家,所以大家一起来把这个安全去落地
安全管理
安全管理主要涉及到五个方面的内容,管理目标,管理手段,管理主体,管理依据和管理资源
管理目标有大目标和小目标,那大目标就很大了,政治,经济,文化,国防安全。小目标是网络系统的保密,可用、可控,可控就是机密性、完整性、可用性
管理手段主要包括安全评估,安全监管,应急响应,安全协调,安全标准和规范保密,检查认证和访问控制
管理主体,大的方面包含国家的安全职能部门,小的方面就是网络管理员、单位负责人、网管这些人,由他们去做网络安全管理,管理依据是行政法规,法律部门,规章制度,技术规范
法律主要是由国家人大制定的,法规是国务院制定的,部门规章是国务院下面的,比如说水利部,工信部,财政部制定的,技术规范就是一些协会或者公司自己制定的
管理资源包含安全设备,人员经费、时间,我们做安全管理,管理的东西是挺复杂的,不只是管个设备,管理安全大项目。安全大项目里边设备只是一个层面,还会有运维团队,有些时候有外包,厂商的驻场人员,甲方自己的工程师,管人这个也是挺重要的
安全经费,比如说你是一个甲方的信息中心主任,你今年在安全上要花多少钱,这个钱怎么算来的,具体怎么花,你要给领导去打报告,要说清楚,然后领导他要向财政去做申请的,经费很重要,没有钱你搞什么事情都搞不了,还有时间,特别是项目的建设期间,你要考虑到整个建设周期什么时候交付,交付是很重要,这是我们管理的资源
人员的管理目标是降低误操作,防止我们的偷窃,诈骗,滥用等人为造成的网络安全风险,在人员安全,工作安排方面,要遵守三个原则,第一个多人负责原则,像很多公司的财务,一般是要由两个人负责的,因为万一一个人负责,他掌握所有的机密,把这个钱全部转走了,那这风险就挺大了
任期有限原则,国家领导人任期都有限
职责分离原则,一些大公司,财务和出纳是严格分离开的,财务只管数字,不管钱。出纳是管现金,不管后台的数字,分离也是为了分权。对应的职责干对应的事情,这是人员的安全原则
网络安全等级保护2.0
网络安全体系里面有个非常重要的东西,叫网络安全等级保护,现在等级保护是到了二点零标准,一共分成了五个等级,第一级叫自主保护级,第二级叫系统审计级,第三级是安全标记保护级,第四级叫结构保护级,第五级叫访问验证保护级
等保级别根据两点进行划分,第一个系统的重要性,第二个就是破坏后它的危害程度来划分。一般,我们其实很多项目当中做的都是等保二级和三级比较多,特别是做等保三级是最多的,就是你的系统被破坏了之后,会对我们社会公共秩序和公共利益造成严重损害,或者对国家利益会造成损害。典型的像我们的医院,我们的学校,还有一些大型的国企,它的信息系统破坏了之后,会造成比较严重的影响,所以绝大部分项目基本上是做的等保三级,当然也有做二级的,比如说一些县级医院,县医院的信息系统要做等保,很多会做二级,还有一些法院,区县的法院会做等保二级。做四级的,相对而言比较少,四级的安全等级就很高了,但是也有,比如说像金融、能源电力的一些系统会做到四级,一级和五级,基本上你可以忽略不计,一级的话,这个不损害国家利益,不损害我们的社会秩序以及公共利益。五级安全性太高了,一般不走等保,一般会走另外一个体系叫分级保护
等保项目流程
定级,备案,建设整改、等级评测以及后期的运行维护,有些地方写的是自查与监督检查
定级,就你要做等保,你要确定你的信息系统是定在哪个级别,常规说的是三,我们做等保项目,经常会考虑的,绝大部分占80%的项目,基本上是等保三级
定级咨询服务,你具体定哪个级,然后我给你提供一些建议,这是关于定级
备案是向公安的网安部门进行备案,然后比如说安全厂商,安全集成商,他可以提供一些专家评审,协助你去做备案,备案需要你填一些资料表,甲方可能没有填过,厂商,经销商,可以帮你去做,甲方只要钱给够了,只要你出钱,很多事情其实有人给你做,所以有些时候做甲方,你要利用好自己手里的权力以及资源,不是所有的事情你都必须干的,有些事情可以有人来帮你干,这是备案,主要是我们的甲方向公安的网安部门去提供相应的备案。比如说,我这个系统我要做三级了,备完案之后,后期这个相关部门会来做定期的检查和抽查
第三步安全整改,那肯定你现在的安全是有问题的,所以我们要按照现在最新的一些等保标准,进行差距分析和整改,集成商和厂商又能提供各种各样的服务
等保评测主要是由等保评测机构来对你进行评估,就是你说你要做三级,等保测评机构会对你进行一个综合评测,包括安全措施,安全建设的情况
评测完之后,比如OK了,给你发个证书,然后你三级的话,一般是每年要重新评测一次,二级的话,是每两年,四级我记得是半年,最后就是后期的运维,包括我们公安机关会对你进行一个定期检查,这是等保项目的流程
等保标准变化
等保标准分成两部分,第一个是技术要求,第二个是管理要求,技术和管理这边,它分成了四个点,我们把它叫做一个中心三重防护,一个中心就是安全管理中心,安全管理中心放一些安全管理设备,我们管理运营的一套东西,都放在里面
三层防护,安全计算环境,安全区域边界,安全通信网络,安全物理环境,其中物理环境跟技术关系不是那么大,我们说的三重防护一般是说的中间这三个,中间这三个跟网络安全技术信息最相关的是安全通信网络,比如说a到b,我们要通信,要保证他们之间的信息安全性,一般做加密,这就是安全通信网络
安全区域边界,比如说我们网络出口一般要部署防火墙来做区域边界隔离,然后安全计算环境一般是指server服务器,我们要保证它的安全,要安装杀毒软件,要打补丁,要定期做升级,这叫计算环境,一个中心三重防护,这是最基础的,然后还有一个叫安全物理环境,包括机房选址,机房门禁,这些要做考虑,所以这是技术层面,一共是分成了五个部分,重点一个中心三重防护,再加一个物理环境安全,技术层面的要求
管理层面一共也是五个点,要有相应的安全管理制度,要有相应的安全管理机构,国家都有网络安全工作领导小组,很多单位其实也有网络安全领导部门,由单位的一把手或者二把手去负责,还有相关安全管理人员
安全建设管理,就你建设过程当中,要考虑到安全
建设就参考等保体系,通过等保体系去建设,接着是后期运维管理,安全运维建设好了之后,要做日常运行,维护后期要做升级,这是关于等保标准
等保二点零是二零一九年12月1号正式实施的,这套体系配合的是网络安全法,至少我感觉它生命周期至少是十年以上,也就是在十年之内,大概率是不会有等保三点零的,很多时候说等保三点零,它是把我们的三级等保跟等保二点零混淆了,我们等保是分成五级的,其中有一个三级的是做的最多的,也就是我们等保二点零当中有一个三级等保,而不是等保三点零
等保2.0新增内容
等保二点零变化,第一个就在一点零的基础上,它扩大了对象的方位,将云计算,物联网,移动互联、物联网,工业控制等纳入了标准范围,构建了网络安全通用要求和新型扩展
等保2.0变化
等保2.0还有一个扩展标准,二点零新增的云大物移工控五个点,这新增的都是新技术,新技术的安全,这是二点零新增内容
第二个就是提出了一个中心三重防护体系架构,安全通信网络,安全区域边界,安全计算环境以及安全管理中心,还有一个技术标准是安全物理环境,第三个等保二点零强化了可信计算,各级增加了可信验证的控制点
其中一级要求设备引导程序、系统程序进行可靠验证。二级增加了重要参数以及应用程序的可信验证,并且将验证结果送至安全管理中心。三级增加了应用程序,关键执行环节进行动态可信验证,四级增加了所有执行环节的动态可信验证
可信验证是可信计算的一部分,就是我们系统在启动的时候,你要在你这个引导程序里边去验证一下,然后包括你的系统,包括你WINDOWS那边去验证你启动是否合法,一级就在启动的时候去验证一下就行了,二级包括后面的三级,动态可信验证
举个最简单的例子,以前登录华为网站,基本上输入一个用户名,输入一个密码,登录之后你选择记住密码,他就可以一直给你记住,你明年后年登录,都可以登录,但是现在华为官网,你输入用户名和密码之后一个月,他让你用手机验证码验证,这样的话就实现了一个动态验证。你在使用的过程当中需要定期的去做身份验证,以前相对于而言就是一个静态的,它就没有动态辩证的看待这个过程,这是等保二点零的一个变化
智慧城市安全体系应用参考
安全体系的应用,智慧城市,还有一个是智能交通
智慧城市,智能交通这些基本上都是千万级的大项目,首先最底层的基础支撑,其实最基础的就网络安全设备,防火墙、入侵检测,但密钥、证书,身份管理体系,这也算支撑
认证、评估、检测、审查、设计。认证,比如说身份认证,比如说pki,它是一个基本支撑,比如说做网络安全产品认证的认证中心,评估是等保评测机构,检测有刚提到的产品检测中心。设计搞网络安全建设,有专门的设计院,也有些专门的集成商,都可以提供这种支撑,这些都是支撑服务
支撑服务再往上是网络安全的管理保障,分为决策规划,组织管理,协调监督,评价改进这么几块,最重要的、最核心的占用面积最大的是技术保障
技术保障,比如说物联网感知安全,这是物联网安全。网络通信安全,计算与存储安全,数据与融合层安全,这可能牵扯到一些数据中台,数据中台就是最上面的应用,比如说web应用,然后数据库应用等等,这是几个重要的技术层面,技术层面除了我们牵涉到最纯的技术之外,还有一些偏向于技术功能的一些管理,防护、检测、响应、恢复
建设与运营保障,实施预警处置,灾难恢复,最顶层的是法律法规,法律法规政策文件还有标准,这是智慧城市整个安全体系
最主要、最核心的体现一个完整性。我们不是从一个层面去考虑的,我们从多维度去考虑建设我们的网络安全,智慧城市的安全体系
智能交通网络安全体系应用参考
智能交通一共把我们的职能机构分成了三个,组织决策,运营管理和最终执行者,组织决策可能是政府相关部门,智能交通运营部门可能是公安,也有可能是公安相关部门
有一些具体执行的,有可能有安全设备厂商,网络设备厂商,还有一些汽车制造商等等,这是做具体执行的。
整体架构,右边也是分各个层面的安全,物理层面,网络安全终端、安全人员安全,还有应急响应事件的整改。再往上的话是运营,负责监督管理,资产管理,这是关于智能交通的安全体系架构
体系一般是一个比较虚一点的东西,它不太实,然后它是从多维度去考虑问题,一般是站在甲方或者领导层更高层的维度去看,我们要建设这个东西要从哪些层面去考虑,有哪些人要参与进来,每个人具体大概负责,这是整个的体系架构
