###############################################################################
對于安全廠家而言,最關心的內容在本章節,根據已確定的安全總體方案,完成技術措施和管理措施的詳細設計和實施,包含具體的安全產品和管理要求。
- 7?安全設計與實施
- 7.1?安全設計與實施階段的工作流程
- 7.2?安全方案詳細設計
- 7.3?技術措施的實現
- 7.4?管理措施的實現
################################################################################
7 安全設計與實施
7.1?安全設計與實施階段的工作流程
安全設計與實施階段的目標是按照等級保護對象安全總體方案的要求,結合等級保護對象安全建 設項目規劃,分期分步落實安全措施。
安全設計與實施階段的工作流程見圖6。
7.2?安全方案詳細設計
7.2.1 技術措施實現內容的設計
活動目標:
根據建設目標和建設內容將等級保護對象安全總體方案中要求實現的安全策略、安全技術體系結構、安全措施和要求落實到產品功能或物理形態上,提出能夠實現的產品或組件及其具體規范,并將產品功能特征整理成文檔,使得在網絡安全產品采購和安全控制的開發階段具有依據。
參與角色:運營、使用單位,網絡安全服務機構,網絡安全產品供應商。
活動輸入:安全總體方案,安全建設項目規劃,各類信息技術產品和網絡安全產品技術說明資料、網絡安全服務機構評價材料。
活動描述:
本活動主要包括以下子活動內容:
a) 結構框架的設計
依據本次實施項目的建設內容和等級保護對象的實際情況,給出與總體安全規劃階段的安全體系結構一致的安全實現技術框架,內容至少包括安全防護的層次、網絡安全產品的使用、網絡子系統劃分、 IP 地址規劃、云計算模式的選取(如有)、移動互聯的接入方式(如有)等。
b) 安全功能要求的設計
對安全實現技術框架中使用到的相關網絡安全產品,如防火墻、VPN、網閘、認證網關、代理服務器、網絡防病毒、PKI、云安全防護產品、移動終端應用軟件與防護產品等提出安全功能指標要求。
對需要開發的安全控制組件,提出安全功能指標要求。
c) 性能要求的設計
對安全實現技術框架中使用到的相關網絡安全產品,如防火墻、VPN、網閘、認證網關、代理服務 器、網絡防病毒、PKI、云安全防護產品、移動終端應用軟件與防護產品等提出性能指標要求。
對需要開發的安全控制組件,提出性能指標要求。
d) 部署方案的設計
結合目前等級保護對象網絡拓撲,以圖示的方式給出安全技術實現框架的實現方式,包括網絡安全 產品或安全組件的部署位置、連線方式、IP 地址分配等。對于需對原有網絡進行調整的,給出網絡調整的圖示方案等。
e) 制定安全策略的實現計劃
依據等級保護對象安全總體方案中提出的安全策略的要求,制定設計和設置網絡安全產品或安全組件的安全策略實現計劃。
活動輸出:技術措施實施方案。
7.2.2 管理措施實現內容的設計
活動目標:
根據等級保護對象運營、使用單位當前安全管理需要和安全技術保障需要提出與等級保護對象安全總體方案中管理部分相適應的本期安全實施內容,以保證在安全技術建設的同時,安全管理得以同步建設。
參與角色:運營、使用單位,網絡安全服務機構。
活動輸入:安全總體方案,安全建設項目規劃。
活動描述:
結合等級保護對象實際安全管理需要和本次技術建設內容,確定本次安全管理建設的范圍和內容, 同時注意與等級保護對象安全總體方案的一致性。
安全管理設計的內容主要考慮:安全策略和管理制度制定、安全管理機構和人員的配套、安全建設過程管理等。
活動輸出:管理措施實施方案。
?7.2.3 設計結果的文檔化
活動目標:
將技術措施實施方案、管理措施實施方案匯總,同時考慮工時和成本,最后形成指導安全實施的指導性文件。
參與角色:運營、使用單位,網絡安全服務機構。
活動輸入:技術措施實施方案,管理措施實施方案。
活動描述:
對技術措施實施方案中技術實施內容和管理措施實施方案中管理實施內容等文檔進行整理,形成等級保護對象安全建設詳細設計方案。
安全詳細設計方案包含以下內容:
a) 建設目標和建設內容;
b) 技術實現方案;
c) 網絡安全產品或組件安全功能及性能要求;
d) 網絡安全產品或組件部署;
e) 安全控制策略和配置;
f) 配套的安全管理建設內容;
g) 工程實施計劃;
h) 項目投資概算。
活動輸出:安全詳細設計方案。
7.3?技術措施的實現
7.3.1 網絡安全產品或服務采購
活動目標:
按照安全詳細設計方案中對于產品或服務的具體指標要求進行采購,根據產品、產品組合或服務實現的功能、性能和安全性滿足安全設計要求的情況來選購所需的網絡安全產品或服務。
參與角色:網絡安全產品供應商,網絡安全服務機構,運營、使用單位,測試機構。
活動輸入:安全詳細設計方案,相關供應商及產品信息。
活動描述:
本活動主要包括以下子活動內容:
a) 制定產品或服務采購說明書
網絡安全產品或服務選型過程首先依據安全詳細設計方案的設計要求,制定產品或服務采購說明書,對產品或服務的采購原則、采購范圍、技術指標要求、采購方式等方面進行說明。
對于產品的功能、 性能和安全性指標,可以依據第三方測試機構所出具的產品測試報告,也可以依據用戶自行組織的網絡安全產品功能、性能和安全性選型測試結果。
對于安全服務的采購需求,應具有內部或外部針對網絡安全服務機構的評價結果作為參考。
b) 選擇產品或服務
在依據產品或服務采購說明書對現有產品或服務進行選擇時,不僅要考慮產品或服務的使用環境、 安全功能、成本(包括采購和維護成本)、易用性、可擴展性、與其他產品或服務的互動和兼容性等因素, 還要考慮產品或服務的質量和可信性。
產品或服務可信性是保證系統安全的基礎,用戶在選擇網絡安全產品時應確保符合國家關于網絡安全產品使用的有關規定。
對于密碼產品的使用,應按照國家密碼管理的相關規定進行選擇和使用。
對于網絡安全服務,應選取有相關領域資質的網絡安全服務機構。
活動輸出:需采購的網絡安全產品性能、功能和安全要求或服務機構的能力要求(可為清單模式)。
7.3.2 安全控制的開發
活動目標:
對于一些不能通過采購現有網絡安全產品來實現的安全措施和安全功能,通過專門進行的設計、開發來實現。
安全控制的開發應與系統的應用開發同步設計、同步實施,而應用系統一旦開發完成后,再增加安全措施會造成很大的成本投入。
因此,在應用系統開發的同時,要依據安全詳細設計方案進行安全控制的開發設計,保證系統應用與安全控制同步建設。
參與角色:運營、使用單位,網絡安全服務機構。
活動輸入:安全詳細設計方案。
活動描述:
本活動主要包括以下子活動內容:
a) 安全措施需求分析
以規范的形式準確表達安全方案設計中的指標要求,在采用云計算、移動互聯等新技術情況下分析特有的安全威脅,確定對應的安全措施及其同其他系統相關的接口細節。
b) 概要設計
概要設計要考慮安全方案中關于身份鑒別、訪問控制、安全審計、軟件容錯、資源控制、數據完整性、 數據保密性、數據備份恢復、剩余信息保護和個人信息保護等方面的指標要求,設計安全措施模塊的體系結構,定義開發安全措施的模塊組成,定義每個模塊的主要功能和模塊之間的接口。
c) 詳細設計
依據概要設計說明書,將安全控制的開發進一步細化,對每個安全功能模塊的接口,函數要求,各接口之間的關系,各部分的內在實現機理都要進行詳細的分析和細化設計。
按照功能的需求和模塊劃分進行各個部分的詳細設計,包含接口設計和管理方式設計等。
詳細設計是設計人員根據概要設計書進行模塊設計,將總體設計所獲得的模塊按照單元、程序、過程的順序逐步細化,詳細定義各個單元的數據結構、程序的實現算法以及程序、單元、模塊之間的接口等,作為以后編碼工作的依據。
d) 編碼實現
按照設計進行硬件調試和軟件的編碼,在編碼和開發過程中,要關注硬件組合的安全性和編碼的安全性,開展論證和測試,并保留論證和測試記錄。
e) 測試
開發基本完成要進行功能和安全性測試,保證功能和安全性的實現。
安全性測試需要涵蓋基線安全配置掃描和滲透測試,第三級以上系統應進行源代碼安全審核。
如有行業內或新技術專項要求,應開展專項測試,如國家電子政務領域的網絡安全等級保護三級測評、云計算環境安全控制措施測評、移動終端應用軟件安全測試等。
f) 安全控制的開發過程文檔化
安全控制的開發過程需要將概要設計說明書、詳細設計說明書、開發測試報告以及開發說明書等整理歸檔。
活動輸出:安全控制的開發過程相關文檔與記錄。
7.3.3 安全控制集成
活動目標:
將不同的軟硬件產品進行集成,依據安全詳細設計方案,將網絡安全產品、系統軟件平臺和開發的安全控制模塊與各種應用系統綜合、整合成為一個系統。
安全控制集成的過程可以運營、使用單位與網絡安全服務機構共同參與、相互配合,把安全實施、風險控制、質量控制等有機結合起來,實現安全態勢感知、監測通報預警、應急處置追蹤溯源等安全措施,構建統一安全管理平臺。
參與角色:運營、使用單位,網絡安全服務機構。
活動輸入:安全詳細設計方案。
活動描述:
本活動主要包括以下子活動內容:
a) 集成實施方案制定
主要工作內容是制定集成實施方案,集成實施方案的目標是具體指導工程的建設內容、方法和規范等,實施方案有別于安全設計方案的一個顯著特征是其可操作性很強,要具體落實到產品的安裝、部署和配置中,實施方案是工程建設的具體指導文件。
b) 集成準備
主要工作內容是對實施環境進行準備,包括硬件設備準備、軟件系統準備、環境準備。
為了保證系統實施的質量,網絡安全服務機構應依據系統設計方案,制定一套可行的系統質量控制方案,以便有效地指導系統實施過程。
該質量控制方案應確定系統實施各個階段的質量控制目標、控制措施、工程質量問題的處理流程、系統實施人員的職責要求等,并提供詳細的安全控制集成進度表。
c) 集成實施
主要工作內容是將配置好策略的網絡安全產品和開發控制模塊部署到實際的應用環境中,并調整相關策略。
集成實施應嚴格按照集成進度安排進行,出現問題各方應及時溝通。
系統實施的各個環節 應遵照質量控制方案的要求,分別進行系統集成測試,逐步實現質量控制目標。
例如:綜合布線系統施 工過程中,應及時利用網絡測試儀測定線路質量,及早發現并解決質量問題。
d) 培訓
等級保護對象建設完成后,安全服務提供商應向運營、使用單位提供等級保護對象使用說明書及建設過程文檔,同時需要對系統維護人員進行必要培訓,培訓效果的好壞將直接影響到今后系統能否安全運行。
e) 形成安全控制集成報告
應將安全控制集成過程相關內容文檔化,并形成安全控制集成報告,其包含集成實施方案、質量控制方案、集成實施報告以及培訓考核記錄等內容。
活動輸出:安全控制集成報告。
7.3.4 系統驗收
活動目標:
檢驗系統是否嚴格按照安全詳細設計方案進行建設,是否實現了設計的功能、性能和安全性。
在安全控制集成工作完成后,系統測試及驗收是從總體出發,對整個系統進行集成性安全測試,包括對系統運行效率和可靠性的測試,也包括管理措施落實內容的驗收。
參與角色:運營、使用單位,網絡安全服務機構,測試機構。
活動輸入:安全詳細設計方案,安全控制集成報告。
活動描述:
本活動主要包括以下子活動內容:
a) 系統驗收準備
安全控制的開發、集成完成后,要根據安全設計方案中需要達到的安全目標,準備驗收方案。
驗收方案應立足于合同條款、需求說明書和安全設計方案,充分體現用戶的安全需求。
成立驗收工作組對驗收方案進行審核,組織制定驗收計劃、定義驗收的方法和驗收通過準則。
b) 組織驗收
由驗收工作組按照驗收計劃負責組織實施,組織測試人員根據已通過評審的系統驗收方案對等級保護對象進行驗收測試。
驗收測試內容結合詳細設計方案,對等級保護對象的功能、性能和安全性進行測試,其中功能測試涵蓋功能性、可靠性、易用性、維護性、可移植性等,性能測試涵蓋時間特性和資源特性,安全性測試涵蓋計算環境、區域邊界和通信網絡的安全機制驗證。
c) 驗收報告
在測試完成后形成驗收報告,驗收報告需要用戶與建設方進行確認。
驗收報告將明確給出驗收的結論,安全服務提供商應根據驗收意見盡快修正有關問題,重新進行驗收或者轉入合同爭議處理程序。
如果是網絡安全等級保護三級(含)以上的等級保護對象,需提交等級保護測評報告作為驗收必要文檔。
d) 系統交付
在等級保護對象驗收通過以后,要進行等級保護對象的交付,需要安全服務機構提交系統建設過程中的文檔、指導用戶進行系統運行維護的文檔、服務承諾書等。
活動輸出:驗收報告、交付清單。
7.4?管理措施的實現
?7.4.1 安全管理制度的建設和修訂
活動目標:
依據國家網絡安全相關政策、標準、規范,制定、修訂并落實與等級保護對象安全管理相配套的、包括等級保護對象的建設、開發、運行、維護、升級和改造等各個階段和環節所應遵循的行為規范和操作規程。
參與角色:運營、使用單位,網絡安全服務機構。
活動輸入:安全詳細設計方案。
活動描述:
本活動主要包括以下子活動內容:
a) 應用范圍明確
管理制度建立首先要明確制度的應用范圍,如機房管理、賬戶管理、遠程訪問管理、特殊權限管理、 設備管理、變更管理、資源管理等方面。
b) 行為規范規定
管理制度是通過制度化、規范化的流程和行為約束,來保證各項管理工作的規范性。
c) 評估與完善
制度在發布、執行過程中,要定期進行評估,保留評估或評審記錄。
根據實際環境和情況的變化,對制度進行修改和完善,規范總體安全方針、安全管理制度、安全操作規程、安全運維記錄和表單四層體系文件的一致性,必要時考慮管理制度的重新制定,并保留版本修訂記錄。
活動輸出:安全策略、各項管理制度和操作規范、管理制度評審修訂記錄。
7.4.2 安全管理機構和人員的設置
活動目標:
建立配套的安全管理職能部門,通過管理機構的崗位設置、人員的分工和崗位培訓以及各種資源的配備,保證人員具有與其崗位職責相適應的技術能力和管理能力,為等級保護對象的安全管理提供組織上的保障。
參與角色:運營、使用單位,等級保護對象管理人員,網絡安全服務機構。
活動輸入:安全詳細設計方案,安全成員及角色說明書,各項管理制度和操作規范。
活動描述:
本活動主要包括以下子活動內容:
a) 安全組織確定
識別與網絡安全管理有關的組織成員及其角色,例如:操作人員、文檔管理員、系統管理員、安全管 理員等,形成安全組織結構表。
b) 角色說明
以書面的形式詳細描述每個角色與職責,明確相關崗位人員的責任和權限范圍,并要征求相關人員的意見,要保證責任明確,確保所有的風險都有人負責應對。
c) 人員安全管理
針對普通員工、管理員、開發人員、主管人員以及安全人員開展特定技能培訓和安全意識培訓,培訓 后進行考核,合格者頒發上崗資格證書等。
活動輸出:機構、角色與職責說明書,培訓記錄及上崗資格證書等。
7.4.3 安全實施過程管理
活動目標:
在等級保護對象定級、規劃設計、實施過程中,對工程的質量、進度、文檔和變更等方面的工作進行監督控制和科學管理。
參與角色:運營、使用單位,網絡安全服務機構,網絡安全產品供應商。
活動輸入:安全設計與實施階段參與各方相關進度控制和質量監督要求文檔。
活動描述:
本活動主要包括以下子活動內容:
a) 整體管理
整體管理需要在等級保護對象建設的整個生命周期內,圍繞等級保護對象安全級別的確定、整體計劃制定、執行和控制,通過資源的整合將等級保護對象建設過程中所有的組成要素在恰當的時間、正確的地方、合適的人物結合在一起,在相互影響的具體目標和方案中權衡和選擇,盡可能地消除各單項管理的局限性,保證各要素(進度、成本、質量和資源等)相互協調。
b) 質量管理
在創建等級保護對象的過程中,要建立一個不斷測試和改進質量的過程,在整個等級保護對象的生命周期中,通過測量、分析和修正活動,保證所完成目標和過程的質量。
c) 風險管理
為了識別、評估和減低風險,以保證工程活動和全部技術工作項目均得到成功實施。
在整個等級保護對象建設過程中,風險管理要貫穿始終。
d) 變更管理
在等級保護對象建設的過程中,由于各種條件的變化,會導致變更的出現,變更發生在工程的范圍、 進度、質量、成本、人力資源、溝通和合同等多方面。
每一次的變更處理,應遵循同樣的程序,即相同的文字報告、相同的管理辦法、相同的監控過程。
應確定每一次變更對系統成本、進度、風險和技術要求的影響。一旦批準變更,應設定一個程序來執行變更。
e) 進度管理
等級保護對象建設的實施必須要有一組明確的可交付成果,同時也要求有結束的日期。
因此在建設等級保護對象的過程中,應制訂項目進度計劃,繪制進度網絡圖,將系統分解為不同的子任務,并進行時間控制確保項目的如期完成。
f) 文檔管理
文檔是記錄項目整個過程的書面資料,在等級保護對象建設的過程中,針對每個環節都有大量的文 檔輸出,文檔管理涉及等級保護對象建設的各個環節,主要包括:系統定級、規劃設計、方案設計、安全實 施、系統驗收、人員培訓等方面。
活動輸出:各階段管理過程文檔和記錄。
###################################################################################
?愿各位在進步中安心。
2025.05.19 禾木
可聯系作者付費獲取,定價69.9元。包括如下內容:1. 信息安全技術全套標準指南
- ———GB/T 22239-2019 《信息安全技術 網絡安全等級保護基礎要求》
- ———GB/T25058 信息安全技術 信息系統安全等級保護實施指南;
- ———GB/T22240 信息安全技術 信息系統安全等級保護定級指南;
- ———GB/T25070 信息安全技術 網絡安全等級保護安全設計技術要求;
- ———GB/T28448 信息安全技術 網絡安全等級保護測評要求;
- ———GB/T28449 信息安全技術 網絡安全等級保護測評過程指南。
2.?等保2.0標準執行之高風險判定
3. GBT 22239-2019 《信息安全技術 網絡安全等級保護基礎要求》一到四級對比表格(按照十大方面整理,每方面包含四級要求并標記高風險項)
4.?GBT 22239-2019 +GBT 25070—2019 《信息安全技術 網絡安全等級保護基礎要求》+《信息安全技術 網絡安全等級保護安全設計技術要求》一到四級對比表格(在基礎要求中添加安全設計技術要求,安全設計技術要求主要用于開發人員和產品經理)
5.?GBT 36958—2018 《信息安全技術? 網絡安全等級保護安全管理中心技術要求》一到四級對比表格(說明安全管理中心技術要求:系統管理要求、安全管理要求、審計管理要求、接口要求、自身安全要求)
6.?GBT 22239-2019+GBT? 28448-2019? 《信息安全技術 網絡安全等級保護基礎要求》+《信息安全技術? 網絡安全等級保護測評要求》一到四級對比表格(在基礎要求中添加等保測評要求,可用于實施過程)
7.?等保項目預調研情況匯報表(博主整理word,用于項目前期調研和高風險項判定,分為2級和3級兩個文檔,并根據項目經驗整理和標準整理前期項目調研內容)
?部分材料下載鏈接:
1、等保二級高風險項核對表下載鏈接:
https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503
2、GBT 36958-2018 《信息安全技術 ?網絡安全等級保護安全管理中心技術要求》1~4級拆分表下載鏈接:
https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503
###################################################################################
深入了解AVFoundation-采集:視頻幀采集與實時濾鏡處理)
)
)
