之前我们回顾了总体安全方案,然后我们进入了安全设计和实施,如图所示,我们进入了第三层安全设计与实施。本阶段的目标是按照本级保护对象总体安全规划的要求,结合本级保护对象安全建设工程规划,分阶段、分步实施安全措施。这一阶段可分为安全方案详细设计、技术措施落实、管理措施落实三个阶段。如图所示进入第三层安全设计与实现。设计和实施阶段是网络运营商和用户最关心的阶段。因此,在各单位监督检查过程中,存在的突出问题是“重建设、轻管理”,可以说是通病。网络安全服务机构对这项工作的热情也比较高。因为完成工作之后,理论上完成最后的合同要求就可以拿到钱了。然而,在这个工作过程中,各方是否真正落实了之前的计划和计划?安全规划和设计属于知行合一的“知”阶段,而设计和实施是“行”阶段。以下内容至少可以作为网络运营商和用户购买服务质量的参考;同样,也可以作为网络安全服务机构和集成机构自身服务质量的总体参考。关于安全服务的更多信息,请参考我的相关文章和相关国家标准。第一阶段:安全方案详细设计这一阶段可分为两部分:技术措施设计和管理措施设计。技术措施实施内容的设计需要输入安全总体规划、安全建设项目规划、各类信息技术产品和网络安全产品的技术说明材料、网络安全服务机构评估材料等,并对安全进行分类根据建设目标和内容确定保护对象。将总体方案中需要实现的安全策略、安全技术架构、安全措施和要求实现在产品功能或物理形态上,通过结构框架设计、安全功能需求设计、性能需求、部署方案的设计、制定安全策略的实施方案,提出可实现的产品或组件及其具体规范,并将产品功能特性整理成文档,使实施有依据网络安全产品采购和安全控制的开发阶段。这一过程涉及安全实施技术框架中使用的相关网络安全产品,如防火墙、网守、认证网关、代理服务器、网络杀毒、PKI、云安全防护产品、移动终端应用软件及防护产品等。前向性能指标要求。针对需要开发的安全控制元件,提出性能指标要求,最后输入技术措施实施方案。本阶段工作由运营和使用单位、网络安全服务机构、网络安全产品供应商共同完成。管理措施实施内容的设计需要根据保护对象的运行情况、使用单位当前的安全管理需要、安全技术保障等,输入安全总体方案、安全建设工程规划等需求,结合保护对象的实际安全管理需求和本技术。建设内容,确定本次安全管理建设的范围和内容,同时注意与保护对象总体安全规划的一致性。安全管理设计的内容主要考虑:安全战略与管理制度制定、安全管理机构与人员匹配、安全施工过程管理等,提出当前与总体安全计划管理部分相适应的安全实施内容。分级保护对象,确保安全管理在安全技术建设的同时建设,最终输出管理措施实施方案。这一阶段的工作由运营商、用户和网络安全服务机构共同完成。通过录入技术措施实施方案和管理措施实施方案,汇总技术措施实施方案和管理措施实施方案,同时考虑工时和成本,最终形成指导性文件形成了指导安全实施的指导意见,总结了技术措施实施方案中技术实施的内容和内容。整理管理措施实施方案中的管理实施内容等文件,形成等级保护对象安全施工详细设计方案,并将最终设计结果形成文件。详细的安全设计方案应包括但不限于以下内容:a)建设目标和内容;b)技术实施方案;c)网络安全产品或组件的安全功能和性能要求;d)网络安全产品或组件的部署;安全控制策略和配置;f)配套的安全管理建设内容;g)项目实施计划;h)项目投资预算。这一阶段的工作由运营商、用户和网络安全服务机构共同完成。第二阶段:技术措施的实现这一阶段可分为网络安全产品或服务采购、安全控制开发、安全控制集成、系统验收四个部分。采购网络安全产品或服务,需要输入详细的安全设计方案、相关供应商和产品信息等,按照安全详细设计方案中对产品或服务的具体指标要求进行采购。根据产品、产品组合或服务实现的功能,在性能和安全性满足安全设计要求的情况下,通过制定产品或服务采购说明,选择产品或服务,采购所需的网络安全产品或服务。最终输出的是拟采购的网络安全产品的性能、功能和安全要求或服务机构的能力要求(可以是列表方式)。在制定产品或服务采购说明书时,应注意:网络安全产品或服务的选择过程首先根据安全详细设计方案的设计要求制定产品或服务采购说明书,采购原则、采购范围、说明技术指标要求、采购方式等。对于产品的功能、性能和安全指标,可以以第三方检测机构出具的产品检测报告为准,也可以根据由第三方检测机构组织的网络安全产品的功能、性能和安全选型检测结果。用户。对于安全服务的采购需求,应当有网络安全服务机构内部或者外部的评价结果??作为参考。选择产品或服务时,应注意:根据产品或服务的采购说明选择现有产品或服务时,不仅要考虑使用环境、安全功能、成本(包括采购和维护成本)、易用性等因素例如可扩展性、与其他产品或服务的交互性和兼容性,以及产品或服务的质量和可信度。产品或服务的可信度是保证系统安全的基础。用户在选择网络安全产品时,应确保符合国家有关使用网络安全产品的规定。使用密码产品,应当按照国家密码管理的有关规定选用和使用。对于网络安全服务,应选择具有资格资格的网络安全服务机构。本阶段工作由网络安全产品供应商、网络安全服务机构、运营商和用户、检测机构共同完成。安全控制的开发需要详细的安全设计方案的输入。对于一些不能通过购买现有网络安全产品来实现的安全措施和安全功能,必须通过专门的设计和开发来实现。安全控制的开发应与系统的应用开发同时设计和实施,应用系统一旦开发完成,增加安全措施将造成大量的成本投入。因此,在开发应用系统的同时,需要根据安全详细设计方案进行安全控制的开发设计,以保证系统应用和安全控制同步建设。要做好安全措施需求分析、总体设计、详细设计、编码实现、测试、安全控制等开发过程。对设计总规、详细设计规程、开发试验报告、开发规程进行整理归档。最终,需要输出安全控制开发过程中产生的所有相关文件和记录。本阶段工作由运营单位、使用单位、网络安全服务机构共同完成。安全控制集成需要输入详细的安全设计方案。通过制定集成实施方案、集成准备、集成实施、培训、形成安全控制集成报告,集成不同的软硬件产品,按照安全详细设计方案集成网络安全。产品、系统软件平台和开发的安全控制模块与各种应用系统集成集成,形成一个系统。在安全管控一体化过程中,运营商、用户和网络安全服务机构可以相互参与、相互配合,将安全实施、风险控制、质量控制等有机结合起来,实现安全态势感知、监测、通报和预警。、应急响应跟踪追溯等措施,构建统一的安全管理平台。将安全控制集成过程的相关内容记录下来,形成安全控制集成报告,包括集成实施计划、质量控制计划、集成实施报告、培训和考核记录等,最终输出安全控制集成报告。从整合实施方案的制定到安全管控整合报告,中间会产生很多流程文件,需要各方能够真正深入的参与其中,并提交有价值的文件和记录。本阶段工作由运营单位、使用单位、网络安全服务机构共同完成。系统验收需要输入安全详细设计方案、安全控制集成报告等,通过系统验收准备、组织验收、验收报告、系统交付,验证系统是否严格按照安全详细设计方案进行建设,是否设计了功能、性能和安全性。安全控制集成工作完成后,系统测试验收是从全局角度对整个系统进行集成安全测试,包括测试系统的运行效率和可靠性,也包括实施验收管理措施的内容。同样,在这个过程中需要提交的文件也很多,指导用户进行系统运维的文件、服务承诺书等,还要形成验收报告和交付清单。具体要投递的材料这里就不做过多解释了,后面会在另一篇文章中进行说明。第三阶段:管理措施的落实这一阶段可由安全管理体系的构建和修订、安全管理机构和人员的设置、安全实施过程的管理三部分组成。安全管理体系的建设和改版需要输入详细的安全设计方案。根据国家网络安全相关政策、标准和规范,通过明确适用范围、评价和完善、行为规范等规定,制定、修订和实施网络安全保护对象的安全管理。水平。等级保护对象建设、开发、运行、维护、升级改造各阶段、各环节应遵循的相应行为规范和操作规程。最终输出的是安全策略、各类管理制度和运行规范、管理制度审查和修订记录等。该阶段的工作由运行单位、使用单位、网络安全服务机构共同完成。需要注意的是要明确适用范围:建立管理系统首先要明确系统的适用范围,如机房管理、账号管理、远程访问管理、特殊权限管理、设备管理、变革管理、资源管理等。评价和改进应注意:管理体系是通过制度化、规范化的流程和行为约束,保证各项管理工作的规范化。行为准则规定应注意:在制度发布和实施过程中,应定期进行评估,并保存评估或审查记录。根据实际环境和情况的变化,对制度进行修订和完善,规范总体安全方针、安全管理制度、安全操作规程、安全运行维护记录和形成四层体系文件的一致性,并必要时考虑重新建立管理体系,并保留版本修订记录。安全管理机构和人员的设置需要输入安全详细设计方案、安全成员和角色描述、各项管理制度和操作规范,通过确定安全组织机构、角色描述、人员安全管理、建立配套的安全管理职能部门、通过管理机构的岗位设置、人员分工、岗位培训和各类资源配置,确保人员具备与岗位职责相适应的技术和管理能力,为等级保护对象的安全管理提供组织保障。最终输出机构、角色职责、培训记录和岗位资格证书等。本阶段工作由运营和使用单位、等级保护对象管理人员、网络安全服务机构共同完成。注意安全组织的确定:识别与网络安全管理相关的组织成员及其角色,如:操作人员、文档管理员、系统管理员、安全管理员等,形成安全组织结构表。角色描述应注意:以书面形式详细描述每个角色和职责,明确相关岗位人员的职责和权限范围,并征求相关人员的意见,确保职责明确,确保所有风险由某人承担。人员安全管理应注意:对普通员工、管理人员、开发人员、监理人员和保安人员进行专项技能培训和安全意识培训,培训后进行考核,对培训合格的颁发合格证书。安全实施过程管理需要输入安全设计和实施阶段涉及的各方的相关进度控制和质量监督要求文件。在规划、设计和实施过程中,对项目的质量、进度、文件和变更进行监督、控制和科学管理,最终输出各阶段的管理过程文件和记录。具体要投递的材料这里就不做过多解释了,后面会在另一篇文章中进行说明。本阶段工作由运营和使用单位、网络安全服务机构、网络安全产品供应商共同完成。
