我们阅读了总体安全规划,然后进入安全设计和实施,如图所示,进入第三层安全设计和实施。本阶段的目标是根据等级保护对象安全总体规划的要求,结合等级保护对象安全建设项目规划,逐步实施安全措施。
本阶段可分为三个阶段:详细设计安全方案、实施技术措施和实施管理措施。如图所示,进入第三层安全设计和实施。
设计和实施阶段是网络运营和用户最关心的阶段。因此,在各单位的监督检查过程中,一个突出的问题是“重建设,轻管理”,这可以说是一个常见的问题。而网络安全服务机构,也更热衷于这项工作。因为在完成工作后,理论上,你可以在完成最终的合同要求后获得钱。然而,在这个工作过程中,双方是否真的实施了以前的计划和计划?
安全规划设计属于知行合一“知”在设计和实施阶段“行”的阶段。
以下内容至少可以作为网络运营和用户购买服务质量的参考;同样,它也可以作为网络安全服务机构和集成机构的整体参考。
更多关于安全服务的信息,请参阅我的微信官方账号相关文章和国家标准。
第一阶段:安全方案详细设计
本阶段可由技术措施设计和管理措施设计两部分组成。
技术措施实现内容的设计是输入安全总体方案、安全建设项目规划、各种信息技术产品和网络安全产品技术说明材料、网络安全服务机构评价材料等。,并根据施工目标和施工内容,将安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形式上,通过结构框架的设计、安全功能要求的设计、性能要求的设计、部署方案的设计、安全策略的实现方案的制定,提出了可以实现的产品或组件及其具体规范,并将产品功能特征整理成文档,为网络安全产品采购和安全控制的开发阶段提供依据。在此过程中,相关网络安全产品用于安全实现技术框架,如防火墙、网闸、认证网关、代理服务器、网络防病毒、PKI、云安全防护产品、移动终端应用软件和防护产品提出了性能指标要求。对需要开发的安全控制组件提出性能指标要求,最终输入技术措施实施计划。
本阶段由运营商、用户、网络安全服务机构、网络安全产品供应商共同完成。
管理措施的设计是输入安全总体规划、安全建设项目规划等,根据当前安全管理需求和安全技术保障需求,结合实际安全管理需求和技术建设内容,确定安全管理建设的范围和内容,同时注意与等级保护对象安全总体规划的一致性。安全管理设计的内容主要考虑:制定安全战略和管理体系、安全管理机构和人员、安全施工过程管理等,提出安全实施内容,确保安全技术建设,安全管理同步建设,最终输出管理措施实施计划。
本阶段的工作由运营、用户、网络安全服务机构等共同完成。
通过输入技术措施实施方案和管理措施实施方案,总结技术措施实施方案和管理措施实施方案,考虑工作时间和成本,最终形成指导安全实施的指导文件,整理技术措施实施方案中的技术实施内容和管理措施实施方案中的管理实施内容,形成等级保护对象安全施工的详细设计方案和最终设计结果。
详细的安全设计方案应包括但不限于以下内容:
a)建设目标和内容;
b)技术实现方案;
c)网络安全产品或组件的安全功能和性能要求;
d)部署网络安全产品或组件;
e)安全控制策略及配置;
f) 配套安全管理建设内容;
g)项目实施计划;
h)项目投资概算。
本阶段的工作由运营、用户、网络安全服务机构等共同完成。
第二阶段:实施技术措施
本阶段可由网络安全产品或服务采购、安全控制开发、安全控制集成、系统验收四部分组成。
网络安全产品或服务采购需要输入详细的安全设计方案、相关供应商和产品信息,根据产品、产品组合或服务的功能、性能和安全满足安全设计要求,通过制定产品或服务采购说明书,选择产品或服务,选择所需的网络安全产品或服务。最终输出网络安全产品的性能、功能和安全要求或服务机构的能力要求(可以是列表模式)。
产品或服务采购说明书的制定应注意:网络安全产品或服务选择过程首先根据详细安全设计方案的设计要求,制定产品或服务采购说明书,说明产品或服务的采购原则、采购范围、技术指标要求、采购方法等。对于产品的功能、性能和安全指标,可以根据第三方测试机构出具的产品测试报告或用户组织的网络安全产品的功能、性能和安全选择测试结果。对于安全服务的采购需求,网络安全服务机构的内外评价结果应作为参考。
选择产品或服务应注意:在依据产品或服务采购说明书对现有产品或服务进行选择时,不仅要考虑产品或服务的使用环境、安全功能、成本(包括采购和维护成本)、易用性、可扩展性、与其他产品或服务的互动和兼容性等因素,还要考虑产品或服务的质量和可信性。产品或服务可信性是保证系统安全的基础,用户在选择网络安全产品时应确保符合国家关于网络安全产品使用的有关规定。对于密码产品的使用,应按照国家密码管理的相关规定进行选择和使用。对于网络安全服务,应选取有相关领域资质的网络安全服务机构。
本阶段由网络安全产品供应商、网络安全服务机构、运营、用户、测试机构共同完成。
安全控制的开发需要输入详细的安全设计方案,通过专门的设计和开发,实现一些不能通过购买现有网络安全产品来实现的安全措施和安全功能。安全控制的开发应与系统的应用开发同步设计和实施,一旦应用系统开发完成,增加安全措施将造成巨大的成本投资。因此,在应用系统开发的同时,应根据详细的安全设计方案进行安全控制的开发和设计,以确保系统应用和安全控制的同步建设。需要进行安全措施需求分析、总结设计、详细设计、编码实现、测试、安全控制的开发过程,需要整理归档总结设计说明书、详细设计说明书、开发测试报告和开发说明书。最后,输出安全控制开发过程中产生的所有相关文件和记录。
本阶段由运营、用户、网络安全服务机构共同完成。
安全控制集成是输入详细的安全设计方案,通过集成实施方案制定、集成准备、集成实施、培训、形成安全控制集成报告等,集成不同的软硬件产品,根据详细的安全设计方案,将网络安全产品、系统软件平台和开发的安全控制模块与各种应用系统集成为一个系统。安全控制集成过程可以运行,用户和网络安全服务机构可以参与和合作,将安全实施、风险控制、质量控制等有机结合起来,实现安全情况感知、监控通知和预警、应急处置跟踪和可追溯性等安全措施,建立统一的安全管理平台。将安全控制集成过程相关内容文档化,形成安全控制集成报告,包括集成实施计划、质量控制计划、集成实施报告和培训评估记录,最终输出安全控制集成报告。从集成实施计划的制定到安全控制集成报告,中间将产生大量的过程文档和记录。
本阶段由运营、用户、网络安全服务机构共同完成。
系统验收需要输入详细的安全设计方案、安全控制集成报告等,通过系统验收准备、组织验收、验收报告、系统交付,检查系统是否严格按照详细的安全设计方案进行施工,是否实现了设计的功能、性能和安全性。安全控制集成工作完成后,系统测试验收从整体出发,包括系统运行效率和可靠性的测试,以及管理措施实施内容的验收。同样,在此过程中需要提交的文档、指导用户进行系统运行维护的文档、服务承诺等,也非常多,应形成验收报告和交付清单。这里没有太多的具体材料要交付,以解释。
第三阶段:实施管理措施
本阶段可由安全管理体系的建设和修订、安全管理机构和人员的设置、安全实施过程管理三部分组成。
安全管理体系的建设和修订需要输入详细的安全设计方案,根据国家网络安全相关政策、标准、规范,通过明确的应用范围、评价和改进、行为规范等,制定、修订和实施等级保护对象的安全管理,包括等级保护对象的建设、开发、运行、维护、升级和改造。最终输出安全策略、管理体系和操作规范、管理体系评价和修订记录等。
本阶段由运营、用户、网络安全服务机构共同完成。
应用范围明确:建立管理体系,首先要明确机房管理、账户管理、远程访问管理、特殊权限管理、设备管理、变更管理、资源管理等系统的应用范围。
评估与完善应注意:管理制度是通过制度化、规范化的流程和行为约束,来保证各项管理工作的规范性。
行为准则规定应注意:系统在发布和实施过程中,应定期进行评估,并保留评估或评估记录。根据实际环境和情况的变化,对系统进行修改和改进,规范整体安全政策、安全管理制度、安全操作程序、安全运行维护记录和表格四层系统文件的一致性,必要时考虑管理系统的重新制定,保留版本修订记录。
安全管理机构和人员的设置需要输入详细的安全设计方案、安全成员和角色说明书、各种管理制度和操作规范,通过安全组织确定、角色说明、人员安全管理,建立配套的安全管理职能部门,确保人员具备适合岗位职责的技术能力和管理能力,为等级保护对象的安全管理提供组织保障。最终输出机构、角色和职责说明书、培训记录和资格证书。
本阶段由运营、用户、等级保护对象管理人员、网络安全服务机构共同完成。
确定安全组织时应注意:识别与网络安全管理相关的组织成员及其角色,如:操作人员、文件管理员、系统一管理员、安全管理员等,形成安全组织结构表。
角色描述应注意:以书面形式详细描述每个角色和职责,明确相关岗位人员的责任和权限,征求相关人员的意见,确保责任明确,确保所有风险负责处理。
人员安全管理应注意:对普通员工、管理员、开发人员、主管人员和安全人员进行具体技能培训和安全意识培训,培训后进行考核,合格人员颁发资格证书。
安全实施过程管理需要输入安全设计和实施阶段参与相关进度控制和质量监督要求文件,通过整体管理、质量管理、风险管理、变更管理、进度管理、文件管理等,在等级保护对象分级、规划设计、实施过程中,监督、控制和科学管理项目质量、进度、文件和变更,最终输出各阶段的管理过程文件和记录。这里不要解释交付的具体材料,以后再解释。
本阶段由运营商、用户、网络安全服务机构、网络安全产品供应商共同完成。