专家解读 | 落实《关保要求》构建体系化关基检测评估能力

9月前

“关基检测评估下一阶段目标是实现从安全合规向安全能力评价转变。做到关基的整体防护评价、动态防护和协同联防。” 公安部第一研究所信息安全等级保护测评中心主任/副研究员李秋香在赛宁网安主办的安全运营实践论坛上指出。

图片

公安部第一研究所信息安全等级保护测评中心主任/副研究员

李秋香

 

安全运营实践论坛以“验证评估帮助安全运营提质增效”为主题于近日在北京隆重召开。李秋香主任以“构建体系化关基检测评估能力,筑牢重要网络和信息设施的基础安全防线”为题发表演讲,分享了在《关键信息基础设施安全保护要求》(以下简称:《关保要求》)发布的背景下,如何开展综合安全性评估的新思考及新成果。

 

1、网络安全检测评估工作现状

我国网络安全检测评估大致经历了起步推进发展完善四个发展阶段。

网络安全检测评估能力演进

 

结合实际工作开展情况,当前关基检测评估工作存在以下三个突出的问题:

对象上,检测评估大多针对单个系统,仅实现单系统合规,无法保证多系统关联安全合规;

模式上,检测评估大多以人员访谈、配置核查为主,缺少实战化有效性的验证方法;

内容上,等保测评、密码评估、数据安全评估、关基检测评估部分工作内容存在交叉和重复。

因此,需要构建一体化检测评估体系满足关键信息基础设施保护新要求

 

2、构建体系化关基检测评估能力

基于关基检测评估的发展历程及面临的问题,构建体系化关基检测评估应从以下四个方面考虑:

· 单系统合规指标

· 单元测评指标

· 安全性验证

· 关联测试指标 

体系化关基检测评估的总体框架如下图所示,包含对象、内容、流程、评价四个维度。

图片

体系化关基检测评估框架

 

01、体系化关基检测评估对象

不同于等保和密评,关基测评的对象是以三级及以上信息系统的集合,在《网络安全法》及《关键信息基础设施安全保护条例》中均给出了八个行业,即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,可能严重危害国家安全、国计民生公共利益的信息设施。

图片

体系化关基检测评估对象

 

02、体系化关基检测评估内容

检测评估内容包含以下四个方面:

一是单元测评。依据《关保要求》规定的6个环节、25个控制点、118个安全要求项进行分析,形成检查表及作业指导书,为测评机构提供参照依据。

二是安全性验证。梳理《关保要求》涉及的28个安全测评点作为安全性验证项目。通过技术手段或工具进行安全性验证,以保证每个单项测评项结论的正确性,从而保证最终整体测评结论的准确性。

三是关联测试。构建关联测试知识库,为测评人员提供关联测试依据,同时为被测评方提供相应的缓解措施,达到规范关联测试环节的目的。

四是整体评估。在关基单位的网络安全管控能力和网络安全保护水平进行检测评估的基础上,结合关键业务安全风险分析的情况,进行整体业务分析。

 

03、体系化关基检测评估流程

检测评估流程分为准备、方案编制、现场测评和报告编制四个阶段,其中现场测评阶段包含单元测评、关联测评和安全性验证。

图片

体系化关基检测评估流程

 

04、体系化关基检测评估评价

依据单元测评、关联测评以及整体分析中所得到的度量结果,输出问题清单、量化得分、整体结论以及结论可视化展示。

图片

某关基单位保护能力雷达图(部分数据为模拟数据)

 

最后,李秋香强调,网络安全检测评估要从以往的合规转变到对关基运营单位进行能力的评价。希望与业界共同努力,开展检测评估工作,为重要网络和信息系统运营者提供安全有效运营助力。

 

赛宁网安积极响应《关保要求》,依托仿真攻防两大核心技术,不断加大安全验证评估产品研发力度,持续开展数字孪生靶场与工业控制、车联网、5G、密码应用等关键信息基础设施融合工作,支撑各类网络安全相关的科学研究和技术验证,为关键信息基础设施的安全运营保驾护航。