转载公众号《微言晓意》,仅用于个人学习
在网络安全等级保护测评中,需要对测评对象所包含的资产进行梳理,形成《网络安全等级测评调研表》以能够支撑测评工作的顺利开展。《网络安全等级测评调研表》包含如下13张资产识别表:
- 表1-系统基础信息表
包含定级系统信息、系统所属单位信息、系统责任方信息。
- 表2-物理机房
包含机房名称、物理位置、重要程度等信息。
- 表3-网络设备
包含设备名称、是否虚拟设备、系统及版本、品牌型号、用途、IP地址、数量、重要程度等信息。
- 表4-安全设备
包含设备名称、是否虚拟设备、系统及版本、品牌及型号、用途、IP地址、数量、重要程度等信息。
- 表5-密码产品
包含产品名称、生产厂商、商密型号、使用的密码算法、数量、用途等信息。
- 表6-服务器或存储设备
包含设备名称、逻辑名称、是否虚拟设备、系统及版本、品牌、型号、用途、IP地址、数量、重要程度等信息。
- 表7-终端或现场设备
包含设备名称、是否虚拟设备、物理/逻辑区域、操作系统/控制软件及版本、设备类型/用途、数量、IP地址、重要程度等信息。
- 表8-系统管理软件或平台
包含系统管理软件/平台名称、主要功能、版本、所在设备名称、IP地址、重要程度等信息。
-
表9-业务应用系统或平台
包含业务应用系统/平台名称、主要功能、业务应用软件及版本、开发厂商、重要程度等信息。
- 表10-关键数据类型
包含数据类别、所属业务应用、安全防护需求、重要程度等信息。
- 表11-安全相关人员
包含姓名、岗位/角色、联系方式等信息。
- 表12-安全管理文档
包含文档名称、主要内容等信息。
- 表13-网络拓扑图及描述
包含拓扑图。
工信部信息系统备案与《网络安全等级测评调研表》中的信息基本相同。不同的是工信部信息系统备案对应用系统的属性定义更加详细。《工信部信息系统备案》主要信息字段包括如下内容:- 备案对象基础信息
包含定级对象名称、所属企业名称、安全等级、服务对象、服务范围、投入运营时间、网络负责部门与联系方式等信息。
- 主要硬件使用情况
包含类型、品牌、型号、所在机房位置、维护方式、数量、已运行时间、存在问题、负责人、联系方式等信息。
- 安全系统使用情况
包含类型、品牌/研发方、型号、所在机房位置、维护方式、数量、已运行时间、存在问题、负责人、联系方式等信息。
- 基础软件使用情况
包含类型、厂商、数量、所在机房位置、维护方式、当前版本、所在设备、已运行时间、是否正版软件、存在问题等信息。
- 应用软件使用情况
包含类型、研发方、当前版本、所在机房位置、维护方式、数量、已运行时间、所在设备、存在问题、域名、协议、端口、URL、中间件、IP地址段、IP分类、内外网等信息。
- 网络数据存储处理情况
包含是否处理网络数据信息、网络数据类型与数量、网络用户信息存储处理情况、存储或处理的网络用户信息的类型名称等信息。
《网络安全等级测评调研表》与《工信部信息系统备案》信息表在资产识别字段层面还是比较详细的。
在资产分层方面,能够以信息系统为单位,涵盖应用、操作系统、服务器、安全、网络、物理等所有层面。
在业务视角上,能够定义信息系统、安全级别,并且识别信息系统级别以及各层资产负责部门、运维人员及联系方式。
在攻防实用性上,能够识别在漏洞管理、攻击面管理中涉及的关键信息,包括应用系统的IP、域名、端口、URL、版本等。
虽然这两份资产识别的表单设计的比较完备,但在实际执行过程中却存在人工填写效率低、资产出现变动不能实现动态更新,只能收集相关人员掌握的资产信息,无法确认是否有遗落未进行收集的资产等问题。
我们想象一下,如果资产测绘与管理系统足够理想的话,应该针对网络安全等级测评调研、工信部信息系统备案实现专有管理页面,能够实时地自动化地去展示这些资产信息。
考虑到可能无法实现的那么完美,退一步讲也应该至少确保这些字段信息都包括在资产测绘与管理系统中,以方便安全运营人员在系统备案、测评时可以方便随时查询与导出。
资料获取:《网络安全等级测评调研表》、《工信部信息系统备案》两份表单模板已经上传到“微言晓意”知识星球,可以加入星球获取资料。
标签:信息系统,包含,测评,08,信息,名称,合规,备案 From: https://www.cnblogs.com/qinke/p/17191563.html