《网络安全等级保护基本要求》(GB/T 22239-2019)关于第三级安全物理环境中防雷击b项,描述如下:
8.1.1.4 防雷击
测评项:b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
仅通过上面描述,我们只知道需要防雷保安器,但是防雷保安器有不同型号和规格,这个如何选择呢?或者说,用户现场使用的规格型号的产品是否满足测评项要求呢?大抵现在测评师,看到有这个浪涌产品部署就判定符合了。我刚刚接触等级保护时,教我的测评师以及我自己也是这么认为的。后来,与一位老先生(原公安机关负责建设信息通信的老专家)探讨,他给了我一些启示,我循着这个启示不断整理材料。
当我阅读到《信息安全技术 信息系统物理安全技术要求》这个标准时,我发现第三级物理安全技术要求是这么描写的:
6.1.8 浪涌(冲击)抗扰
6.1.8.1 系统中所应用的设备和部件对来自电源端口的浪涌(冲击)的电磁干扰应有一定的抗扰度。试验方法应按照GB/T 17626.5—1998中给出的试验方法,试验等级采用3级,试验评判结果至少应满足GB/T 17626.5—1998中的性能判据分类B的要求。
循着这个信息,我们可以找到《电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验》GB/T 17626.5-2019,其实验等级如下表,其表格有个说明,供参考。
通过《基本要求》、《物理安全技术要求》、《浪涌(冲击)抗扰度试验》三个标准,我们简单看过之后,那么等级保护三级防雷击的测评项b就有地方安放了。
首先,作为安全物理环境的方案,则需要《基本要求》到《物理安全技术要求》再到《浪涌(冲击)抗扰度试验》进行了解,然后选择符合对应要求的产品,这个产品在说明中应该标识有满足对应国家标准要求及相应的产品合格说明,那么在该条款上才能严格意义上符合等级保护测评三级要求,也就是才能从第一步做到真正符合。同样,测评人员至少对这些知识要有一定的理解,才能判断出部署的产品是否满足等级保护三级的要求,才能真正做到客观、公正。试想,对一个你根本不懂或不知道的东西,你如何知道他应用的是否合理合适呢?大部分测评师就会根据看到的主观臆测了。很多测评机构的测评师感觉安全物理环境测评和安全管理制度测评是最容易的。其实,如果,你只是为了出报告而出报告,那倒确实非常简单。但是,很多安全企业以及集成商,在很多时候会咨询我们做等级测评的专业人员,我们能够告诉别人就只有《基本要求》的测评项的那几个字,而背后的东西都不是太懂。他们也知道那几个字,大家都是成年人谁还不认识那几个字呢?那么,这个时候我们的专业性就会严重受到质疑,同时被你指导的安全厂商或集成商,也只能稀里糊涂的帮网络运营单位或使用单位建设信息系统了。这只是一个测评项,另外还有其他测评项呢?我不知道有多少人真正去了解或愿意去了解,不过我个人不成熟的看法是,等级测评是国家政策,自然有国家政策的高度。我们应该严谨、认真对待它,协助网络运营单位或使用单位扎实推进网络安全等级保护制度,认真落实《网络安全法》要求,才能让他们在设计、建设、运行过程中最大程度的合规。我知道,这样写肯定会得罪很多人。我听到太多拉客观的理由,给自己台阶下自我妥协的人。不过,我个人认为应该也有人会是与我志同道合。而特别一些人,既然想要从等级保护中赚钱,特别是有些号称提供相关咨询服务的企业,应该能够提供让客户做的明白的好方案,有价值的方案。以上是一些不成熟的看法,望看到此文的有志于网络安全等级保护的方家批评指正!