熱線電(diàn)話(huà):
400-0351-366
轉載 網絡安全等級保護(等保2.0)解讀
編輯:2022-12-13 11:08:04
前言
2018年(nián)12月(yuè)25日(rì),由中關村(cūn)可信計(jì)算(suàn)産業(yè)聯盟主辦的(de)“等級保護新标準解讀培訓班”在北京裕龍酒店舉行。沈昌祥院士、公安部範春玲、李秋香、陳廣勇等專家(jiā)老(lǎo)師(shī)對(duì)網絡安全等級保護制度進行了細緻解讀,為(wèi)了貫徹落實國(guó)家(jiā)網絡安全等級保護制度,特針對(duì)行業(yè)內(nèi)發布的(de)相(xiàng)關內(nèi)容進行整理(lǐ),以便學習(xí)。
等級保護标準變化(huà)
等級保護新标準在編制過程中總共經曆了兩次大的(de)變化(huà),首先是2017年(nián)8月(yuè)根據國(guó)家(jiā)網信辦和(hé)公安部的(de)意見将5個(gè)分冊進行了合并,形成一個(gè)标準,并在2017年(nián)10月(yuè)參加“信安标委WG5工(gōng)作(zuò)組在研标準推進會”,針對(duì)合并後的(de)标準送審稿進行征求意見,經127家(jiā)成員(yuán)單位意見彙總後,形成修訂報批稿;其次大的(de)變化(huà)是2018年(nián)7月(yuè)根據沈昌祥院士的(de)意見再次調整分類結構和(hé)強化(huà)可信計(jì)算(suàn),充分體(tǐ)現(xiàn)一個(gè)中心、三重防禦的(de)思想并強化(huà)可信計(jì)算(suàn)安全技(jì)術要求的(de)使用。
經過這(zhè)兩次大變化(huà)後的(de)《網絡安全等級保護基本要求》有(yǒu)10個(gè)章(zhāng)節8個(gè)附錄,其中第6、7、8、9、10章(zhāng)為(wèi)五個(gè)安全等級的(de)安全要求章(zhāng)節,8個(gè)附錄分别為(wèi):安全要求的(de)選擇和(hé)使用、關于等級保護對(duì)象整體(tǐ)安全保護能力的(de)要求、等級保護安全框架和(hé)關鍵技(jì)術使用要求、雲計(jì)算(suàn)應用場(chǎng)景說(shuō)明(míng)、移動互聯應用場(chǎng)景說(shuō)明(míng)、物(wù)聯網應用場(chǎng)景說(shuō)明(míng)、工(gōng)業(yè)控制系統應用場(chǎng)景說(shuō)明(míng)和(hé)大數據應用場(chǎng)景說(shuō)明(míng)。
标準名稱由原來(lái)的(de)《信息安全技(jì)術 信息系統安全等級保護基本要求》變更為(wèi)《信息安全技(jì)術 網絡安全等級保護基本要求》,與《中華人(rén)民(mín)共和(hé)國(guó)網絡安全法》保持一緻。等級保護對(duì)象由原來(lái)的(de)“信息系統”改為(wèi)“等級保護對(duì)象(網絡和(hé)信息系統)”,安全等級保護對(duì)象包括基礎信息網絡(廣電(diàn)網、電(diàn)信網等)、信息系統(采用傳統技(jì)術的(de)系統)、雲計(jì)算(suàn)平台、大數據平台、移動互聯、物(wù)聯網和(hé)工(gōng)業(yè)控制系統等。新版安全要求在原有(yǒu)通(tōng)用安全要求的(de)基礎上(shàng)新增安全擴展要求,安全擴展要求主要針對(duì)雲計(jì)算(suàn)、移動互聯、物(wù)聯網和(hé)工(gōng)業(yè)控制系統提出了特殊安全要求。
等級保護章(zhāng)節結構
調整後每一級的(de)安全要求均包括安全通(tōng)用要求、雲計(jì)算(suàn)安全擴展要求、移動互聯安全擴展要求、物(wù)聯網安全擴展要求和(hé)工(gōng)業(yè)控制系統安全擴展要求這(zhè)幾個(gè)部分:
安全通(tōng)用要求規定了各類等級保護對(duì)象形态如何滿足要求。
雲計(jì)算(suàn)安全擴展要求章(zhāng)節針對(duì)雲計(jì)算(suàn)的(de)特點提出特殊保護要求。對(duì)雲計(jì)算(suàn)環境主要增加的(de)內(nèi)容包括“基礎設施的(de)位置”、“虛拟化(huà)安全保護”、“鏡像和(hé)快照(zhào)保護”、“雲服務商選擇”和(hé)“雲計(jì)算(suàn)環境管理(lǐ)”等方面。
需要注意的(de)是針對(duì)雲計(jì)算(suàn)環境的(de)定級,對(duì)于雲租戶的(de)定級仍按照(zhào)傳統的(de)定級思路(lù),而對(duì)于雲計(jì)算(suàn)平台的(de)定級則分兩種情況,一種是中小(xiǎo)型雲計(jì)算(suàn)平台,可将整個(gè)平台作(zuò)為(wèi)整體(tǐ)定級對(duì)象;另一種是針對(duì)大型雲計(jì)算(suàn)平台,應将雲計(jì)算(suàn)基礎設施和(hé)有(yǒu)關輔助服務系統劃分為(wèi)不同定級對(duì)象(比如大型雲計(jì)算(suàn)平台的(de)計(jì)費(fèi)系統可單獨作(zuò)為(wèi)一個(gè)定級對(duì)象)。
移動互聯安全擴展要求章(zhāng)節針對(duì)移動互聯的(de)特點提出特殊保護要求。對(duì)移動互聯環境主要增加的(de)內(nèi)容包括“無線接入點的(de)物(wù)理(lǐ)位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件(jiàn)采購”和(hé)“移動應用軟件(jiàn)開(kāi)發”等方面。
物(wù)聯網安全擴展要求章(zhāng)節針對(duì)物(wù)聯網的(de)特點提出特殊保護要求。針對(duì)物(wù)聯網環境主要增加的(de)內(nèi)容包括“感知節點的(de)物(wù)理(lǐ)防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的(de)管理(lǐ)”和(hé)“數據融合處理(lǐ)”等方面。
工(gōng)業(yè)控制系統安全擴展要求章(zhāng)節針對(duì)工(gōng)業(yè)控制系統的(de)特點提出特殊保護要求。對(duì)工(gōng)業(yè)控制系統主要增加的(de)內(nèi)容包括“室外(wài)控制設備防護”、“工(gōng)業(yè)控制系統網絡架構安全”、“撥号使用控制”、“無線使用控制”和(hé)“控制設備安全”等方面,針對(duì)工(gōng)業(yè)控制系統實時(shí)性要求高(gāo)的(de)特點調整了“漏洞和(hé)風(fēng)險管理(lǐ)”和(hé)“惡意代碼防範管理(lǐ)”方面的(de)要求。
控制措施分類結構
調整後的(de)控制措施分類結構如下(xià):
技(jì)術要求“從(cóng)面到點”提出安全要求,“安全物(wù)理(lǐ)環境”主要對(duì)機(jī)房(fáng)設施提出要求,“安全通(tōng)信網絡”和(hé)“安全區(qū)域邊界”主要對(duì)網絡整體(tǐ)提出要求,“安全計(jì)算(suàn)環境”主要對(duì)構成節點(包括業(yè)務應用和(hé)數據)提出要求,“安全管理(lǐ)中心”主要對(duì)系統管理(lǐ)、集中管控等提出要求。
管理(lǐ)要求“從(cóng)元素到活動”提出安全要求,“安全管理(lǐ)制度”、“安全管理(lǐ)機(jī)構”和(hé)“安全管理(lǐ)人(rén)員(yuán)”主要提出了管理(lǐ)不可缺少的(de)制度、機(jī)構和(hé)人(rén)員(yuán)三要素,“安全建設管理(lǐ)”及“安全運維管理(lǐ)”主要提出了建設過程和(hé)運維過程的(de)安全活動管理(lǐ)要求。
安全通(tōng)信網絡、安全區(qū)域邊界、安全管理(lǐ)中心的(de)第四級在第三級的(de)基礎上(shàng)增加了7個(gè)條款:
1)應按照(zhào)業(yè)務服務重要程度分配帶寬,優先保障重要業(yè)務;
2)應在通(tōng)信前基于密碼技(jì)術對(duì)通(tōng)信的(de)雙方進行驗證或認證;
3)應基于硬件(jiàn)密碼模塊對(duì)重要通(tōng)信過程進行密碼運算(suàn)和(hé)密鑰管理(lǐ);
4)應能夠在發現(xiàn)非授權設備私自(zì)聯到內(nèi)部網絡的(de)行為(wèi)或內(nèi)部用戶非授權聯到外(wài)部網絡的(de)行為(wèi)時(shí),對(duì)其進行有(yǒu)效阻斷;
5)應采用可信驗證機(jī)制對(duì)接入到網絡中的(de)設備進行可信驗證,保證接入的(de)網絡設備真實可信;
6)應在網絡邊界通(tōng)過通(tōng)信協議(yì)轉換或通(tōng)信協議(yì)隔離等方式進行數據交換;
7)應保證系統範圍內(nèi)的(de)時(shí)間(jiān)由唯 一确定的(de)時(shí)鐘(zhōng)産生(shēng),以保證各種數據的(de)管理(lǐ)和(hé)分析在時(shí)間(jiān)上(shàng)的(de)一緻性。
安全計(jì)算(suàn)環境的(de)第四級在第三級的(de)基礎上(shàng)增加了5個(gè)條款:
1)登錄用戶執行重要操作(zuò)時(shí)應再次進行身(shēn)份鑒别;
2)應對(duì)主體(tǐ)、客體(tǐ)設置安全标記,并依據安全标記和(hé)強制訪問(wèn)控制規則确定主體(tǐ)對(duì)客體(tǐ)的(de)訪問(wèn);
3)應采用主動免疫可信驗證機(jī)制及時(shí)識别入侵和(hé)病毒行為(wèi),并将其有(yǒu)效阻斷;
4)在可能涉及法律責任認定的(de)應用中,應采用密碼技(jì)術提供數據原發證據和(hé)數據接收證據,實現(xiàn)數據原發行為(wèi)的(de)抗抵賴和(hé)數據接收行為(wèi)的(de)抗抵賴;
5)應建立異地(dì)災難備份中心,提供業(yè)務應用的(de)實時(shí)切換。
惡意代碼防範,從(cóng)一級到四級主要做了如下(xià)要求:
一級:應安裝防惡意代碼軟件(jiàn)或配置具有(yǒu)相(xiàng)應功能的(de)軟件(jiàn),并定期進行升級和(hé)更新防惡意代碼庫。
二級:應安裝防惡意代碼軟件(jiàn)或配置具有(yǒu)相(xiàng)應功能的(de)軟件(jiàn),并定期進行升級和(hé)更新防惡意代碼庫。
三級:應采用免受惡意代碼攻擊的(de)技(jì)術措施或主動免疫可信驗證機(jī)制及時(shí)識别入侵和(hé)病毒行為(wèi),并将其有(yǒu)效阻斷。
四級:應采用主動免疫可信驗證機(jī)制及時(shí)識别入侵和(hé)病毒行為(wèi),并将其有(yǒu)效阻斷。
從(cóng)标準控制措施整體(tǐ)看(kàn),對(duì)可信控制點有(yǒu)所增加,各個(gè)級别和(hé)層面均增加了可信驗證控制點,從(cóng)一級到四級均在“安全通(tōng)信網絡”、“安全區(qū)域邊界”和(hé)“安全計(jì)算(suàn)環境”中增加了“可信驗證”控制點,并且從(cóng)第二級開(kāi)始,增加了安全管理(lǐ)中心技(jì)術要求。
在等級保護測評方面,對(duì)等級保護符合性評價方法較之前有(yǒu)了很(hěn)大不同,新的(de)測評要求增加了重點測評項和(hé)常規測評項,重點測評項實行一票(piào)否決制,重點測評項優先通(tōng)過測評後,才進行常規測評項測評。目前公安部正研究并整理(lǐ)各保護級别的(de)重點測評項列表。
結束語
網絡安全等級保護是我國(guó)信息安全保障的(de)基本制度性工(gōng)作(zuò),是網絡空間(jiān)安全保障體(tǐ)系的(de)重要支撐,也是應對(duì)惡意APT攻擊的(de)有(yǒu)效措施。在法律支撐層面,我國(guó)的(de)計(jì)算(suàn)機(jī)系統等級保護條例提升為(wèi)國(guó)家(jiā)基礎性法律制度,即“網絡安全法”中的(de)網絡安全等級保護制度;在科(kē)學技(jì)術層面,由分層被動防護發展到了科(kē)學安全框架下(xià)的(de)主動免疫防護;在工(gōng)程應用層面,由傳統的(de)計(jì)算(suàn)機(jī)信息系統防護轉向了新型計(jì)算(suàn)環境下(xià)的(de)網絡空間(jiān)主動防禦體(tǐ)系建設。等保2.0時(shí)代重點對(duì)雲計(jì)算(suàn)、移動互聯、物(wù)聯網、工(gōng)業(yè)控制系統以及大數據安全等進行安全防護,确保關鍵信息基礎設施安全。
關于天科(kē)信安
天科(kē)信安是一家(jiā)專門從(cóng)事(shì)工(gōng)業(yè)信息安全的(de)科(kē)技(jì)型企業(yè)。公司依托核心團隊在信息安全、工(gōng)控自(zì)動化(huà)等領域的(de)深厚積澱,傳承與創新并舉,以工(gōng)控安全防護技(jì)術為(wèi)核心,為(wèi)國(guó)家(jiā)關鍵信息基礎設施提供完善整體(tǐ)解決方案、産品及服務。
聯系地(dì)址:山西(xī)省太原市(shì)綜改示範區(qū)學府園區(qū)長(cháng)治路(lù)227号高(gāo)新國(guó)際B座
郵編:030006
企業(yè)郵箱:sxtk_mail@163.com
電(diàn)話(huà):400-0351-366 18903512955
版權所有(yǒu):山西宅甯信息科技有限公司 備案号: