網(wǎng)絡(luò )安全等級保護2.0標準
等級保護2.0標準體系
2017年����,《中華人民共和國網(wǎng)絡(luò )安全法》的正式實(shí)施���,標志著(zhù)等級保護2.0的正式啟動(dòng)�����。網(wǎng)絡(luò )安全法明確“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度��?�!保ǖ?1條)����、“國家對一旦遭到破壞��、喪失功能或者數據泄露���,可能?chē)乐匚:野踩?�、國計民生����、公共利益的關(guān)鍵信息基礎設施���,在網(wǎng)絡(luò )安全等級保護制度的基礎上��,實(shí)行重點(diǎn)保護��?!保ǖ?1條)���。上述要求為網(wǎng)絡(luò )安全等級保護賦予了新的含義��,重新調整和修訂等級保護1.0標準體系�,配合網(wǎng)絡(luò )安全法的實(shí)施和落地����,指導用戶(hù)按照網(wǎng)絡(luò )安全等級保護制度的新要求��,履行網(wǎng)絡(luò )安全保護義務(wù)的意義重大��。
隨著(zhù)信息技術(shù)的發(fā)展��,等級保護對象已經(jīng)從狹義的信息系統��,擴展到網(wǎng)絡(luò )基礎設施���、云計算平臺/系統���、大數據平臺/系統��、物聯(lián)網(wǎng)�、工業(yè)控制系統���、采用移動(dòng)互聯(lián)技術(shù)的系統等����,基于新技術(shù)和新手段提出新的分等級的技術(shù)防護機制和完善的管理手段是等級保護2.0標準必須考慮的內容����。關(guān)鍵信息基礎設施在網(wǎng)絡(luò )安全等級保護制度的基礎上�����,實(shí)行重點(diǎn)保護���,基于等級保護提出的分等級的防護機制和管理手段提出關(guān)鍵信息基礎設施的加強保護措施���,確保等級保護標準和關(guān)鍵信息基礎設施保護標準的順利銜接也是等級保護2.0標準體系需要考慮的內容����。
網(wǎng)絡(luò )安全等級保護條例(總要求/上位文件)
計算機信息系統安全保護等級劃分準則(GB 17859-1999)(上位標準)
網(wǎng)絡(luò )安全等級保護實(shí)施指南(GB/T25058-2020)
網(wǎng)絡(luò )安全等級保護定級指南(GB/T22240-2020)
網(wǎng)絡(luò )安全等級保護基本要求(GB/T22239-2019)
網(wǎng)絡(luò )安全等級保護設計技術(shù)要求(GB/T25070-2019)
網(wǎng)絡(luò )安全等級保護測評要求(GB/T28448-2019)
網(wǎng)絡(luò )安全等級保護測評過(guò)程指南(GB/T28449-2018)
>>>關(guān)鍵信息基礎設施標準體系框架如下:
關(guān)鍵信息基礎設施保護條例(征求意見(jiàn)稿)(總要求/上位文件)
關(guān)鍵信息基礎設施安全保護要求(征求意見(jiàn)稿)
關(guān)鍵信息基礎設施安全控制要求(征求意見(jiàn)稿)
關(guān)鍵信息基礎設施安全控制評估方法(征求意見(jiàn)稿)
將對象范圍由原來(lái)的信息系統改為等級保護對象(信息系統�����、通信網(wǎng)絡(luò )設施和數據資源等)�,對象包括網(wǎng)絡(luò )基礎設施(廣電網(wǎng)�����、電信網(wǎng)�����、專(zhuān)用通信網(wǎng)絡(luò ) 等)�����、云計算平臺/系統�、大數據平臺/系統�、物聯(lián)網(wǎng)����、工業(yè)控制 系統�、采用移動(dòng)互聯(lián)技術(shù)的系統等���。
在1.0標準的基礎上進(jìn)行了優(yōu)化���,同時(shí)針對云計算����、移動(dòng)互聯(lián)�����、物聯(lián)網(wǎng)���、工業(yè)控制系統及大數據等新技術(shù)和新應用領(lǐng)域提出新要求����,形成了安全通用要求+新應用安全擴展要求構成的標準要求內容���。
采用了“一個(gè)中心�����,三重防護”的防護理念和分類(lèi)結構����,強化了建立縱深防御和精細防御體系的思想����。
強化了密碼技術(shù)和可信計算技術(shù)的使用�����,把可信驗證列入各個(gè)級別并逐級提出各個(gè)環(huán)節的主要可信驗證要求�����,強調通過(guò)密碼技術(shù)����、可信驗證�、安全審計和態(tài)勢感知等建立主動(dòng)防御體系的期望���。
名稱(chēng)由原來(lái)的《信息系統安全等級保護基本要求》改為《網(wǎng)絡(luò )安全等級保護基本要求》���。等級保護對象由原來(lái)的信息系統調整為基礎信息網(wǎng)絡(luò )��、信息系統(含采用移動(dòng)互聯(lián)技術(shù)的系統)�、云計算平臺/系統�、大數據應用/平臺/資源�����、物聯(lián)網(wǎng)和工業(yè)控制系統等����。
將原來(lái)各個(gè)級別的安全要求分為安全通用要求和安全擴展要求����,其中安全擴展要求包括安全擴展要求云計算安全擴展要求�����、移動(dòng)互聯(lián)安全擴展要求�����、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統安全擴展要求����。安全通用要求是不管等級保護對象形態(tài)如何必須滿(mǎn)足的要求��。
基本要求中各級技術(shù)要求修訂為“安全物理環(huán)境”����、“安全通信網(wǎng)絡(luò )”�、“安全區域邊界”���、“安全計算環(huán)境”和“安全管理中心”��;各級管理要求修訂為“安全管理制度”����、“安全管理機構”�����、“安全管理人員”�、“安全建設管理”和“安全運維管理”����。
取消了原來(lái)安全控制點(diǎn)的S���、A�、G標注�����,增加一個(gè)附錄A“關(guān)于安全通用要求和安全擴展要求的選擇和使用”���,描述等級保護對象的定級結果和安全要求之間的關(guān)系���,說(shuō)明如何根據定級的S�����、A結果選擇安全要求的相關(guān)條款��,簡(jiǎn)化了標準正文部分的內容��。增加附錄C描述等級保護安全框架和關(guān)鍵技術(shù)�、增加附錄D描述云計算應用場(chǎng)景���、附錄E描述移動(dòng)互聯(lián)應用場(chǎng)景�����、附錄F描述物聯(lián)網(wǎng)應用場(chǎng)景����、附錄G描述工業(yè)控制系統應用場(chǎng)景�、附錄H描述大數據應用場(chǎng)景����。
《GB/T 22239-2019》�、《GB/T 25070-2019》和《GB/T28448-2019》三個(gè)標準采取了統一的框架結構���。
例如�,《GB/T 22239-2019》采用的框架結構如圖1所示��。
圖1 安全通用要求框架結構
安全通用要求細分為技術(shù)要求和管理要求�����。其中技術(shù)要求包括“安全物理環(huán)境”�����、“安全通信網(wǎng)絡(luò )”�����、“安全區域邊界”��、“安全計算環(huán)境”和“安全管理中心”���;管理要求包括“安全管理制度”�����、“安全管理機構”����、“安全管理人員”��、“安全建設管理”和“安全運維管理”���。
安全通用要求針對共性化保護需求提出��,無(wú)論等級保護對象以何種形式出現����,需要根據安全保護等級實(shí)現相應級別的安全通用要求���。安全擴展要求針對個(gè)性化保護需求提出��,等級保護對象需要根據安全保護等級���、使用的特定技術(shù)或特定的應用場(chǎng)景實(shí)現安全擴展要求�。等級保護對象的安全保護需要同時(shí)落實(shí)安全通用要求和安全擴展要求提出的措施�。
針對物理機房提出的安全控制要求�。主要對象為物理環(huán)境���、物理設備和物理設施等���;涉及的安全控制點(diǎn)包括物理位置的選擇�、物理訪(fǎng)問(wèn)控制��、防盜竊和防破壞��、防雷擊�����、防火�、防水和防潮����、防靜電�、溫濕度控制���、電力供應和電磁防護�����。
針對通信網(wǎng)絡(luò )提出的安全控制要求��。主要對象為廣域網(wǎng)�、城域網(wǎng)和局域網(wǎng)等����;涉及的安全控制點(diǎn)包括網(wǎng)絡(luò )架構�����、通信傳輸和可信驗證�。
針對網(wǎng)絡(luò )邊界提出的安全控制要求�����。主要對象為系統邊界和區域邊界等��;涉及的安全控制點(diǎn)包括邊界防護�����、訪(fǎng)問(wèn)控制���、入侵防范��、惡意代碼防范���、安全審計和可信驗證�。
針對邊界內部提出的安全控制要求���。主要對象為邊界內部的所有對象�����,包括網(wǎng)絡(luò )設備����、安全設備�、服務(wù)器設備���、終端設備�����、應用系統�、數據對象和其他設備等�;涉及的安全控制點(diǎn)包括身份鑒別�、訪(fǎng)問(wèn)控制�、安全審計���、入侵防范�����、惡意代碼防范�、可信驗證�����、數據完整性�����、數據保密性���、數據備份與恢復����、剩余信息保護和個(gè)人信息保護���。
針對整個(gè)系統提出的安全管理方面的技術(shù)控制要求�����,通過(guò)技術(shù)手段實(shí)現集中管理�����;涉及的安全控制點(diǎn)包括系統管理�、審計管理���、安全管理和集中管控�����。
針對整個(gè)管理制度體系提出的安全控制要求�,涉及的安全控制點(diǎn)包括安全策略�����、管理制度�、制定和發(fā)布以及評審和修訂�����。
針對整個(gè)管理組織架構提出的安全控制要求���,涉及的安全控制點(diǎn)包括崗位設置�����、人員配備���、授權和審批�、溝通和合作以及審核和檢查���。
針對人員管理提出的安全控制要求�,涉及的安全控制點(diǎn)包括人員錄用��、人員離崗����、安全意識教育和培訓以及外部人員訪(fǎng)問(wèn)管理��。
針對安全建設過(guò)程提出的安全控制要求���,涉及的安全控制點(diǎn)包括定級和備案�����、安全方案設計�����、安全產(chǎn)品采購和使用��、自行軟件開(kāi)發(fā)�����、外包軟件開(kāi)發(fā)��、工程實(shí)施��、測試驗收����、系統交付���、等級測評和服務(wù)供應商管理���。
針對安全運維過(guò)程提出的安全控制要求�����,涉及的安全控制點(diǎn)包括環(huán)境管理��、資產(chǎn)管理�����、介質(zhì)管理����、設備維護管理�、漏洞和風(fēng)險管理��、網(wǎng)絡(luò )和系統安全管理���、惡意代碼防范管理�、配置管理�����、密碼管理�、變更管理���、備份與恢復管理�����、安全事件處置��、應急預案管理和外包運維管理���。
No.3
安全擴展要求
安全擴展要求是采用特定技術(shù)或特定應用場(chǎng)景下的等級保護對象需要增加實(shí)現的安全要求��。包括以下四方面:
1.云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實(shí)現的安全要求���。主要內容包括“基礎設施的位置”����、“虛擬化安全保護”����、“鏡像和快照保護”��、“云計算環(huán)境管理”和“云服務(wù)商選擇”等�。
2.移動(dòng)互聯(lián)安全擴展要求是針對移動(dòng)終端��、移動(dòng)應用和無(wú)線(xiàn)網(wǎng)絡(luò )提出的安全要求��,與安全通用要求一起構成針對采用移動(dòng)互聯(lián)技術(shù)的等級保護對象的完整安全要求��。主要內容包括“無(wú)線(xiàn)接入點(diǎn)的物理位置”���、“移動(dòng)終端管控”�����、“移動(dòng)應用管控”����、“移動(dòng)應用軟件采購”和“移動(dòng)應用軟件開(kāi)發(fā)”等�����。
3.物聯(lián)網(wǎng)安全擴展要求是針對感知層提出的特殊安全要求�,與安全通用要求一起構成針對物聯(lián)網(wǎng)的完整安全要求��。主要內容包括“感知節點(diǎn)的物理防護”����、“感知節點(diǎn)設備安全”����、“網(wǎng)關(guān)節點(diǎn)設備安全”����、“感知節點(diǎn)的管理”和“數據融合處理”等����。
等保2.0標準是國家從管理的角度總體把控���,各行業(yè)需從制度����、工具����、產(chǎn)品和平臺等方面進(jìn)行落地�。各行業(yè)信息系統各不相同�,涉及的安全產(chǎn)品復雜多樣��,牽扯到的運維平臺五花八門(mén)�����?�!缎畔踩夹g(shù)網(wǎng)絡(luò )安全等級保護基本要求》GB/T22239-2019標準的出臺�����,為信息化建設的安全和穩定給出了一個(gè)比較明確的方向��,本次小編想通過(guò)對此文的研究����,為各位說(shuō)明新的等級保護標準下�����,到底要不要進(jìn)行運維監控系統建設��?首先從等保本次的文件中可以總結發(fā)現��,新增了以下內容(標紅色):
通過(guò)對比總結不難發(fā)現���,等保2.0三級及以上測評項��,新增“集中管控:“應劃分出特定的管理區域���,對分布在網(wǎng)絡(luò )中的安全設備或安全組件進(jìn)行管控�;應對網(wǎng)絡(luò )鏈路����、安全設備�����、網(wǎng)絡(luò )設備和服務(wù)器等的運行狀況��、審計數據進(jìn)行集中監測�、匯總���、分析�;應能對網(wǎng)絡(luò )中發(fā)生的各類(lèi)安全事件進(jìn)行識別�、報警和分析等�?��!笨梢钥闯?���,在設備管控���、服務(wù)器/設備/鏈路運行狀況監測����、報警和分析等�,是運維軟件特有的功能���,其他網(wǎng)絡(luò )安全產(chǎn)品不可替代���。作為曾經(jīng)被定位為錦上添花的網(wǎng)管軟件���,經(jīng)歷近20年的風(fēng)雨�����,隨著(zhù)架構�、技術(shù)和功能不斷突破�����、完善��、優(yōu)化����,逐漸被納入安全運維領(lǐng)域��,現名為運維軟件或運維平臺亦或一體化運維監控軟件�����,終于守得云開(kāi)見(jiàn)月明����。 |
