比特币和比特币现金区别
新聞動態
Shanxi Tian Ke Information Security Technology Co., Ltd.
網絡安全等級保護(等保2.0)解讀

前言

2018年12月25日,由中關村可信計算產業聯盟主辦的“等級保護新標準解讀培訓班”在北京裕龍國際酒店舉行。沈昌祥院士、公安部范春玲、李秋香、陳廣勇等專家老師對網絡安全等級保護制度進行了細致解讀,為了更好貫徹落實國家網絡安全等級保護制度,特針對行業內發布的相關內容進行整理,以便學習。


等級保護標準變化

等級保護新標準在編制過程中總共經歷了兩次大的變化,第一次是2017年8月根據國家網信辦和公安部的意見將5個分冊進行了合并,形成一個標準,并在2017年10月參加“信安標委WG5工作組在研標準推進會”,針對合并后的標準送審稿進行征求意見,經127家成員單位意見匯總后,形成修訂報批稿;第二次大的變化是2018年7月根據沈昌祥院士的意見再次調整分類結構和強化可信計算,充分體現一個中心、三重防御的思想并強化可信計算安全技術要求的使用。

經過這兩次大變化后的《網絡安全等級保護基本要求》有10個章節8個附錄,其中第6、7、8、9、10章為五個安全等級的安全要求章節,8個附錄分別為:安全要求的選擇和使用、關于等級保護對象整體安全保護能力的要求、等級保護安全框架和關鍵技術使用要求、云計算應用場景說明、移動互聯應用場景說明、物聯網應用場景說明、工業控制系統應用場景說明和大數據應用場景說明。

標準名稱由原來的《信息安全技術 信息系統安全等級保護基本要求》變更為《信息安全技術 網絡安全等級保護基本要求》,與《中華人民共和國網絡安全法》保持一致。等級保護對象由原來的“信息系統”改為“等級保護對象(網絡和信息系統)”,安全等級保護對象包括基礎信息網絡(廣電網、電信網等)、信息系統(采用傳統技術的系統)、云計算平臺、大數據平臺、移動互聯、物聯網和工業控制系統等。新版安全要求在原有通用安全要求的基礎上新增安全擴展要求,安全擴展要求主要針對云計算、移動互聯、物聯網和工業控制系統提出了特殊安全要求。


等級保護章節結構

調整后每一級的安全要求均包括安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求這幾個部分:


安全通用要求規定了各類等級保護對象形態如何滿足要求。

云計算安全擴展要求章節針對云計算的特點提出特殊保護要求。對云計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”等方面。

需要注意的是針對云計算環境的定級,對于云租戶的定級仍按照傳統的定級思路,而對于云計算平臺的定級則分兩種情況,一種是中小型云計算平臺,可將整個平臺作為整體定級對象;另一種是針對大型云計算平臺,應將云計算基礎設施和有關輔助服務系統劃分為不同定級對象(比如大型云計算平臺的計費系統可單獨作為一個定級對象)。

移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。

物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。針對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。

工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面,針對工業控制系統實時性要求高的特點調整了“漏洞和風險管理”和“惡意代碼防范管理”方面的要求。


控制措施分類結構

調整后的控制措施分類結構如下:

技術要求“從面到點”提出安全要求,“安全物理環境”主要對機房設施提出要求,“安全通信網絡”和“安全區域邊界”主要對網絡整體提出要求,“安全計算環境”主要對構成節點(包括業務應用和數據)提出要求,“安全管理中心”主要對系統管理、集中管控等提出要求。

管理要求“從元素到活動”提出安全要求,“安全管理制度”、“安全管理機構”和“安全管理人員”主要提出了管理不可缺少的制度、機構和人員三要素,“安全建設管理”及“安全運維管理”主要提出了建設過程和運維過程的安全活動管理要求。

安全通信網絡、安全區域邊界、安全管理中心的第四級在第三級的基礎上增加了7個條款:

1)應按照業務服務重要程度分配帶寬,優先保障重要業務;

2)應在通信前基于密碼技術對通信的雙方進行驗證或認證;

3)應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理;

4)應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時,對其進行有效阻斷;

5)應采用可信驗證機制對接入到網絡中的設備進行可信驗證,保證接入的網絡設備真實可信;

6)應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換;

7)應保證系統范圍內的時間由唯 一確定的時鐘產生,以保證各種數據的管理和分析在時間上的一致性。

安全計算環境的第四級在第三級的基礎上增加了5個條款:

1)登錄用戶執行重要操作時應再次進行身份鑒別;

2)應對主體、客體設置安全標記,并依據安全標記和強制訪問控制規則確定主體對客體的訪問;

3)應采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷;

4)在可能涉及法律責任認定的應用中,應采用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的抗抵賴和數據接收行為的抗抵賴;

5)應建立異地災難備份中心,提供業務應用的實時切換。

惡意代碼防范,從一級到四級主要做了如下要求:

第一級:應安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫。

第二級:應安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫。

第三級:應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。

第四級:應采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。


從標準控制措施整體看,對可信控制點有所增加,各個級別和層面均增加了可信驗證控制點,從第一級到第四級均在“安全通信網絡”、“安全區域邊界”和“安全計算環境”中增加了“可信驗證”控制點,并且從第二級開始,增加了安全管理中心技術要求。

在等級保護測評方面,對等級保護符合性評價方法較之前有了很大不同,新的測評要求增加了重點測評項和常規測評項,重點測評項實行一票否決制,重點測評項優先通過測評后,才進行常規測評項測評。目前公安部正研究并整理各保護級別的重點測評項列表。


結束語

網絡安全等級保護是我國信息安全保障的基本制度性工作,是網絡空間安全保障體系的重要支撐,也是應對惡意APT攻擊的有效措施。在法律支撐層面,我國的計算機系統等級保護條例提升為國家基礎性法律制度,即“網絡安全法”中的網絡安全等級保護制度;在科學技術層面,由分層被動防護發展到了科學安全框架下的主動免疫防護;在工程應用層面,由傳統的計算機信息系統防護轉向了新型計算環境下的網絡空間主動防御體系建設。等保2.0時代重點對云計算、移動互聯、物聯網、工業控制系統以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。


關于天科信安

天科信安是一家專門從事工業信息安全的科技型企業。公司依托核心團隊在信息安全、工控自動化等領域的深厚積淀,傳承與創新并舉,以工控安全防護技術為核心,為國家關鍵信息基礎設施提供全方位整體解決方案、產品及服務。

山西天科信息安全科技有限公司
聯系  Contact
13835183891
地 址:山西綜改示范區太原學府園區開拓巷12號10幢創業大樓B座
郵 編:030006
電話:13835183891  高先生
電話:13903466384  蘇先生
企業郵箱:[email protected]
留言  Message
版權所有:山西天科信息安全科技有限公司 電話:13903466384 備案號:晉ICP備18011408號
top
比特币和比特币现金区别 球棎足球比分007 辽宁11选5 皇冠即时比分赔率 雷速体育官方指定买球下注app 比分大师最新版下载 江苏状元麻将下载 配多多配资 捷报比分足球即时比分 竞彩比分4串1中了157亿 足彩比分推荐预测app 有没有打杭州麻将的群 黑龙江11选5 广东麻将100牌型图解 17玩湖南麻将有没有外挂 股票涨跌怎么算 八闽福建麻将安卓版下载