《2022年等保.解读 .pdf》由会员分享,可在线阅读,更多相关《2022年等保.解读 .pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、等保 2.0 解读信息安全等级保护1.0 :以 GB17859-1999计算机信息系统安全保护等级划分准则为根标准;以 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求为基础标准;习惯将基本要求的2008 版本及其配套规范标准称为等保1.0 。网络安全等级保护2.0 :2014 年开始制定 2.0 标准,修订了通用安全要求,增加了云计算、移动互联、工控、物联网等安全扩展要求。2019 年 5 月 13 日发布;2019 年 12 月 1日开始实施。名称变化:原来:信息系统安全等级保护基本要求改为:信息安全等级保护基本要求再改为:(与网络安全法保持一致)网络安全等级保护基本要
2、求主要标准文件:网络安全等级保护条例(总要求/ 上位文件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)网络安全等级保护实施指南(GB/T25058)(正在修订)网络安全等级保护定级指南(GB/T22240)(正在修订)网络安全等级保护基本要求(GB/T22239-2019)网络安全等级保护设计技术要求(GB/T25070-2019)网络安全等级保护测评要求(GB/T28448-2019)网络安全等级保护测评过程指南(GB/T28449-2018)等保 2.0 的“变与不变”:“不变”:等级保护“五个级别”不变:1 自主保护级; 2 指导保护级; 3 监督保护级;
3、 4 强制保护级; 5 转控保护级等级保护 “五个阶段” 不变: 1定级;2 备案;3 安全建设和整改; 4 信息安全等级测评;5 信息安全检查等级保护“主体职责”不变:公安机关;国家保密工作部门;国家密码管理部门;工业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使用新技术的信息系统需要同时满足“通用要求 +安全扩展”的要求“优化”通用要求,删除了过时的测评项(增加云计算、工控、移动互联、物联网安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审
4、核测评达到75 分以上才算基本符名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 8 页 - - - - - - - - - 合要求对象变化:原来:信息系统改为:等级保护对象(网络和信息系统)安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台 / 系统、大数据平台/ 系统、物联网、工业控制系统、采用移动互联技术的系统等. 安全要求变化:原来:安全要求改为:安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算
5、、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求. 章节结构的变化:8 第三级安全要求8.1 安全通用要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联网安全扩展要求8.5 工业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017 试用稿)技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理技术部分: ( 正式发布稿 ) 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心管理部分:安全管理制度、安全管理机构、安全管理人员、安全建设管理
6、、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统一,安全管理中心支持下的三重防护结构框架2.通用安全要求 +新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范3.把基于可信根的可信验证列入各级别和各环节的主要功能要求新等级保护建设的核心思想:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系, 使得系统能够按照预期运行,免受信息安全攻击和破坏。可信:即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期
7、的方式执行,不会出现非预期的流程,从而保障了业务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 8 页 - - - - - - - - - 系统安全可信。可控:即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。可管:即通过构建集中管控、最小权限管理与三权分立的管理
8、平台,为管理员创建一个工作平台, 使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管新增要求项:要求项新增要求项内容对应产品情况入侵防范应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为防火墙、IDS、IPS 入侵防范应对网络行为进行分析,对网络攻击特别是新型网络攻击行为的分析APT 、流量分析恶意代码防范关键网络节点处对垃圾邮件进行检测和防护,维护防护机制的升级和更新防垃圾邮件系统可信验证基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,可信网关边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信准入控制、可信网
9、关数据完整性应采用校验技术或密码技术 保证重要数据在传输过程中的完整性, 包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等密码技术、电子水印人个信息安全应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除文档安全集中管控应能对网络中发生的各类安全事件进行识别、报警和分析安全管理平台集中管控应确保审计记录的留存时间符合法律法规要求日志审计网络安全新思路:独立:独立安全运营安全与业务:一体之两翼,驱动之双轮;只有独立于业务之外,才能保证不受业务制约等级按级监管保护级( GB17859)可信保障一级自主保护自主访问基础软件可信二级指导保护审计(自主访
10、问)应用程序验证三级监督检查标记(强制访问)执行动态度量四级强制监督检查结构化保证实时关联感知五级专门监督检查实时监控智能处置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 8 页 - - - - - - - - - 互联:安全的互联立足于云计算、大数据、物联网、工业互联网、关键信息基础设施保护、移动互联网等新技术等,解决新技术应用的“两面性”问题,避免发挥价值时因安全造成负面影响智能:安全的智能化缓解信息系统复杂性增加与安全人员短缺之间的矛盾;安全的智能化是提升检测分析
11、能力的有效手段1、被动变主动事前防御:风险评估、威胁情报事中响应:防火墙、防病毒、入侵检测、网络审计、流检测、APT 、态势感知事后审计:SOC 、日志审计、大数据分析2、静态变动态PDR(防护检测响应) PDRR(防护检测恢复响应)PPDR(预测防御检测响应)3、防御变对抗攻方设法利用、瘫痪和破坏敌方的网络系统守方保证己方网络系统的完好,免遭敌方利用、瘫痪和破坏4、合规变实数利于态势感知、行为分析相关软件进行安全合规检测5、孤立变融合安全中台是由业务中台、数据中台(技术中台) 等构建起来的闭环安全运营体系,构建单位差异化安全核心竞争力。网络安全等级保护2.0- 主要标准介绍云计算安全扩展要求
12、:云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。移动互联安全扩展要求:移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。物联网安全扩展要求:物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感
13、知节点的管理”和“数据融合处理”等方面。工控系统安全扩展要求:工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。应用场景说明:增加附录C 描述等级保护安全框架和关键技术,增加附录D 描述云计算应用场景,附录E描述移动互联应用场景,附录F 描述物联网应用场景,附录G描述工业控制系统应用场景。附录 H描述大数据应用场景(安全扩展要求)。基本要求结构变化:原来基本要求:名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
14、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 8 页 - - - - - - - - - 新基本要求:安全物理环境:分类原有控制点新的控制点1 物理和环境安全物理位置选择1 安全物理环境物理位置的选择2 物理访问控制2 物理访问控制3 防盗窃和防破坏3 防盗窃和防破坏4 防雷击4 防雷击5 防火5 防火6 防水和防潮6 防水和防潮7 防静电7 防静电8 温湿度控制8 温湿度控制9 电力供应9 电力供应10 电磁防护10 电磁防护名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -
15、名师精心整理 - - - - - - - 第 5 页,共 8 页 - - - - - - - - - 安全通信网络:分类原有控制点新的控制点1 网络和通信安全网络架构1 安全通信网络网络架构2 通信传输2 通信传输3 边界防护3 可信验证4 访问控制5 入侵防范6 恶意代码防范7 安全审计8 集中管控安全区域边界:分类原有控制点新的控制点1 网络和通信安全网络架构安全区域边界2 通信传输3 边界防护1 边界防护4 访问控制2 访问控制5 入侵防范3 入侵防范6 恶意代码防范4 恶意代码防范7 安全审计5 安全审计8 集中管控6 可信验证安全管理中心:分类原有控制点新的控制点1 网络和通信安全网
16、络架构1 安全管理中心系统管理2 通信传输2 审计管理3 边界防护3 安全管理4 访问控制5 入侵防范6 恶意代码防范7 安全审计8 集中管控4 集中管控安全计算环境:分类原有控制点新的控制点1 设备和计算安全应用和数据安全身份鉴别1 安全计算环境身份鉴别2 访问控制2 访问控制3 安全审计3 安全审计4 入侵防范4 入侵防范名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 8 页 - - - - - - - - - 5 恶意代码防范5 恶意代码防范6 资源控制6 可信验证
17、7 1 身份鉴别8 数据完整性2 访问控制9 数据保密性3 安全审计10 数据备份恢复4 软件容错11 剩余信息保护资源控制12 5 个人信息保护6 数据完整性7 数据保密性8 数据备份恢复9 剩余信息保护10 个人信息保护通用安全要求:网络安全等级保护的核心是:保证不同安全保护等级的对象具有相适应的安全保护能力。网络安全等级保护安全框架:安全管理中心风险管理体系安全管理体系安全技术体系网络信任体系国家信息安全等级保护政策标准体系国家网络安全法律法规政策体系网络安全战略规划目标通信网络区域边界计算环境组织管理机制建设安全监测通报预警应急处置态势感知能力建设国家信息安全等级保护制度技术检测安全可
18、控队伍建设教育培训经费保障安全规划网络安全综合防御体系网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等等级保护对象总体安全策略定级备案安全建设等级测评安全整改监督检查基本要求内容:技术要求详见附录A;管理要求详见附录B;关键技术详见附录C 关键技术设计要求详见D 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 8 页 - - - - - - - - - 等保 2.0 附录 .xlsx等级保护安全技术设计框架(总体方案要点):第一级系统安全保护
19、环境第一级安全通信网络第一级安全区域边界第一级安全计算环境第二级系统安全保护环境第二级安全管理中心第二级安全通信网络第二级安全区域边界第二级安全计算环境第三级系统安全保护环境第三级安全管理中心第三级安全通信网络第三级安全区域边界第三级安全计算环境第四级系统安全保护环境第四级安全管理中心第四级安全通信网络第四级安全区域边界第四级安全计算环境第五级系统安全保护环境第五级安全管理中心第五级安全通信网络第五级安全区域边界第五级安全计算环境定级系统互联跨定级系统安全管理中心/安全互联部件“一个中心三重防护”的功能机制:安全计算环境安全区域边界安全通信网络安全管理中心一级系统安全保护环境用户身份鉴别、 自
20、主访问控制、 用户数据完整性保护、 恶意代码防范包过滤、恶意代码防范数据传输完整性保护二级系统安全保护环境用户身份鉴别、 自主访问控制、 系统安全审计、 用户数据完整性保护、用户数据保密性保护、恶意代码防范、 客体安全重用包过滤、 安全审计、完整性保护、恶意代码防范安全审计、 数据传输完整性保护、数据传输保密性保护系统管理、审计管理三级系统安全保护环境用户身份鉴别、 自主访问控制、 标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、 客体安全重用、 程序可信执行保护访问控制 、包过滤、安全审计、完整性保护安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护系统管理、 安全管理、 审计管理四级系统安全保护环境用户身份鉴别、 自主访问控制、 标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、 客体安全重用、 程序可信执行保护访问控制、包过滤、安全审计、完整性保护安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护系统管理、安全管理、审计管理名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 8 页 - - - - - - - - -