序:目前由于众多标准处于报批状态 ,本文章由 GB/T 22239-2018 (代替原有 GB/T 22239-2008)作为解读依据
基于新等保2.0与1.0的不同之处,全面解读。
目前的等级保护2.0其他标准文件的报批状态,等级保护标准由SAC(中国国家标准化管理委员会) 负责制定审批(WG5工作组负责)情况见下表。
1.网络安全等级保护2.0的名称变化。
看似不起眼的一点但是很重要。
以前叫《信息安全等级保护》 2.0称为《网络安全等级保护》为什么这么称呼? 看看网络安全法就知道了
引用《中华人民共和国网络安全法》(第二十一条)
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
很明显法律规定的是网络安全等级保护,还叫信息安全等级保护的是不专业的。
名称变化的地方还有,原来的几个层面要求变成了以下几个称呼:安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心(新增)
2.等级保护2.0 要求变化 变为通用安全要求+扩展安全要求项
通用要求为以下:
扩展安全要求项有以下种类:
特别说明下 以前的征求意稿含有大数据内容 新标准已经将大数据取消
其他具体要求:
2.1云计算扩展安全要求
2.2移动互联网扩展安全要求
2.3物联网扩展安全要求
其他的条目还没整理完各位先看标准文件吧。
3.网络安全等级保护2.0的 新增要求与具体条目
3.1 新增内容可信计算
可信计算/验证(沈昌祥教授提案) 不知道可信计算可以百度
典型条目:
三级要求
8.2.4.1 身份鉴别
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。
典型条目:
三级要求
8.1.2.3 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
条目的重点在于双向身份验证,服务器验证客户端身份,客户端也需要验证服务器身份。
国内对应TCM 芯片模块,目前国内设备厂家只有几家拥有。还需要将结果发送安全管理中心。
实现条目还有一个老办法就是统一认证中心,就是接入网络内的所有用户都需要进行统一身份验证,有点像大学的统一身份认证,都需要输入学号,密码等,才可以访问学校其他网站和资源。
3.2 新增安全管理中心
典型条目:8.1.5 安全管理中心
8.1.5.1 系统管理
本项要求包括:
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
8.1.5.2 审计管理
本项要求包括:
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5.3 安全管理
本项要求包括:
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
8.1.5.4 集中管控
本项要求包括:
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
看条目要求代表几类产品:
安全日志中心(各种系统日志收集 有分析收集查看日志功能)
SOC(早几年就有的产品,其实没有用起来,主要是要各种厂商开放对应接口为困难点)
安全态势感知
3.3 新增反垃圾邮件措施要求
8.1.3.4 恶意代码和垃圾邮件防范
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
反垃圾邮件网关,没什么好说的,如果单位内部小没有使用邮件习惯,个人判断这条可忽略
3.4 新增移动和终端管控要求
8.3.3 安全计算环境
8.3.3.1 移动终端管控
本项要求包括:
a) 应保证移动终端安装、注册并运行终端管理客户端软件;
b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、
远程擦除等。
8.3.3.2 移动应用管控
本项要求包括:
a) 应具有选择应用软件安装、运行的功能;
b) 应只允许指定证书签名的应用软件安装和运行;
c) 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。
一些终端管控要求的实现:
WIFI连接证书,需要本地有证书才可以连接WIFI。PC也有证书要求。
PC管控或强化软件,如赛门铁克终端管理,白细胞(系统安全强化软件)
4.网络安全等级保护2.0的合格分数与测评周期变化。
依据:根据某国家等保办BOSS发言,新等保测评通过分数为75。目前没有正式文件各位仅作为参考。
引用依据:GB/T 22239-2018 信息安全技术 网络安全等级保护基本要求
来源:freebuf.com 2019-05-08 10:45:13 by: redhatd
请登录后发表评论
注册