大事情 簡單說 等保2.0與1.0不同之處

大事情 簡單說 等保2.0與1.0不同之處

序:目前由于眾多標準處于報批狀態 ,本文章由?GB/T 22239-2018 (代替原有 GB/T 22239-2008)作為解讀依據

基于新等保2.0與1.0的不同之處,全面解讀。

image.png

目前的等級保護2.0其他標準文件的報批狀態,等級保護標準由SAC(中國國家標準化管理委員會) 負責制定審批(WG5工作組負責)情況見下表。

image.png

1.網絡安全等級保護2.0的名稱變化。

看似不起眼的一點但是很重要。

以前叫《信息安全等級保護》?2.0稱為《網絡安全等級保護》為什么這么稱呼? ?看看網絡安全法就知道了

引用《中華人民共和國網絡安全法》(第二十一條)

第二十一條?國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:

(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;

(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;

(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;

(四)采取數據分類、重要數據備份和加密等措施;

(五)法律、行政法規規定的其他義務。

很明顯法律規定的是網絡安全等級保護,還叫信息安全等級保護的是不專業的。

名稱變化的地方還有,原來的幾個層面要求變成了以下幾個稱呼:安全物理環境,安全通信網絡,安全區域邊界,安全計算環境,安全管理中心(新增)

image.png

2.等級保護2.0 要求變化 ?變為通用安全要求+擴展安全要求項

image.png

通用要求為以下:

image.png

擴展安全要求項有以下種類:?

特別說明下 以前的征求意稿含有大數據內容 新標準已經將大數據取消

image.png

其他具體要求:

2.1云計算擴展安全要求

image.png

image.png

2.2移動互聯網擴展安全要求

image.png

image.png

2.3物聯網擴展安全要求

image.png

image.png

其他的條目還沒整理完各位先看標準文件吧。

3.網絡安全等級保護2.0的 ?新增要求與具體條目


3.1 新增內容可信計算

可信計算/驗證(沈昌祥教授提案) ?不知道可信計算可以百度

典型條目:

三級要求?

8.2.4.1 身份鑒別

當遠程管理云計算平臺中設備時,管理終端和云計算平臺之間應建立雙向身份驗證機制。?

典型條目:

三級要求?

?8.1.2.3 可信驗證

可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心。

條目的重點在于雙向身份驗證,服務器驗證客戶端身份,客戶端也需要驗證服務器身份。

國內對應TCM 芯片模塊,目前國內設備廠家只有幾家擁有。還需要將結果發送安全管理中心。

實現條目還有一個老辦法就是統一認證中心,就是接入網絡內的所有用戶都需要進行統一身份驗證,有點像大學的統一身份認證,都需要輸入學號,密碼等,才可以訪問學校其他網站和資源。

3.2 ?新增安全管理中心

典型條目:8.1.5 安全管理中心

8.1.5.1 系統管理

本項要求包括:

a) 應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計;

b) 應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。

8.1.5.2 審計管理

本項要求包括:

a) 應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計;

b) 應通過審計管理員對審計記錄應進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。

8.1.5.3 安全管理

本項要求包括:

a) 應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對這些操作進行審計;?

b) 應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。?

8.1.5.4 集中管控

本項要求包括:

a) 應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;?

b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;?

c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;?

d) 應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;?

e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;?

f) 應能對網絡中發生的各類安全事件進行識別、報警和分析。?

看條目要求代表幾類產品:

安全日志中心(各種系統日志收集 有分析收集查看日志功能)

SOC(早幾年就有的產品,其實沒有用起來,主要是要各種廠商開放對應接口為困難點)

安全態勢感知

3.3 新增反垃圾郵件措施要求

8.1.3.4 惡意代碼和垃圾郵件防范

b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。?

反垃圾郵件網關,沒什么好說的,如果單位內部小沒有使用郵件習慣,個人判斷這條可忽略

3.4 ?新增移動和終端管控要求

8.3.3 安全計算環境

8.3.3.1 移動終端管控

本項要求包括:

a) 應保證移動終端安裝、注冊并運行終端管理客戶端軟件;?

b) 移動終端應接受移動終端管理服務端的設備生命周期管理、設備遠程控制,如:遠程鎖定、

遠程擦除等。?

8.3.3.2 移動應用管控

本項要求包括:

a) 應具有選擇應用軟件安裝、運行的功能;

b) 應只允許指定證書簽名的應用軟件安裝和運行;

c) 應具有軟件白名單功能,應能根據白名單控制應用軟件安裝、運行。?

一些終端管控要求的實現:

WIFI連接證書,需要本地有證書才可以連接WIFI。PC也有證書要求。

PC管控或強化軟件,如賽門鐵克終端管理,白細胞(系統安全強化軟件)

4.網絡安全等級保護2.0的合格分數與測評周期變化。

依據:根據某國家等保辦BOSS發言,新等保測評通過分數為75。目前沒有正式文件各位僅作為參考。image.png

引用依據:GB/T 22239-2018?信息安全技術?網絡安全等級保護基本要求

發表評論

已有 7 條評論

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php jizzz