本文目录:
- 1、等保2.0针对安全区域边界技术标准的具体项目有哪些
- 2、网络安全等级保护2.0标准体系
- 3、等保2.0基本要求
等保2.0针对安全区域边界技术标准的具体项目有哪些
等保2.0针对安全区域边界技术标准的具体项目有四点:
1,“边界防护”、2,“访问控制”、3,“入侵防范”4,“安全审计”。
1、边界防护处要有有效、可控的访问控制措施,且控制粒度和力度 在等保1.0基础上有所升级。
2、访问控制要能判断出3个非法边界(非法接入、非法外联、无线使用)进行 有效控制。
3、入侵防范4级系统要使用协议转换及隔离措施。
4、安全审计网络中要能对内、外部网络攻击、恶意代码攻击有发现、分析及 防御能力,并按《网络安全法》的要求保留相关网络安全审计日志。
主要检查点
边界防护,其实按照以前的旧标准来看,本控制项的部分内容还是属于网络安全的范畴,当前等保2.0 标准中因为重要性将其单独提出结合一些新的要求,形成的 安全区域边界这样一个控制项。
基于数据监听,通过旁路监听、分析网络内部的数据包进行检测,适合有公共网络出口的网络(如互联网),其原理是依靠分析数据包包头及传输协议的某些特殊字段来进行判断和区分随身WIFI接入、智能手机接入以及NAT设备接入。
网络安全等级保护2.0标准体系
等级保护2.0标准主要特点
首先,我们来看看网络安全等级保护2.0的主要标准,如下图:
说起网络安全等级保护2.0标准的特点,马力副研究员表示,主要体现在以下三个方面:
一是,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
二是,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是,强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
“标准从一级到四级全部提出了可信验证控件。但在标准的试用期间,对于可信验证的落地还存在诸多挑战。所以,我们希望与这次参会的所有硬件厂商、软件厂商、安全服务商共同努力,把可信验证、可信计算这方面的产品产业化,来更好地支撑新标准。” 马力副研究员说到。
等级保护2.0标准的十大变化
随后,他为大家解读了等级保护2.0标准的十大变化,具体如下:
1、名称的变化
从原来的《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》,再改为《网安全等级保护基本要求》。
2、对象的变化
原来的对象是信息系统,现在等级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
3、安全要求的变化
由“安全要求”改为“安全通用要求和安全扩展要求”。
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,成为安全扩展要求。
4、章节结构的变化
第三级安全要求的目录与之前版本明显不同,以前包含技术要求、管理要求。现在的目录包含:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
对此,马力副研究员指出:“别小看只是目录架构的变化,这导致整个新标准的使用不同。1.0标准规定技术要求和管理要求全部实现。现在需要根据场景选择性的使用通用要求+某一个扩展要求。”
5、分类结构的变化
在技术部分,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
6、增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括:基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
7、增加了移动互联网安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括:无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
8、增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
9、增加了工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护需求。对工业控制系统主要增加的内容包括:室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
10、增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景(安全扩展要求)。
等级保护2.0标准的主要框架和内容
为了让大家更为直观的了解等级保护2.0标准的主要框架和内容,我重点通过PPT来阐述。
首先来看看新标准结构:
2008版基本要求文档结构如下:
新基本要求文档结构如下:
安全通用要求中的安全物理部分变化不大,见下面:
网络试用版到***版被拆分了三个部分:安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的时候,再次强调了系统管理,审计管理,安全管理,构成新的标准内容。具体如下:
演讲***,马力副研究员对几个扩展要求进行了总结展示。他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真学习新版等保要求。
等保2.0基本要求
等保2.0基本要求有以下三个特点:
1、等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架;
2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;
3、将可信验证列入各级别和各环节的主要功能要求。
定级对象的类型
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
等保2.0典型变化
1.可信计算
可信计算的基本思想是,首先在计算机系统中构建一个信任根,信任根的可信性由物理安全、技术安全和管理安全共同确保;再建立一条信任链,从信任根开始到软硬件平台、到操作系统、再到应用,一级度量认证一级、一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。目前国内可信计算已进入3.0时代。
2.安全监测能力
以信息安全事件为核心,通过对网络和安全设备日志、系统运行数据等信息的实时采集,以关联分析等方式,实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。包含系统、设备、流量、链路、威胁、攻击、审计等维度。
3.通报预警能力
《网络安全法》及《关键信息基础设施安全保护条例》同时要求建立网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险。
【网络安全等保2.0标准】的内容来源于互联网,如引用不当,请联系我们修改。
网友留言: