新标准,新方案
一.网络安全法和网络安全等级保护制度
网络安全法中明确地提到,国家实行网络安全等级保护制度,信息安全的建设要遵照等级保护标准来做。
二.为什么要开展网络安全等级保护工作
(一)体现国家管理意志,构建国家信息安全保护体系
等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作,如《中华人民共和国网络安全法》和《网络安全管理办法》。
(二)维护国家安全,保护公众利益,保障和促进信息化发展
落实个人及单位的网络安全保护义务,通过等级保护工作发现单位信息系统存在的安全隐患和不足,通过安全整改提高信息系统的信息安全防护能力,合理规避风险。
三.网络安全等级保护进入2.0时代
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,《网络安全法》出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准(以下简称等保2.0标准)正式发布,将于2019年12月1日开始实施。
等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
四.等级保护2.0的扩展要求
为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等保2.0要求分为安全通用要求和安全扩展要求。《网络安全等级保护基本要求》针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。
扩展要求应用场景说明:
(一)云计算应用场景
云计算平台/系统由设施、硬件、 资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、 基础设施即服务(IaaS)是三种基本的云计算服务模式。如图所示,在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
云计算服务模式与控制范围的关系
(二)移动互联应用场景
采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为。等保2.0移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求,与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。
移动互联应用架构
(三)物联网应用场景
对物联网的安全防护包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护。物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。
物联网构成
(四)工业控制系统应用场景
等保2.0参考IE C 62264-1的层次结构模型划分,同时将SC ADA 系统、DCS系统和 PLC 系统等模 荆的共性进行抽象,对工业控制系统采用层次模型进行说明。层次模型从上到下共分为5个层级,依次为企业资源层、生产管理 层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。
功能层次模型
五.等级保护工作流程及标准体系
等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保2.0标准仍然将围绕这5个规定动作开展工作。
等级保护工作流程及标准
《实施指南》的主要内容是描述等级保护工作整个过程。
《定级指南》主要内容是有关等保对象定级,基本要求是最为核心一个标准,主要内容是对等保对象提出安全保护能力。
《安全设计技术要求》是实现基本要求的最佳实践。
《测评要求》是对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门依法进行的网络安全等级保护监督检查参考使用。
《测评规程指南》是对测评机构的工作过程进行规范化管理。
六.等级保护工作主要内容
七.等级保护安全框架
等保2.0标准依然采用“一个中心、三重防护”的理念,通过实施三重防护主动防御框架,能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。
等级保护框架
八.基于安全框架的建设方案
(一)明确等级保护对象,开展定级备案工作
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
国舜股份等保咨询顾问可指导客户完成定级备案相关工作:
以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;
组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
保证定级结果经过相关部门的批准;
将备案材料报主管部门和相应公安机关备案。
定级备案相关文件示例
(二)安全建设及整改工作
确定等级保护对象的安全保护等级后,根据不同对象的安全保护等级完成安全建设或安全整改工作。构建具备相应等级安全保护能力的网络安全综合防御体系。安全建设及整改工作包括以下工作内容:
1.系统调研。通过访谈、填表等形式,梳理等级保护对象的基本信息、物理位置、管理策略、网络及设备部署、业务种类及重要性、业务流程等信息。
2.差距分析。国舜股份等保咨询项目组通过准备好的差距分析表,客户确认现场沟通的对象(部门和人员),准备相应的检查内容。在差距分析阶段,可以通过收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
3.建设方案。国舜股份结合主动免疫的主动防御思想和等级保护的防御体系,构建可信安全管理中心支持下的主动免疫三重防护框架,围绕安全管理中心实现系统管理、安全管理和审计管理,针对等级保护对象特点建立安全技术体系和安全管理体系。
4.问题整改。依据建设方案,协助客户完成问题整改。整改内容包括但不限于网络结构合理化调整、应用系统安全功能完善、安全配置加固、信息安全体系建设、信息安全事件应急体系建设等。
安全建设及整改
(三)国舜股份助力安全规划和运营
国舜股份依据国家网络安全等级保护政策和标准,协助客户开展信息安全策略优化、安全规划、通报预警、应急处置、态势感知、能力建设、技术检测、教育培训等工作。