【分享吧】等级保护2.0技术要求变更浅析

等级保护2.0技术要求变更浅析
自2008年开始实施的《信息安全技术信息系统安全等级保护基本要求》（以下简称为：等保1.0），在信息技术的快速发展、各类新型应用层出不穷的先进时代已明显力不从心，在时效性、易用性、可操作性上需要进一步完善。公安部为了更好适应移动互联网、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，需要对等保1.0进行修订，进而提出了《信息安全技术网络安全等级保护基本要求》（以下简称为：等保2.0）。

1.标准名称的变化
等级保护2.0中将原《信息安全技术信息系统安全等级保护基本要求》更名为《信息安全技术网络安全等级保护基本要求》，目的在于与《中华人民共和国网络安全法》中的相关法律条文保持一致。
2.测评流程与定级标准
测评流程方面并无改变，仍由定级、备案、建设整改、等级测评、监督检查五部分组成，其中，监督检查贯穿整个测评过程，以保证整个测评过程的高效率、高质量。

系统定级方面遵循，由系统发生故障后所影响的范围与程度进行定级，定级标准如图示：

3.技术要求结构变更
技术方面，等保2.0 中安全建设由：安全通用要求、安全拓展要求两部分构成。安全拓展要求是根据不同形态的等级保护对象面临的威胁有所不同，安全保护需求有所差异，为了便于实现对不同级别和不同形态的等级保护对象的共性化和个性化保护，具体包括：云计算安全拓展要求、移动互联网安全拓展要求、物联网安全拓展要求、工业控制安全拓展要求、大数据安全拓展要求。固等保2.0技术方面由以下六个标准组成：
GB/T 22239.1信息安全技术网络安全等级保护基本要求安全通用要求
GB/T 22239.2信息安全技术网络安全等级保护基本要求云计算安全拓展要求
GB/T 22239.3信息安全技术网络安全等级保护基本要求移动互联安全拓展要求
GB/T 22239.4信息安全技术网络安全等级保护基本要求物联网安全拓展要求
GB/T 22239.5信息安全技术网络安全等级保护基本要求工业控制安全拓展要求
GB/T 22239.6信息安全技术网络安全等级保护基本要求大数据安全拓展要求
新等保建设时需要同时满足安全通用要求与安全拓展要求，两项要求在技术方面中有诸多重叠，但在拓展要求中会提出针对业务特性的一些细则要求。
以云计算为例。传统IDC业务中，租户租赁的资源均物理独立、边界清晰、但新增业务时需要耗费大量的时间去搭建环境。新型的IDC业务中引入了虚拟化平台、共享弹性资源、业务自动化的技术，大大增加了IDC业务的扩展的灵活性，但却新增了许多的安全问题，例如：由于VM间安全不可控、流量不可视，导致的审计取证困难；由于数据存储位置不可知导致的无法有效对敏感数据进行保护；云IDC的集中管理带来的管理员权限滥用风险。诸多的安全问题在等保1.0中已经无法找到相对应的要求去解决。
因此在等保2.0中针对云计算业务的特性，在《云计算安全拓展安全要求》中提出了对应的要求，主要的变化大致为以下几点：
增加了主体
托管在云平台上的信息系统与云平台本身分为两个主体。云平台在接收三级等保信息系统的前，必须保证平台自身已经通过等保三级。一方面意味着其安全性达到了国家标准的较高标准，另一方面可以助力云平台所承载业务的安全水平上升，有利于业务系统自身的等保保护安全建设。反之，若云平台不通过等保三级，则无法承载三级或三级以上的信息系统。
明确了责任划分
明确了物理机房、物理服务器、物理网络和云平台软件的安全由云服务商负责。租户需要对业务系统安全、虚拟机OS安全、数据安全、虚拟网络安全负责。
级别匹配
云平台的安全保护等级不能低于所承载信息系统的安全保护等级，即云平台只能承载等保同级别或低级别的租户系统。
对象增加
云计算平台的测评对象较传统测评对象新增了虚拟化相关的测评对象。
4.通用要求变更
等保2.0中安全通用要求在等保1.0基本技术要求部分的基础上进行了一些调整，由原来的五个部分：物理安全、网络安全、主机安全、应用安全、数据安全，调整为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
管理要求也由原来的安全管理制度、安全管理机构、人员安全管理、系统安全管理、系统运维管理五项变更为：安全策略和管理制度、安全机构和人员、安全建设管理、安全运维管理四项。由原来的153项调整为115项，要求项虽大幅减少，但安全要求并未降级，将原冗余条款进行优化合并。相对于原1.0标准，新标准结构更合理，更具可操作性。
具体变化结构如图示：

以下以等保三级系统为例，对几个基本技术要求中的重点的变更项目与新增项目进行一个对比：
  4.1网络和通信安全VS原来网络安全
新标准中减少了结构安全、边界完整性检查、网络设备防护三个控制点，增加了网络架构、通信传输、边界防护、集中管控四个控制点。

网络架构：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；
访问控制：应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
通信传输：应采用校验码技术或加解密技术保证通信过程中数据的完整性；
边界防护：应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；
入侵防范：应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警；
安全审计：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。
原等保1.0中仅在安全运维审计上提出了部分要求，2.0中提出了新的要求，明确要求规划出运维管理区，并在原有仅收集安全日志的基础上增加对网络设备、服务器、网络链路的运行检测；安全日志、补丁、恶意代码的集中管理。
在访问控制的粒度要求更严格细化，要求达到主体为用户级或进程级，客体为文件、数据库表级；和网络与通信安全一样要求建立统一的时间源，以后网络内部要配置时间同步服务器（NTP）。针对无线网络的边界也要求加入对应的安全防护设备。
  4.2设备和计算安全VS原来主机安全
新标准减少了剩余信息保护一个控制点，在测评对象上，把网络设备、安全设备也纳入了此层面的测评范围。

身份鉴别：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性；
访问控制：应根据管理用户的角色建立不同账户并分配权限，仅授予管理用户所需的最小权限，实现管理用户的权限分离；
安全审计：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
入侵防范：应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；
恶意代码防范：应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到破坏后进行恢复。
其中变更较为明显的一项为身份鉴别：
源：应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
变更为：应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
访问控制中，在控制粒度和敏感信息标记上细化了要求：
  访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；
应对敏感信息资源设置安全标记，并控制主体对有安全标记信息资源的访问。
在恶意代码防范里增加了可信计算技术的应用，另外取消了对主机防恶意代码的统一管理要求，主机与网络层防病毒的异构也取消强行限制。
  4.3应用和数据安全VS原来应用安全+数据安全及备份恢复
新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面，减少了通信完整性、通信保密性和抗抵赖三个控制点，增加了个人信息保护控制点。通信完整性和通信保密性的要求纳入了网络和通信安全层面的通信传输控制点。

身份鉴别：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求；
访问控制：应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；
安全审计：应提供安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
数据完整性：应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性；
数据备份恢复：应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。
其中重点变更项个人信息保护控制中新增：
应仅采集和保存业务必需的用户个人信息；（新增）
应禁止未授权访问和非法使用用户个人信息。（新增）
软件容错中新增：
在故障发生时，应自动保存易失性数据和所有状态，保证系统能够进行恢复。（新增）
2.0中明确了对主机及应用的硬件冗余要求，1.0说的是数据处理系统的冗余，冗余的要求越来越高，链路、网络设备、安全设备、计算设备及备份都需要。
等保从1.0到2.0的跨越，使我们的工作属性上升到了新的高度，对相关从业人员的要求也变得更高，我们需要做的就是深入的了解网络安全法，掌握等保2.0的中的相关标准，学习构建网络安全体系架构的重要建设思路，积极落实网络安全等级保护制度，不仅仅能够满足相关法律的合规性要求，更能提升整体网络的综合安全防护能力，真正帮助提高业务系统安全性。

【分享吧】等级保护2.0技术要求变更浅析

浏览过的版块