網(wǎng)絡(luò)安全等級保護(等保2.0)解讀
01前言
2018年12月25日,由中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟主辦的等級保護新標(biāo)準(zhǔn)解讀培訓(xùn)班在北京裕龍國際酒店舉行。沈昌祥院士做了《用可信計算筑牢網(wǎng)絡(luò)安全防線》的主題演講,公安部范春玲、李秋香和陳廣勇三位專家老師對最新的網(wǎng)絡(luò)安全等級保護制度進行了細致的解讀,新華三作為可信計算聯(lián)盟的理事成員單位,有幸受邀參加了此次培訓(xùn)。同時作為等級保護的參編單位,為了更好的學(xué)習(xí)貫徹和落實國家網(wǎng)絡(luò)安全等級保護制度,新華三再次對會上專家的培訓(xùn)內(nèi)容做個總結(jié)。
02等級保護標(biāo)準(zhǔn)變化
等級保護新標(biāo)準(zhǔn)在編制過程中總共經(jīng)歷了兩次大的變化,第一次是2017年8月根據(jù)網(wǎng)信辦和公安部的意見將5個分冊進行了合并,形成一個標(biāo)準(zhǔn),并在2017年10月參加信安標(biāo)委WG5工作組在研標(biāo)準(zhǔn)推進會,介紹合并后的標(biāo)準(zhǔn)送審稿,征求127家成員單位意見,修訂完成報批稿;第二次大的變化是2018年7月根據(jù)沈昌祥院士的意見再次調(diào)整分類結(jié)構(gòu)和強化可信計算,充分體現(xiàn)一個中心、三重防御的思想并強化可信計算安全技術(shù)要求的使用。
經(jīng)過這兩次大變化后的《網(wǎng)絡(luò)安全等級保護基本要求》有10個章節(jié)8個附錄,其中第6、7、8、9、10章為五個安全等級的安全要求章節(jié),8個附錄分別為:安全要求的選擇和使用、關(guān)于等級保護對象整體安全保護能力的要求、等級保護安全框架和關(guān)鍵技術(shù)使用要求、云計算應(yīng)用場景說明、移動互聯(lián)應(yīng)用場景說明、物聯(lián)網(wǎng)應(yīng)用場景說明、工業(yè)控制系統(tǒng)應(yīng)用場景說明和大數(shù)據(jù)應(yīng)用場景說明。
標(biāo)準(zhǔn)名稱由原來的《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》變更為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》,與《中華人民共和國網(wǎng)絡(luò)安全法》保持一致。等級保護對象由原來的“信息系統(tǒng)”改為“等級保護對象(網(wǎng)絡(luò)和信息系統(tǒng))”,安全等級保護對象包括基礎(chǔ)信息網(wǎng)絡(luò)(廣電網(wǎng)、電信網(wǎng)等)、信息系統(tǒng)(采用傳統(tǒng)技術(shù)的系統(tǒng))、云計算平臺、大數(shù)據(jù)平臺、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。新版安全要求在原有通用安全要求的基礎(chǔ)上新增安全擴展要求,安全擴展要求主要針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊安全要求。
03等級保護章節(jié)結(jié)構(gòu)
調(diào)整后每一級的安全要求均包括安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求這幾個部分:
安全通用要求規(guī)定了不管等級保護對象形態(tài)如何必須滿足的要求。
云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。對云計算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。這里需要注意云計算環(huán)境的定級,對于云租戶的定級仍按照傳統(tǒng)的定級思路,而對于云計算平臺的定級則分兩種情況,一種是中小型云計算平臺,可將整個云計算平臺作為整體定級對象;另一種是針對大型云計算平臺,應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象(比如大型云計算平臺的計費系統(tǒng)可單獨作為一個定級對象)。
移動互聯(lián)安全擴展要求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求。對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。
物聯(lián)網(wǎng)安全擴展要求章節(jié)針對物聯(lián)網(wǎng)的特點提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。
工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面,針對工業(yè)控制系統(tǒng)實時性要求高的特點調(diào)整了“漏洞和風(fēng)險管理”和“惡意代碼防范管理”方面的要求。
04控制措施分類結(jié)構(gòu)
調(diào)整后的控制措施分類結(jié)構(gòu)如下:
技術(shù)要求“從面到點”提出安全要求,“安全物理環(huán)境”主要對機房設(shè)施提出要求,“安全通信網(wǎng)絡(luò)”和“安全區(qū)域邊界”主要對網(wǎng)絡(luò)整體提出要求,“安全計算環(huán)境”主要對構(gòu)成節(jié)點(包括業(yè)務(wù)應(yīng)用和數(shù)據(jù))提出要求,“安全管理中心”主要對系統(tǒng)管理、集中管控等提出要求。
管理要求“從元素到活動”提出安全要求,“安全管理制度”、“安全管理機構(gòu)”和“安全管理人員”主要提出了管理不可缺少的制度、機構(gòu)和人員三要素,“安全建設(shè)管理”及“安全運維管理”主要提出了建設(shè)過程和運維過程的安全活動管理要求。
安全通信網(wǎng)絡(luò)+安全區(qū)域邊界+安全管理中心的第四級在第三級的基礎(chǔ)上增加了7個條款:
1)應(yīng)按照業(yè)務(wù)服務(wù)的重要程度分配帶寬,優(yōu)先保障重要業(yè)務(wù);
2)應(yīng)在通信前基于密碼技術(shù)對通信的雙方進行驗證或認證;
3)應(yīng)基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理;
4)應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為時,對其進行有效阻斷;
5)應(yīng)采用可信驗證機制對接入到網(wǎng)絡(luò)中的設(shè)備進行可信驗證,保證接入的網(wǎng)絡(luò)設(shè)備真實可信;
6)應(yīng)在網(wǎng)絡(luò)邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換;
7)應(yīng)保證系統(tǒng)范圍內(nèi)的時間由唯一確定的時鐘產(chǎn)生,以保證各種數(shù)據(jù)的管理和分析在時間上的一致性。
安全計算環(huán)境的第四級在第三級的基礎(chǔ)上增加了5個條款:
1)登錄用戶執(zhí)行重要操作時應(yīng)再次進行身份鑒別;
2)應(yīng)對主體、客體設(shè)置安全標(biāo)記,并依據(jù)安全標(biāo)記和強制訪問控制規(guī)則確定主體對客體的訪問;
3)應(yīng)采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷;
4)在可能涉及法律責(zé)任認定的應(yīng)用中,應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù),實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴;
5)應(yīng)建立異地災(zāi)難備份中心,提供業(yè)務(wù)應(yīng)用的實時切換。
惡意代碼防范,從一級到四級主要做了如下要求:
第一級:應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件,并定期進行升級和更新防惡意代碼庫。
第二級:應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件,并定期進行升級和更新防惡意代碼庫。
第三級:應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
第四級:應(yīng)采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
從標(biāo)準(zhǔn)控制措施整體看,對可信控制點有所增加,各個級別和層面均增加了可信驗證控制點,從第一級到第四級均在“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”和“安全計算環(huán)境”中增加了“可信驗證”控制點,并且從第二級開始,增加了安全管理中心技術(shù)要求。
最后,等級保護測評方面,對等級保護符合性評價方法較之前有了很大不同,新的測評要求增加了“重點測評項”和“常規(guī)測評項”(由于當(dāng)天培訓(xùn)內(nèi)容較多,已經(jīng)記不清專家老師怎么描述的了,我在這里暫且將此劃分稱為“重點測評項”和“常規(guī)測評項” )的劃分,“重點測評項”實行“一票否決制”。也就是說,測評要求中列出的對應(yīng)級別的“重點測評項”中任意一項不符合,整體將判定為不符合,無需再進行“常規(guī)測評項”的測評,“重點測評項”優(yōu)先通過測評后,才進行“常規(guī)測評項”的測評。目前公安部正研究并整理各保護級別的“重點測評項”列表。
05結(jié)束語
網(wǎng)絡(luò)安全等級保護是我國信息安全保障的基本制度性工作,是網(wǎng)絡(luò)空間安全保障體系的重要支撐,也是應(yīng)對強敵APT攻擊的有效措施。在法律支撐層面,我國的計算機系統(tǒng)等級保護條例提升為國家基礎(chǔ)性法律制度,即“網(wǎng)絡(luò)安全法”中的網(wǎng)絡(luò)安全等級保護制度;在科學(xué)技術(shù)層面,由分層被動防護發(fā)展到了科學(xué)安全框架下的主動免疫防護;在工程應(yīng)用層面,由傳統(tǒng)的計算機信息系統(tǒng)防護轉(zhuǎn)向了新型計算環(huán)境下的網(wǎng)絡(luò)空間主動防御體系建設(shè)。等保2時代重點對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進行全面安全防護,確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。
2018年12月25日,由中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟主辦的等級保護新標(biāo)準(zhǔn)解讀培訓(xùn)班在北京裕龍國際酒店舉行。沈昌祥院士做了《用可信計算筑牢網(wǎng)絡(luò)安全防線》的主題演講,公安部范春玲、李秋香和陳廣勇三位專家老師對最新的網(wǎng)絡(luò)安全等級保護制度進行了細致的解讀,新華三作為可信計算聯(lián)盟的理事成員單位,有幸受邀參加了此次培訓(xùn)。同時作為等級保護的參編單位,為了更好的學(xué)習(xí)貫徹和落實國家網(wǎng)絡(luò)安全等級保護制度,新華三再次對會上專家的培訓(xùn)內(nèi)容做個總結(jié)。
02等級保護標(biāo)準(zhǔn)變化
等級保護新標(biāo)準(zhǔn)在編制過程中總共經(jīng)歷了兩次大的變化,第一次是2017年8月根據(jù)網(wǎng)信辦和公安部的意見將5個分冊進行了合并,形成一個標(biāo)準(zhǔn),并在2017年10月參加信安標(biāo)委WG5工作組在研標(biāo)準(zhǔn)推進會,介紹合并后的標(biāo)準(zhǔn)送審稿,征求127家成員單位意見,修訂完成報批稿;第二次大的變化是2018年7月根據(jù)沈昌祥院士的意見再次調(diào)整分類結(jié)構(gòu)和強化可信計算,充分體現(xiàn)一個中心、三重防御的思想并強化可信計算安全技術(shù)要求的使用。
經(jīng)過這兩次大變化后的《網(wǎng)絡(luò)安全等級保護基本要求》有10個章節(jié)8個附錄,其中第6、7、8、9、10章為五個安全等級的安全要求章節(jié),8個附錄分別為:安全要求的選擇和使用、關(guān)于等級保護對象整體安全保護能力的要求、等級保護安全框架和關(guān)鍵技術(shù)使用要求、云計算應(yīng)用場景說明、移動互聯(lián)應(yīng)用場景說明、物聯(lián)網(wǎng)應(yīng)用場景說明、工業(yè)控制系統(tǒng)應(yīng)用場景說明和大數(shù)據(jù)應(yīng)用場景說明。
標(biāo)準(zhǔn)名稱由原來的《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》變更為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》,與《中華人民共和國網(wǎng)絡(luò)安全法》保持一致。等級保護對象由原來的“信息系統(tǒng)”改為“等級保護對象(網(wǎng)絡(luò)和信息系統(tǒng))”,安全等級保護對象包括基礎(chǔ)信息網(wǎng)絡(luò)(廣電網(wǎng)、電信網(wǎng)等)、信息系統(tǒng)(采用傳統(tǒng)技術(shù)的系統(tǒng))、云計算平臺、大數(shù)據(jù)平臺、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。新版安全要求在原有通用安全要求的基礎(chǔ)上新增安全擴展要求,安全擴展要求主要針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊安全要求。
03等級保護章節(jié)結(jié)構(gòu)
調(diào)整后每一級的安全要求均包括安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求這幾個部分:
安全通用要求規(guī)定了不管等級保護對象形態(tài)如何必須滿足的要求。
云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。對云計算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。這里需要注意云計算環(huán)境的定級,對于云租戶的定級仍按照傳統(tǒng)的定級思路,而對于云計算平臺的定級則分兩種情況,一種是中小型云計算平臺,可將整個云計算平臺作為整體定級對象;另一種是針對大型云計算平臺,應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象(比如大型云計算平臺的計費系統(tǒng)可單獨作為一個定級對象)。
移動互聯(lián)安全擴展要求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求。對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。
物聯(lián)網(wǎng)安全擴展要求章節(jié)針對物聯(lián)網(wǎng)的特點提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。
工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面,針對工業(yè)控制系統(tǒng)實時性要求高的特點調(diào)整了“漏洞和風(fēng)險管理”和“惡意代碼防范管理”方面的要求。
04控制措施分類結(jié)構(gòu)
調(diào)整后的控制措施分類結(jié)構(gòu)如下:
技術(shù)要求“從面到點”提出安全要求,“安全物理環(huán)境”主要對機房設(shè)施提出要求,“安全通信網(wǎng)絡(luò)”和“安全區(qū)域邊界”主要對網(wǎng)絡(luò)整體提出要求,“安全計算環(huán)境”主要對構(gòu)成節(jié)點(包括業(yè)務(wù)應(yīng)用和數(shù)據(jù))提出要求,“安全管理中心”主要對系統(tǒng)管理、集中管控等提出要求。
管理要求“從元素到活動”提出安全要求,“安全管理制度”、“安全管理機構(gòu)”和“安全管理人員”主要提出了管理不可缺少的制度、機構(gòu)和人員三要素,“安全建設(shè)管理”及“安全運維管理”主要提出了建設(shè)過程和運維過程的安全活動管理要求。
安全通信網(wǎng)絡(luò)+安全區(qū)域邊界+安全管理中心的第四級在第三級的基礎(chǔ)上增加了7個條款:
1)應(yīng)按照業(yè)務(wù)服務(wù)的重要程度分配帶寬,優(yōu)先保障重要業(yè)務(wù);
2)應(yīng)在通信前基于密碼技術(shù)對通信的雙方進行驗證或認證;
3)應(yīng)基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理;
4)應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為時,對其進行有效阻斷;
5)應(yīng)采用可信驗證機制對接入到網(wǎng)絡(luò)中的設(shè)備進行可信驗證,保證接入的網(wǎng)絡(luò)設(shè)備真實可信;
6)應(yīng)在網(wǎng)絡(luò)邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換;
7)應(yīng)保證系統(tǒng)范圍內(nèi)的時間由唯一確定的時鐘產(chǎn)生,以保證各種數(shù)據(jù)的管理和分析在時間上的一致性。
安全計算環(huán)境的第四級在第三級的基礎(chǔ)上增加了5個條款:
1)登錄用戶執(zhí)行重要操作時應(yīng)再次進行身份鑒別;
2)應(yīng)對主體、客體設(shè)置安全標(biāo)記,并依據(jù)安全標(biāo)記和強制訪問控制規(guī)則確定主體對客體的訪問;
3)應(yīng)采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷;
4)在可能涉及法律責(zé)任認定的應(yīng)用中,應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù),實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴;
5)應(yīng)建立異地災(zāi)難備份中心,提供業(yè)務(wù)應(yīng)用的實時切換。
惡意代碼防范,從一級到四級主要做了如下要求:
第一級:應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件,并定期進行升級和更新防惡意代碼庫。
第二級:應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件,并定期進行升級和更新防惡意代碼庫。
第三級:應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
第四級:應(yīng)采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
從標(biāo)準(zhǔn)控制措施整體看,對可信控制點有所增加,各個級別和層面均增加了可信驗證控制點,從第一級到第四級均在“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”和“安全計算環(huán)境”中增加了“可信驗證”控制點,并且從第二級開始,增加了安全管理中心技術(shù)要求。
最后,等級保護測評方面,對等級保護符合性評價方法較之前有了很大不同,新的測評要求增加了“重點測評項”和“常規(guī)測評項”(由于當(dāng)天培訓(xùn)內(nèi)容較多,已經(jīng)記不清專家老師怎么描述的了,我在這里暫且將此劃分稱為“重點測評項”和“常規(guī)測評項” )的劃分,“重點測評項”實行“一票否決制”。也就是說,測評要求中列出的對應(yīng)級別的“重點測評項”中任意一項不符合,整體將判定為不符合,無需再進行“常規(guī)測評項”的測評,“重點測評項”優(yōu)先通過測評后,才進行“常規(guī)測評項”的測評。目前公安部正研究并整理各保護級別的“重點測評項”列表。
05結(jié)束語
網(wǎng)絡(luò)安全等級保護是我國信息安全保障的基本制度性工作,是網(wǎng)絡(luò)空間安全保障體系的重要支撐,也是應(yīng)對強敵APT攻擊的有效措施。在法律支撐層面,我國的計算機系統(tǒng)等級保護條例提升為國家基礎(chǔ)性法律制度,即“網(wǎng)絡(luò)安全法”中的網(wǎng)絡(luò)安全等級保護制度;在科學(xué)技術(shù)層面,由分層被動防護發(fā)展到了科學(xué)安全框架下的主動免疫防護;在工程應(yīng)用層面,由傳統(tǒng)的計算機信息系統(tǒng)防護轉(zhuǎn)向了新型計算環(huán)境下的網(wǎng)絡(luò)空間主動防御體系建設(shè)。等保2時代重點對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進行全面安全防護,確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。