1序言
2018年12月25日,由北京中关村可信计算产业联盟主办的等级保护新标准解读培训机构于北京裕龙国际酒店举办。沈昌祥教授进行了《用可信计算筑牢网络安全防线》的演讲主题,国家公安部范春玲、杨桂芳和陈广勇三位权威专家老师对最新网络信息安全等级保护规章制度作出了细腻的解读,新华三做为可信计算联盟的理事长领导小组,荣幸应邀出席了此次培训。与此同时做为等级保护2.0的编写教材企业,为了更好学习贯彻和落实国家网络安全等级保护规章制度,新华三再度对大会上专家的培训计划做一个汇总。
02等级保护规范转变
等级保护新标准在编写环节中一共经历过2次大的变化,第一次是2017年8月依据通信管理局和国家公安部的建议将5个手册作出了合拼,产生一个标准,并且在2017年10月参与信安标委WG5调研组在研规范调度会,详细介绍合拼后标准送审稿,征询127家领导小组建议,修定进行报批稿;第二次大的变化是2018年7月依据沈昌祥教授的建议再度调节归类构造和强化可信计算,集中体现一个中心、三重防御力的观念并加强可信计算安全生产技术要求的应用。
通过这两次大变化后《网络信息安全等级保护基本原则》有10个章节目录8个附则,当中第6、7、8、9、10章为五个安全级别的安全规定章节目录,8个附则分别是:安全规定的选择和应用、有关等级保护目标总体安全防护能力的规定、等级保护安全框架和核心技术应用规定、云计算技术情景表明、移动互联应用领域表明、物联网的应用情景表明、工业控制系统应用领域表明和大数据的应用情景表明。
标准名称从原来的《网络安全技术 信息系统安全等级保护基本原则》变更为《网络安全技术 网络信息安全等级保护基本原则》,与《中华人民共和国网络安全法》保持一致。等级保护目标从原来的“信息管理系统”改成“等级保护目标(网络和信息管理系统)”,安全性等级保护目标包含基本网络信息(广电网、电信网络等)、信息管理系统(选用传统技术的系统)、云计算服务、数据管理平台、移动互联、物联网技术和工业控制系统等。新版本安全规定在原有通用性安全规定的前提下新增加安全性拓展规定,安全性拓展规定主要针对云计算技术、移动互联、物联网技术和工业控制系统给出了独特安全规定。
03等级保护章节目录构造
调整后每一级的安全规定均包含安全性通用性规定、云计算安全拓展规定、移动互联安全性拓展规定、物联网安全拓展要求及工业控制系统安全性拓展规定这些一部分:
安全性通用性规定明确了无论等级保护目标形状怎样必须满足的需求。
云计算安全拓展规定章节目录对于云计算的特性明确提出独特维护规定。对云计算环境关键增加的基本内容“基础设施的部位”、“虚拟化技术安全防护”、“镜像系统和快照更新维护”、“云服务商挑选”和“云计算环境管理方法”等多个方面。这儿应注意云计算环境的评定,针对云租户的评定仍按照传统的定级构思,但对于云计算服务的评定则分两种情况,一种是大中小型云计算服务,可将整个云计算服务做为总体评定目标;另一种是对于大中型云计算服务,应先云计算基础设施和相关辅助服务系统软件划分成不同类型的评定目标(例如大中型云计算服务的收费系统可单独作为一个评定目标)。
移动互联安全性拓展规定章节目录对于移动互联的特征明确提出独特维护规定。对移动互联自然环境关键增加的基本内容“无线中继器的物理位置”、“移动智能终端监管”、“移动智能终端监管”、“移动应用软件购置”和“移动应用软件开发设计”等多个方面。
物联网安全拓展规定章节目录对于物联网的特性明确提出独特维护规定。对物联网技术自然环境关键增加的基本内容“认知节点的物理学安全防护”、“认知连接点设备安全”、“感知网关节点设备安全”、“认知节点的管理方法”和“数据预处理解决”等多个方面。
工业控制系统安全性拓展规定章节目录对于工业控制系统的特征明确提出独特维护规定。对工业控制系统关键增加的基本内容“户外控制系统安全防护”、“工业控制系统网络结构安全性”、“拔号应用操纵”、“无线网络应用操纵”和“操纵设备安全”等多个方面,对于工业控制系统实用性要求高的特性调整了“系统漏洞和风险管控”和“恶意代码预防管理方法”方面的要求。
04控制方法归类构造
调整后的控制方法归类构造如下所示:
技术标准“从面到点”明确提出安全规定,“安全性物理环境”主要是对主机房设备提出要求,“安全性网络通信”和“安全区域界限”关键对网络总体提出要求,“安全性计算环境”主要是对组成连接点(包含业务应用和数据)提出要求,“安全管理中心”主要是对管理信息系统、集中管控等提出要求。
管理要求“从原素到主题活动”明确提出安全规定,“安全制度”、“安全管理机构”和“安全管理人员”关键给出了管理方法不可或缺的规章制度、组织和人员三要素,“安全建设管理方法”及“安全运维管理方法”关键给出了基本建设过程和运维管理流程的安全教育管理要求。
安全性网络通信 安全区域界限 安全管理中心的第四级在第三级的前提下增强了7个条文:
1)应按照业务服务的重要程度分派网络带宽,优先保障关键业务流程;
2)需在通讯前根据密码技术对通讯的彼此开展认证或验证;
3)应根据硬件配置密码模块对关键通讯全过程开展登陆密码计算和双因素认证;
4)应可以在发觉非受权机器设备擅自联到内部网络的举动或内部结构客户非受权联到外部网络的举动时,对它进行合理阻隔;
5)应采用可信验证体制对连接到网络里的设备进行可信验证,确保连接的计算机设备真实有效;
6)需在网络边界根据通讯协议变换或通讯协议防护等方式进行数据传输;
7)应保证系统范围内的时长由唯一确定的数字时钟造成,以确保各种各样数据库的管理方法与分析在时间上的一致性。
安全性计算环境的第四级在第三级的前提下增强了5个条文:
1)登陆客户实行关键实际操作时要再次进行身份鉴别;
2)解决行为主体、行为主体设定安全性标识,并依据安全性标识和强制性密钥管理标准明确行为主体对客体的浏览;
3)应采用主动免疫可信验证体制立即鉴别侵入和病毒感染个人行为,并将其合理阻隔;
4)在将会涉及到法律法规责任认定的应用中,应采用密码技术给出的数据原发性直接证据和数据接收证据,完成数据信息原发性个人行为的抗赖账和数据接收个人行为的抗赖账;
5)应创建外地灾难备份核心,给予业务应用的随时转换。
恶意代码预防,从一级到四级关键进行了如下所示规定:
第一级:应装设防恶意代码手机软件或配备具有相应作用的app,并定期进行升级和升级防恶意代码库。
第二级:应装设防恶意代码手机软件或配备具有相应作用的app,并定期进行升级和升级防恶意代码库。
第三级:应采用免遭恶意代码攻击的技术措施或主动免疫可信验证体制立即鉴别侵入和病毒感染个人行为,并将其合理阻隔。
第四级:应采用主动免疫可信验证体制立即鉴别侵入和病毒感染个人行为,并将其合理阻隔。
从规范控制方法总体看,对可靠基准点有所增加,每个等级和方面均增强了可信验证基准点,从第一级到第四级均在“安全性网络通信”、“安全区域界限”和“安全性计算环境”中增强了“可信验证”基准点,并且从第二级逐渐,增强了安全管理中心技术标准。
最终,等级保护测评层面,对等级保护合规性评估方法较之前有了很大不一样,一个新的测评规定增强了“关键测评项”和“基本测评项”(因为当日培训计划比较多,早已想不起来权威专家老师怎么描述的了,我在这姑且将此区划称之为“关键测评项”和“基本测评项” )的区划,“关键测评项”推行“一票否决制”。换句话说,测评规定中列出的相匹配级别的“关键测评项”中任何一项不符,总体将判定为不符,无需再开展“基本测评项”的测评,“关键测评项”优先选择根据测评后,才开展“基本测评项”的测评。现阶段国家公安部正科学研究并梳理各保护级别的“关键测评项”目录。
05结语
网络信息安全等级保护是中国信息安全保障的最基本制度设计工作中,是网络空间安全保障机制的主要支撑点,都是解决劲敌APT攻击的主要措施。在法律支撑点方面,我国计算机软件等级保护规章提高为国家基本性法律体系,即“国家安全法”里的网络信息安全等级保护规章制度;在科技创新方面,由分层次处于被动安全防护发展到了科学合理安全框架中的主动免疫安全防护;在工程应用方面,由传统计算机软件系统软件安全防护转向了新式计算环境中的网络环境病毒防护服务体系。等级保护2.0时期重点对云计算技术、移动互联、物联网技术、工业控制系统及其互联网安全等进行全方位安全防范,保证重要信息基础设施安全性。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
