freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

大事情 简单说 等保2.0与1.0不同之处
2019-05-08 10:45:13

序:目前由于众多标准处于报批状态 ,本文章由 GB/T 22239-2018 (代替原有 GB/T 22239-2008)作为解读依据

基于新等保2.0与1.0的不同之处,全面解读。

image.png

目前的等级保护2.0其他标准文件的报批状态,等级保护标准由SAC(中国国家标准化管理委员会) 负责制定审批(WG5工作组负责)情况见下表。

image.png

1.网络安全等级保护2.0的名称变化。

看似不起眼的一点但是很重要。

以前叫《信息安全等级保护》 2.0称为《网络安全等级保护》为什么这么称呼?  看看网络安全法就知道了

引用《中华人民共和国网络安全法》(第二十一条)

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

很明显法律规定的是网络安全等级保护,还叫信息安全等级保护的是不专业的。

名称变化的地方还有,原来的几个层面要求变成了以下几个称呼:安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心(新增)

image.png

2.等级保护2.0 要求变化  变为通用安全要求+扩展安全要求项

image.png

通用要求为以下:

image.png

扩展安全要求项有以下种类: 

特别说明下 以前的征求意稿含有大数据内容 新标准已经将大数据取消


image.png

其他具体要求:

2.1云计算扩展安全要求

image.png

image.png

2.2移动互联网扩展安全要求

image.png

image.png

2.3物联网扩展安全要求

image.png

image.png

其他的条目还没整理完各位先看标准文件吧。


3.网络安全等级保护2.0的  新增要求与具体条目


3.1 新增内容可信计算

可信计算/验证(沈昌祥教授提案)  不知道可信计算可以百度

典型条目:

三级要求 

8.2.4.1 身份鉴别

当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 


典型条目:

三级要求 

 8.1.2.3 可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

条目的重点在于双向身份验证,服务器验证客户端身份,客户端也需要验证服务器身份。

国内对应TCM 芯片模块,目前国内设备厂家只有几家拥有。还需要将结果发送安全管理中心。

实现条目还有一个老办法就是统一认证中心,就是接入网络内的所有用户都需要进行统一身份验证,有点像大学的统一身份认证,都需要输入学号,密码等,才可以访问学校其他网站和资源。

3.2  新增安全管理中心

典型条目:8.1.5 安全管理中心

8.1.5.1 系统管理

本项要求包括:

a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;

b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

8.1.5.2 审计管理

本项要求包括:

a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;

b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

8.1.5.3 安全管理

本项要求包括:

a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; 

b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 

8.1.5.4 集中管控

本项要求包括:

a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; 

b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; 

c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; 

d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; 

e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; 

f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 

看条目要求代表几类产品:

安全日志中心(各种系统日志收集 有分析收集查看日志功能)

SOC(早几年就有的产品,其实没有用起来,主要是要各种厂商开放对应接口为困难点)

安全态势感知

3.3 新增反垃圾邮件措施要求

8.1.3.4 恶意代码和垃圾邮件防范

b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 

反垃圾邮件网关,没什么好说的,如果单位内部小没有使用邮件习惯,个人判断这条可忽略

3.4  新增移动和终端管控要求

8.3.3 安全计算环境

8.3.3.1 移动终端管控

本项要求包括:

a) 应保证移动终端安装、注册并运行终端管理客户端软件; 

b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、

远程擦除等。 

8.3.3.2 移动应用管控

本项要求包括:

a) 应具有选择应用软件安装、运行的功能;

b) 应只允许指定证书签名的应用软件安装和运行;

c) 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。 

一些终端管控要求的实现:

WIFI连接证书,需要本地有证书才可以连接WIFI。PC也有证书要求。

PC管控或强化软件,如赛门铁克终端管理,白细胞(系统安全强化软件)

4.网络安全等级保护2.0的合格分数与测评周期变化。

依据:根据某国家等保办BOSS发言,新等保测评通过分数为75。目前没有正式文件各位仅作为参考。image.png

引用依据:GB/T 22239-2018 信息安全技术 网络安全等级保护基本要求


# 安全管理 # 等级保护2.0
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者