8.1.4 等级保护
国家市场监督管理总局、国家标准化管理委员会宣布网络安全等级保护制度2.0相关的国家标准正式发布,并于2019年12月1日开始实施。"等保1.0"体系以信息系统为对象,确立了五级安全保护等级,并从信息系统安全等级保护的定级方法、基本要求、实施过程、测评工作等方面入手,形成了一套相对完整的、有明确标准的、涵盖了制度与技术要求的等级保护规范体系。然而,随着网络安全形势日益严峻,"等保1.0"体系难以持续应对新时代的网络安全要求,于是"等保2.0"体系应运而生。 "等保2.0"将"信息系统安全"的概念扩展到了"网络安全",其中,所谓"网络"是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
1.安全保护等级划分
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下5级。 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
2.安全保护能力等级划分
《信息安全技术网络安全等级保护基本要求》(GB/T 22239)规定了不同级别的等级保护对象应具备的基本安全保护能力。 第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够迅速恢复所有功能。 第五级安全保护能力:略。
3."等保2.0"的核心内容
网络安全等级保护制度进入2.0时代,其核心内容包括:①将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;②将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;③将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
4."等保2.0"的技术变更
网络安全等级保护2.0技术变更的内容主要包括:
- ·物理和环境安全实质性变更:降低物理位置选择要求,机房可设置在建筑楼顶或地下室,但需要加强相应防水防潮措施。降低了物理访问控制要求,不再要求人员值守出入口,不再要求机房内部分区,不再对机房人员出入进行具体要求。降低了电力供应的要求,不再要求必须配备后备发电机。降低了电磁防护的要求,不再要求必须接地。降低了防盗和防破坏要求,可部署防盗系统或视频监控系统。
- ·网络和通信安全实质性变更:强化了对设备和通信链路的硬件冗余要求。强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。降低了带宽控制的要求,不再要求必须进行QoS控制。降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较"古老"的控制要求。
- ·设备和计算安全实质性变更:强化了访问控制的要求,细化了主体和客体的访问控制粒度要求。强化了安全审计的统一时钟源要求。强化了入侵防范的控制要求,包括终端的准入要求、漏洞测试与修复。降低了对审计分析的要求,不再要求必须生成审计报表。降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。提出了采用可信计算技术防范恶意代码的控制要求。
- ·应用和数据安全实质性变更:强化了对软件容错的要求,保障故障发生时的可用性。强化了对账号和口令的安全要求,包括更改初始口令、账号口令重命名、对多余/过期/共享账号的控制。强化了安全审计的统一时钟源要求。降低了对资源控制的要求,包括会话连接数限制、资源监测、资源分配控制。降低了对审计分析的要求,不再要求必须生成审计报表。
5."等保2.[0]{.underline}"的管理变更
网络安全等级保护2.0管理变更的内容主要包括: - ·安全策略和管理制度实质性变更:降低了对安全管理制度的管理要求,包括版本控制、收发文管理等,其中不再要求必须由信息安全领导小组组织制度的审定。
- ·安全管理机构和人员实质性变更:对安全管理和机构人员的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如记录和文档的操作要求、制度的制定要求等;另一方面对岗位配备、人员技能考核等要求也有实质性的删减。强化了对外部人员的管理要求,包括外部人员的访问权限、保密协议的管理要求。
- ·安全建设管理实质性变更:对安全建设管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动,不再对某些管理制度的制定做细化要求;另一方面对安全规划管理、测试验收管理也有实质性的删减。强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。强化了对自行软件开发的要求,包括安全性测试、恶意代码检测、软件开发活动的管理要求。
- ·安全运维管理实质性变更:对安全运维管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动,不再对某些管理制度的制定做细化要求;另一方面对介质管理、设备管理也有实质性的删减。将原有属于监控管理和安全管理中心的内容移到了"网络和通信安全"部分。将原有属于网络安全设备的部分内容移到了"漏洞和风险管理"部分。降低了对网络和系统管理的要求,包括安全事件处置管理、实施某些网络管理活动、网络接入策略控制。特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。强化了对账号管理、运维管理、设备报废或重用的管理要求。
6.网络安全等级保护技术体系设计通用实践
由于形态不同的等级保护对象面临的威胁有所不同,安全保护需求也有所差异,为了便于描述对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护,基于通用和特定应用场景,说明等级保护安全技术体系设计的内容。其中: - ·通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保护需求提出。等级保护对象无论以何种形式出现,都应根据安全保护等级,实现相应级别的安全技术要求。
- ·特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出,针对特定应用场景,实现相应网络安全保护级别的安全技术要求。 安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系框架设计。其中:
- ·"物理环境安全防护"保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏;
- ·"通信网络安全防护"保护暴露于外部的通信线路和通信设备;
- ·"网络边界安全防护"对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循"就高保护"原则;
- ·"计算环境安全防护"即内部安全区域将实施"主机设备安全防护"和"应用和数据安全防护";
- · "安全管理中心"对整个等级保护对象实施统一的安全技术管理。 随着国际互联网信息高速公路的畅通和国际化的信息交流,业务大范围扩展,信息安全的风险也急剧恶化。由业务应用信息系统来解决安全问题的方式已经不能胜任。由操作系统、数据库系统、网络管理系统来解决安全问题,也不能满足实际的需要,于是才不得不建立独立的信息安全系统。信息系统安全是一门新兴的工程实践课题。我们有必要加大对信息系统安全工程的研究,规范信息系统安全工程建设的过程,提高建设信息系统安全工程的成熟能力。否则,信息系统安全工程建立不合理、不科学、不到位、不标准,势必影响业务应用信息系统的正常运营,阻碍信息化的推进。