图1:等保2.0网络安全等级保护解决方案
随着2019年5月13日,《信息安全技术网络安全等级保护基本要求》(GB∕T 22239-2019)(以下简称等保2.0)正式发布,我国的网络安全保护标准体系正式进入到等保2.0阶段。“等保2.0”与《中华人民共和国网络安全法》中的相关法律条文保持一致,是指对网络和信息系统按照重要性等级分级别保护的一种工作。保护对象包括基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。
等保2.0标准于2019年12月1日起正式实行,等保2.0标准在1.0时代标准的基础上,更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,不仅实现了对传统信息系统、基础信息网络的等级保护,还实现了对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。
图2:目录
目 录
1.等保2.0总体介绍
2.等保2.0技术防护方案设计
3.等保2.0安全管理规划
4.等保2.0测评流程
5.附录:网络安全违法案例
一、等保2.0总体介绍
图3:网络安全相关法律
2015年7月1日,《中华人民共和国国家安全法》正式施行,该部法律首次提出“国家建设网络与信息安全保障体系”,首次明确了国家“网络空间主权”是国家主权在网络空间的体现、延伸和反映。
《中华人民共和国国家安全法》第二十五条规定 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
2017年6月1日,《中华人民共和国网络安全法》正式施行,《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《网络安全法》第二十一条 规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《网络安全法》第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
图4:网络安全等保及相关标准
网络安全等级保护主要是对专有信息系统进行分等级保护,分别包括国家的重要信息、法人和其他组织及公民的专有信息系统和存储、传输、处理这些信息的信息系统。同时对信息系统中使用的信息安全产品实行按等级管理。最后对信息系统中发生的信息安全事件分等级响应和处置。近年来国家为了更好的贯彻执行《国家安全法》和《网络安全法》的安全保护要求,还陆续颁布了一系列的等级安全保护标准和要求。相关重要标准有:
《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019)
《信息安全技术网络络安全等级保护测评要求》(GB/T28448-2019)
《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2019)
《信息安全技术网络安全等级保护测试评估技术指南》(GB/T36627-2018)
《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T36958-2018)
《信息安全技术网络安全等级保护评机构能力要求和评估规范》(GB/T36959-2018)
图5:等级保护发展历程
1994年国务院颁布实施了《中华人民共和国计算机信息系统安全保护条例》,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定了“计算机信息系统实行安全等级保护“。这是我国在法律法规上首次提出计算机信息系统必须实行等级保护。可以说,国务院147号令就是现在等级保护的开端。1999年由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全等级保护划分准则》(GB17859)发布。标准明确信息系统安全的强制执行标准以及把计算机信息安全划分为了5个等级。。2008年《信息安全技术-信息系统安全等级保护定级指南》GB/T22240-2008、《信息安全技术-信息系统安全等级保护基本要求》GB/T22239-2008等相关标准发布实施。上述安全等级保护相关标准为我们提出了一种有效的信息安全管理方法,通过等级保护工作提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。为我国各个单位、企事业、团体等的信息系统提供了一种可以保证信息系统安全有效的方法论。因此2008年也称为等保元年,当年所颁布的等保相关标准统称为”等保1.0“2016年颁布了《中华人民共和国网络安全法》,首次以法律的名义提出了“国家实行网络安全等级保护制度”,明确要求“网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务”。《中华人民共和国网络安全法》是网络安全的“基本法”,具有强制性规范作用。2019年 5月13日正式发布《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列新修定的等保标准,宣告了等保进入2.0时代。等保2.0更注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。等保2.0系列标准于2019年12月1日正式实施。代表了国家网络安全等级保护工作正式进入2.0时代,2019年也称为等保2.0元年。
图6:等保2.0相对1.0的关键变化
相对于原有等保1.0的标准,等保2.0标准的关键变化主要有以下三点。第一是保护的对象有变化,等保1.0时代只针对信息系统做保护。等保2.0时代的保护对象实现了从传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网到工业控制信息系统的全面覆盖。
第二个方面是结构上的调整,采用“一个中心、三重防护”的理念,通过实施三重防护主动防御框架,能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。第三个方面是防御理念从原来的被动防御变为主动防御,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
图7:等保2.0的特点及新变化
等保2.0标准体系除了上述三大关键变化之外还具有以下特点以及变化。等保的对象范围扩大,等保2.0标准把云计算、移动互联、物联网、工业控制系统等列入了保护的范围,从而构成了“通用安全要求+新应用安全扩展要求”安全保护体系。
等保2.0标准把“基本要求、设计要求和测评要求”等三大要求实现了框架统一,实现了“一个中心,三重保护”体系下的“安全通信网络”、“安全区域边界”、“安全计算环境”以及“安全管理中心”统一安全防御保护和安全管理。
等保2.0标准还突出强化了“可信计算”技术使用的要求,在各个保护等级当中列入了对通信设备的“可信验证”的要求。
同时等保2.0相对于等保1.0在“标准名称、保护的对象、安全要求、章节结构以及分类结构上”进行了显著的修改和变化,此外等保2.0还增加了云计算、移动互联网、物联网以及工业控制系统的安全扩展要求,使标准的覆盖面更全、更完善。
最后,等保2.0体系标准中还增加了等级保护安全框架和关键技术的说明。以及增加了云计算应用场景、移动互联应用场景、物联网应用场景和工业控制系统应用场景的安全控制措施建设要求。图8:等保2.0基本框架
等保2.0的基本框架包含了安全技术要求和安全管理要求两大部分。分别从安全保护技术措施和安全管理措施上对被保护对象提出了具体的安全防护和管理要求。
技术要求措施包括“安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心”等五个方面技术防护要求。管理要求措施包括“安全管理制度、安全管理机构、安全管理人员、安全建设管理及安全运维管理”等五个方面的安全管理要求。
等保2.0充分体现了“一个中心,三重防御“的网络安全管理思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。
图9:等保2.0涉及的行业
等保保护的对象涉及广泛全面,基本覆盖了我国各行各业各单位的网络信息系统,对象不仅仅包括政府单位、公共安全行业、金融行业、医疗行业、教育行业、电信行业、能源行业以及各大企业单位。同时还包括其他有网络信息系统定级需求的单位和行业。图10:等保建设的意义
通过网络安全等级保护的建设,首先满足了国家相关法律和制度的要求,比如《网络安全法》、《国家安全法》等,同时降低了信息安全的风险并提高了单位内部的安全防护能力。最后在单位完成网络安全等级保护建设履行和落实网络信息安全法律责任和义务的同时,能合理地规避或降低法律风险和安全风险。
图11:等保2.0保护对象等级划分
等保2.0系列标准定义了被保护的对象的安全等级,等保系列标准对受保护客体在受到损害后造成的风险大小和影响范围从低到高分为五级。第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
图12:等保2.0实施工作流程
等保2.0建设实施的具体工作流程包含5个阶段,分别是对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护以及定级对象终止。其中第一阶段的工作包括:定级、评审和备案。第二阶段的工作包括:安全需求分析、安全防护总体设计、安全防护建设方案规划。第三阶段工作包括:整体实施方案设计、安全产品和服务覆盖、等保技术实现、等保管理实现、等保合规自评。第四阶段的工作包括:运行管控、变更管控、状态监控、服务商管控、等保测评以及检查改进。第五阶段的工作包括:信息处理、设备处理、存储介质处理。
图14:等保2.0定级流程
实施等保2.0建设的第一个重要步骤就是定级,用于确定被保护网络信息系统的安全保护等级。在新的等保2.0定级要求中,二级以上系统的定级不再采用等保1.0标准的自主定级的方式,而是需要组织相应的专家召开专家定级评审会确定。等保2.0的定级流程包括6个阶段。首先“确定定级对象”,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。确定定级对象后接着就可以“初步确认等级”包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。确认等级后组织专家进行“专家评审”,这时定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。完成专家评审后报送“主管部门审核”,这时定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。最后送“公安机关备案审查”,这时定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级。审查通过后最终确定定级对象的安全保护等级。
图15:等保2.0总体安全规划
网络安全战略规划目标是构建一体化综合防御体系。在国家相关网络安全法律法规体系及国家网络安全等级保护政策标准体系下建立的总体安全保护策略。国家网络安全等级保护制度总体包含“定级备案、安全建设、等级测评、安全整改、监督检查”五个步骤。通过网络安全保护等级建设形成有效的组织管理、健全的机制建设、完善的安全规划以及安全监测。同时建立通报预警机制、应急处置措施,还包括态势感知、能力建设、技术检测,建立可靠的安全可控体系,加强安全队伍建设、安全教育培训,落实经费保障等。网络安全综合防御体系包括:风险管理体系、安全管理体系、安全技术体系以及网络信任体系。
网络安全战略践行了“一个中心、三重防护”的网络安全保护理念,建立针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。确保网络基础设施、信息系统、大数据、物联网、云平台、工业控制系统、移动互联网以及智能设备等最终的等级保护对象合规、可控、可信、可管的安全稳定运行。
图16:等保2.0技术保护方案规划
等保2.0技术保护方案主要由安全管理中心建设、安全通信网络建设、安全区域边界建设以及安全计算环境建设四个主要部分组成。
安全管理中心主要实现安全技术体系的统一管理,包括系统管理、安全管理、审计管理和集中管控。同时,对全网按照权限划分提供管理接口。主要包括大数据安全、IT运维管理、堡垒机、漏洞扫描、网站监测预警、等保安全一体机、等保建设咨询服务等安全设备和安全服务。建设要点包括对安全进行统一管理与把控、集中分析与审计以及定期识别漏洞与隐患。
安全通信网络主要实现在网络通信过程中的机密性、完整性防护,重点对定级系统安全计算环境之间信息传输进行安全防护。安全通信网络包括:网络架构、通信传输、可信验证。主要包括下一代防火墙、VPN设备、路由器和交换等设备。建设要点主要是构建安全的网络通信架构,保障信息的传输安全。
安全区域边界主要实现在互联网边界以及安全计算环境与安全通信网络之间的双向网络攻击的检测、告警和阻断。安全区域边界包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。主要包括下一代防火墙、入侵检测/防御、上网行为管理、安全沙箱、动态防御系统、身份认证管理、流量安全分析、WEB应用防护以及准入控制系统等安全设备。建设要点包括强化安全边界防护、入侵防护以及优化访问控制策略。
安全计算环境主要是对单位定级系统的信息进行存储处理并且实施安全策略保障信息在存储和处理过程中的安全,安全计算环境包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密、数据备份恢复、剩余信息保护、个人信息保护。主要安全设备有入侵检测/防御、数据库审计、动态防御系统、网页防篡改、漏洞风险评估、数据备份、终端安全。建设要点为强调系统及应用安全、加强身份鉴别机制与入侵防范。
图17:等保2.0网络拓扑结构设计
等保2.0网络总体拓扑图设计如图17所示,其中安全通信网络主要从通信网络审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、可信连接验证方面进行防护设计。主要是对通信链路、交换机以及路由器的规划以及配置进行安全优化,对核心设备及主干链路进行冗余部署。安全区域边界安全设计主要从区域边界访问控制、区域边界包过滤、区域边界安全审计、区域完整性保护、可信验证方面进行防护设计。包括部署下一代防火墙、上网行为管理、入侵保护设备,并启用安全策略、审计策略及认证策略确保边界访问的安全性。
安全计算环境主要实现一个可信、可控、可管的安全的计算环境。采用数据库审计、入侵检测、终端安全及数据备份系统,确保计算环境的安全性和可控性。
安全管理中心是为等级保护安全应用环境提供集中安全管理功能的系统,是安全应用系统安全策略部署和控制的中心。采用堡垒机、漏洞扫描、运维管理系统以、大数据安全系统及等保一体机等安全防护设备,实现网络系统整体的安全管理、策略统一下发、系统运行统一监控以及运维人员身份的统一验证及行业审计等。
图18:等保2.0安全通信网络设计
安全通信网络设计的控制点主要包括:网络构架、通信传输以及可信验证。确保网络业务和带宽满足高峰业务的需求,划分不同的网络区域满足管理和控制,避免重要的网络区域与边界直连,提供核心设备和关键链路的冗余。采用密码技术确保通信数据的完整性和保密性。对通信设备的重要的运行程序进行动态的可信验证。图19:等保2.0安全区域边界设计
在网络区域边界部署必要的网络安全防护设备,启用安全防护策略,建立基于用户身份认证与准入机制,启用安全审计策略,采用行为模型分析等技术防御新型未知威胁攻击,采集并留存不少于六个月的关键网络、安全及服务器设备日志。
图20:等保2.0安全计算环境设计
身份认证鉴别:面向业务多元身份聚合,一次登陆一网全通;
恶意代码防范:深度融合反病毒+主动防御、未知文件动态分析;
数据完整保密:建立安全的数据传输通道,对传输的数据完整性和保密性进行安全保护;
数据备份恢复:基于持续数据保护技术、备份集技术,满足不同业务系统的RTO/RPO目标;
图21:等保2.0安全管理中心设计
系统管理员、审计管理员、安全管理没权责清晰,三权分立;
设置独立安全管理区,采集全网安全信息,实施分析预警管理;
借力专业安服人员,提供渗透测试等高技术要求安全服务;
图22:等保2.0安全物理环境设计
安全物理环境包括
图23:等保2.0网络安全设备配置建议
图24:等保2.0技术防护方案总结
等保2.0技术防护方案充分体现了“变静态为动态,化被动为主动”的网络安全防御策略。分别在智能进化层、动态分析层以及执行采集层三个层面上强化了安全防御的技术措施。智能进化层:为“执行采集层”和“动态分析层”提供安全能力的持续增强,达成整网安全能力的可持续演进。动态分析层:对“执行采集层”提供数据和信息进行分析,持续给出动态安全威胁和风险评估,让用户掌握整网最新安全状况,让“安全看的见”,必要时下发安全策略。执行采集层:执行网络所需要的安全策略,采集各类日志,流量、文件等数据和信息供“动态分析层”分析。图25:等保2.0安全管理规划
在等保2.0的建设方案中除了采用网络安全技术措施控制安全威胁外,安全管理措施也是等保2.0安全建设中非常重要的部分,所谓“三分技术,七分管理”更突显了安全管理的重要性,其中安全技术措施和安全管理措施可以相互补充,共同构建可信、可控、可管的网络安全保障体系。《网络安全等级保护基本要求》指出,安全管理体系主要从安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管理进行设计建设。
安全管理制度主要包括:制定安全策略、建立安全管理制度、专人负责制定和发布管理以及定期评审和修订管理制度。
安全管理机构主要包括:设立相应领导、管理、审计、运维机构和岗位,配备系统管理、审计管理和安全管理员,明确授权和审批事项和制度,加强内部和外部安全专家沟通协作,定期审核和检查安全策略和安全管理制度。
安全管理人员主要包括:考核录用人员专业技能,签署保密协议,对离岗人员及时回收权限、证照等,加强安全意识和安全技能教育培训,定期进行安全技术考核。
安全建设管理主要包括:等保定级和备案,安全方案设计,安全产品采购和使用,自主和外包软件开发管理,安全保护工程实施管理,安全防护测试验收,系统验收交付,定期等保测评,监督、评审和审核安全服务提供商等。
安全运维管理主要包括:运行环境管理,被保护资产管理,信息存储介质管理,设备维护管理,漏洞和风险管理,网络和系统安全管理,恶意代码防范管理,系统、变更配置和密码管理,备份与恢复管理,安全事件和应急预案管理以及外包运维管理等。
图26:等保2.0测评流程
等保2.0完成总体技术要求和管理要求建设后就可以申请测评机构对系统进行测评。等保2.0的测评过程一共有四个大的活动环节。分别是“测评准备活动、方案编制活动、现场测评活动以及报告编制活动”。同时测评相关方的沟通与洽谈贯穿整个等保测评的过程。及时沟通测评过程中出现的各种安全风险并及时排除,确定测评工作正常的进行。
测评准备活动包括工作启动、信息收集和分析、工具和表单的准备三项主要任务。其目标是顺利启动测评项目,收集定级对象相关资料,准备测评所需资料,为编制测评方案打下良好的基础。
方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项主要任务。其主要目标是整理测评准备活动中获取的定级对象相关资料,为现场测评活动提供最基本的文档和指导方案。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。该活动主要是与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险评估、等级测评结论形成及测评报告编制七项主要任务。测评人员在初步判定单项测评结果后,还需进行单元测评结果判定、整体测评、系统安全保障评估,经过整体测评后,有的单项测评结果可能会有所变化,需进一步修订单项测评结果,而后针对安全问题进行风险评估,形成等级测评结论。另外等保2.0的测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。测评结论“优”代表被测对象中存在安全问题,但不会导致被测对象面中、高等级安全风险,且系统综合得分90分以上(含90分)。测评结论“良”代表被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上(含80分)。测评结论“中”代表被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上(含70分)。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。自《网络安全法》颁布以来,中央网信办、工业和信息化部、公安部、市场监管总局四部门于2019年5月至2019年12月联合开展全国范围的互联网网站安全专项整治工作,对未备案或备案信息不准确的网站进行清理,对攻击网站的违法犯罪行为进行严厉打击,对违法违规网站进行处罚和公开曝光。
此次整治的一大特点是加大对未履行网络安全义务,发生事件的网站开办者的处罚力度,督促其切实落实安全防护责任,加强网站安全管理和防护。例如:邵阳县人民医院相关服务器网络日志未保存六个月、信息系统未进行安全等级保护测评,邵阳县人民医院未履行网络安全保护义务。邵阳县公安局依法对邵阳县人民医院予以警告,责令其限期改正。常德抗战文化研究会所属的常德抗战网存在网站后门,并有已遭受网络攻击的痕迹。武陵公安依法对常德抗战文化研究会予以行政警告,责令其限期整改,要求该研究会全面建立安全管理制度,采取安全保护技术措施防止网站被攻击和被入侵并落实网络安全等级保护工作。洛阳市北控水务集团远程数据监测平台遭到黑客攻击,致使网页被篡改。洛阳市公安局长春路分局依据《网络安全法》第五十九条第一款之规定,给予洛阳市北控水务集团80000元罚款的行政处罚,同时分别对三个部门相关责任人李某、张某、李某给予15000元、10000元、10000元罚款的行政处罚。
图27:网络安全违法处罚案例
图28:网络安全违法处罚案例