等保2.0基本情况-安全-通用要求的技术关键点

深圳市网安计算机安全检测技术有限公司汇报人：牛建红汇报时间：2019年6月6日SHENZHENNETWORKSECURITYTESTINGTECHNOLOGYCO.,LTD等保2.0基本情况&安全通用要求的技术关键点目录01等级保护发展历程02等保2.0基本情况介绍03等保2.0安全通用要求技术解析01等级保护发展历程等级保护发展历程－政策法规进展2003年中办、国办《关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年四部委《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《电子政务信息安全等级保护实施指南》（国信办[2004]25号）作为一项国家制度提出最先由法律法规提出确定等级保护的内容、职责分工以及工作要求形成等级保护工作的具体方法，具体过程《信息安全等级保护管理办法》（公通字[2007]43号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件1994年《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2017年6月1日《网络安全法》正式实施。第二十一条国家实行网络安全等级保护制度。等级保护纳入法律要求等级保护发展历程－技术标准发展2002年发布GA/T387--391提出网络、操作系统、管理方面的等技术要求参照CC，提出安全控制，初步具备分层面的思想第一个技术标准，参照TCSEC，主要针对操作系统内容进一步深化，但要求还是过高、过于超前形成等级保护基线要求，满足当前等级保护工作需要2008年国标：信息安全等级保护定级指南、基本要求、实施指南、测评要求、1999年发布《计算机信息系统安全保护等级划分准则》GB178592006年公安行标升为国标GB/T20271--20273，并补充了相关产品标准2019年5月13日，国标：GBT22239-2019信息安全技术网络安全等级保护基本要求制定新技术、新行业标准，满足新兴行业的安全保护需求等保2.0标准介绍－标准名称的变化◼等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致。等保2.0标准介绍－政策性质的变化◼四部委（公安部、国家保密局、国家密码管理局、国务院信息工作办公室）印发《信息安全等级保护管理办法》。管理办法：是对有关法令、条例、规章提出的可行实施措施。◼公安部《网络安全等级保护条例》(征求意见稿）。条例：是具有法律性质的文件，是对有关法律、法令辅助性、阐述性的说明和规定。02等级2.0基本情况介绍等保2.0标准介绍－主要标准◼网络安全等级保护条例(总要求/上位文件)◼计算机信息系统安全保护等级划分准则(GB17859-1999)(上位标准)◼网络安全等级保护实施指南(GB/T25058)(正在修订)◼网络安全等级保护定级指南(GB/T22240)(正在修订)◼网络安全等级保护基本要求(GB/T22239-2019)◼网络安全等级保护设计技术要求(GB/T25070-2019)◼网络安全等级保护测评要求(GB/T28448-2019)◼网络安全等级保护测评过程指南(GB/T28449-2018)等保2.0标准介绍－定级备案流程确定定级对象初步确定等级专家评审主管部门审核01020304公安审批05◼包括基础信息网络、工控系统、云计算平台、物联网、移动互联网、大数据等◼确定侵害的客体以及对客体侵害程度◼组织等级保护专家对初步定级结果进行合理性评审，出具专家评审意见◼网络运营者将初步定级结果上报行业主管部门或者上级主管部门进行审核◼网络运营者将定级备案材料提交公安机关进行备案审查，审查不通过，网络运营者组织重新定级，审核通过后确定最终等级等保2.0标准介绍－定级备案对象•GB/T22240—20XX（信息安全技术网络安全等级保护定级指南）（试行稿2017.10.25）等级保护对象网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等•GA/T1389—2017（信息安全技术网络安全等级保护定级指南）（2017.05.08)等级保护对象网络安全等级保护工作的作用对象,主要包括基础信息网络、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统)和大数据等。•GB/T22240—2008（信息安全技术信息系统安全等级保护定级指南）（2008.11.01)等级保护对象信息安全等级保护工作直接作用的具体的信息和信息系统。03等保2.0安全通用要求技术解析注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。等保1.0&等保2.0对标等保1.0等保2.0要求层面等保二级等保三级等保四级层面等保二级等保三级等保四级技术要求物理安全193233安全物理环境152224网络安全183332安全通信网络4811主机安全193236安全区域边界112021应用安全193136安全计算环境233436数据安全4811安全管理中心41213等保2.0安全通用要求技术关键点－安全物理环境◼对部分要求内容的进行了修订,从整体显得更加的合理化，人性化。◼增加了防静电的消除措施要求项。注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。等保2.0安全通用要求技术关键点－安全物理环境◼降低了物理位置选择要求，机房可以设置在建筑物顶楼或者地下室，但是需要加强防水防潮措施。◼降低了物理访问控制要求，不再要求专人值守机房出入口，但是要求机房出入口配置电子门禁系统进行控制。◼增加了防盗和防破坏的技术选择，可选择设置防盗报警系统或者专人值守的视频监控系统。◼降低了电力供应的要求，不再要求必须建立备用供电系统。◼降低了电磁防护的要求，只要求关键设备实施电磁屏蔽，删除磁介质要求实施电磁屏蔽。◼强化了防静电的要求，增加了：“应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。”要求项。2.0要求三级注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。承载高级别系统的机房相对承载低级别系统的机房强化了物理访问控制、电力供应和电磁防护等方面的要求。例如,四级相比三级增设了“重要区域应配置第二道电子门禁系统”、“应提供应急供电设施”、“应对关键区域实施电磁屏蔽”等要求。等保2.0安全通用要求技术关键点－安全物理环境2.0要求（四级）注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。◼对部分要求内容的进行了修订,删除了带宽控制的要求，强调了通信链路和关键网络设备的冗余，更加合理化。◼新增了通信传输、可信验证控制点。等保2.0安全通用要求技术关键点－安全通信网络注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。◼强化了网络设备的业务处理能力，从主要网络设备修订成网络设备的业务处理能力满足业务高峰期的要求。◼降低了安全访问路径的控制要求。◼降低了带宽控制的要求，不再要求必须进行QOS控制。◼强化了对通信线路、关键网络设备和关键计算设备的硬件冗余要求（主备或者双活）。◼原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中。◼新增了可信验证的控制点，增加了：“a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。”要求项。等保2.0安全通用要求技术关键点－安全通信网络2.0要求三级注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。高级别系统的通信网络相对低级别系统的通信网络强化了优先带宽分配、设备接入认证、通信设备认证等方面的要求。例如,四级相比三级增设了“应按照业务服务的重要程度分配带宽,优先保障重要业务”,“应在通信前基于密码技术对通信双方进行验证或认证”，“应基于硬件密码模块对重要通信过程进行密码运算和密钥管理”“应用程序的所有执行环节进行动态可信验证，并进行动态关联感知”等要求。等保2.0安全通用要求技术关键点－安全通信网络2.0要求（四级）注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。◼对部分要求内容的进行了修订,访问控制细粒度更细，强调了无线网络的安全防护，使边界防护更严格。◼新增了垃圾邮件防范、远程访问&互联网访问独立审计、可信验证控制点。等保2.0安全通用要求技术关键点－安全区域边界注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。◼强化了网络访问控制策略的控制要求，包括默认拒绝策略、控制规则最小化策略和源目的检查要求（地址、端口、协议）。◼降低了网络会话控制、防范地址欺骗、拨号访问权限等老旧控制要求。◼新增了边界防护设备受控接口通信要求，限制无线网络的使用，通过受控的边界设备接入内部网络（无线网络独立组网，受控连接）◼新增关键节点检测、限制从内部发起的网络攻击行为。（新增防内要求）◼新增采取技术措施防止新型网络攻击（未知攻击）行为的分析能力。◼强化了恶意代码和垃圾邮件的防范要求，强调关键网络节点的防护能力。◼细化了安全审计的要求，强调网络边界、重要节点的用户行为，重要安全事件的审计。要求审计记录定期备份。◼新增了远程用户和访问互联网用户的独立审计要求，强调从外到内，和从内到外独立审计和分析。等保2.0安全通用要求技术关键点－安全区域边界2.0要求三级注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。◼新增了可信验证的控制点，增加了：“可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。”要求项。等保2.0安全通用要求技术关键点－安全区域边界2.0要求（三级）注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。高级别系统的区域边界相对低级别系统的区域边界强化了高强度隔离和非法接入阻断等方面的要求。例如,四级相比三级增设了“应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断”,“应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信”，“应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换”，“应用程序的所有执行环节进行动态可信验证，并进行动态关联感知”等要求。2.0要求（四级）等保2.0安全通用要求技术关键点－安全区域边界注・基于GBT22239-2019《网络安全保护基本要求第一部分:通用安全要求》及GB/T22239-2008《信息安全等级保护基本要求》要求对比分析。◼检测对象：包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等，强调了网络设备、计算