【精华版】最详细的等保2.0基本要求解读
等保2.0新标准解读
等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。
《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。
网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。
但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。
传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。
并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。
删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等保2.0基本要求
等保2.0基本要求标题:等保2.0基本要求及其重要性随着信息化的快速发展,网络安全已经成为国家和社会关注的重要问题。
在此背景下,中国制定了等保2.0基本要求,以期提高我国的信息安全防护水平。
本文将详细介绍等保2.0的基本要求,并阐述其重要性。
一、等保2.0基本要求概述等保2.0是《信息安全等级保护基本要求》的简称,是我国在信息安全管理领域的一项重要政策。
等保2.0于2019年正式发布并实施,是对原有等保1.0的一次全面升级和改革。
等保2.0从原来的五个级别扩展到三个级别,即基础级、增强级和高级,每个级别都有相应的技术要求和管理要求。
二、等保2.0基本要求的具体内容1. 技术要求:主要包括物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面。
这些技术要求旨在保证信息系统的稳定运行和数据的安全存储。
2. 管理要求:主要包括安全策略和制度、人员安全管理、资产管理、安全运维管理和应急响应等方面。
这些管理要求旨在规范信息系统的日常管理和维护,防止人为因素导致的信息安全事件。
三、等保2.0的重要性等保2.0的实施对于提升我国的信息安全防护能力具有重要意义。
首先,等保2.0能够指导各组织机构进行信息系统建设,确保信息系统的安全性、稳定性。
其次,等保2.0能够提高公众对信息安全的认识,推动全社会形成良好的信息安全氛围。
最后,等保2.0也体现了我国对国际信息安全标准的接轨,有助于提升我国在国际信息安全领域的影响力。
四、结论综上所述,等保2.0基本要求是我国信息安全工作的重要指南。
只有严格按照等保2.0的要求进行信息系统建设和维护,才能有效保障我国的信息安全。
因此,我们需要进一步加强等保2.0的宣传和培训,让更多的人了解和掌握等保2.0的基本要求,共同构建一个安全、可靠的信息环境。
以上只是对等保2.0基本要求的简单介绍,实际上,等保2.0的内容非常丰富,涵盖了信息安全的各个方面。
希望这篇文章能帮助大家对等保2.0有一个初步的了解,如果想要深入了解等保2.0,还需要阅读相关的法规和标准,以及参加专业的培训。
等保2.0标准体系解析及介绍
将新闻资讯等广泛传播给受众,实现资源通融、内容兼 融、宣传互融的新型媒体。
等睿利级而行保护发展历程与展望
等保1.0时代 等保2.0工作
展望
19942003 政策环境 2004-营造 2006 工作开展 准备20072010 工作正式 2010-启动 2016 工作规模 推进
1
睿利而行
1
等级保护发展历程与展望
2融媒体是指广播、等电级视保、护报2.0刊标等准与体基系于互联网的新兴媒 34体资传基渠通播借播有讯互于融、助给道效等融互、电于受和结广的联内视多众形合泛新网容、样,抖 划 策 策 策 策 策 划式, 传 型 的 兼 报 化 实音 产 划 划 划 划 划 产,借 播 媒 新 融 刊 的 现营 品 产 方 产 方 产 品将等 等助 给 体 兴 、 等 传 资抖 推 品 案 品 案 品 推级 级新于 受 。 媒 宣 与 播 源音 抖 推 抖 推 抖 推 广保 保闻多 众 融 体 传 基 渠 通护 护营 音 广 音 广 音 广 整资样 , 媒 有 互 于 融22销 营 整 营 整 营 整 体道讯..实化 体 效 融 互 、00策 销 体 销 体 销 体 策和等基 扩现的 是 结 的 联 内划 策 策 策 策 策 策 划形广本 展资传 指 合 新 网 容产 划 划 划 划 划 划 方式泛要 要源播 广 , 型 的 兼品 产 方 产 方 产 方 案,传求 求通渠 播 借 媒 新 融推 品 案 品 案 品 案 销将播解 解融、 助 体 兴 、广 推 抖 推 抖 推 广 策道新给析 析、电 于 。 媒 宣整 广 音 广 音 广 整 划和闻受内视 多 融 体 传体 整 营 整 营 整 体 产形资众容、 样 媒 有 互策 体 销 体 销 体 策 品式讯,兼报 化 体 效 融划 策 策 策 策 策 划 推,等实融刊 的 是 结 的方 划 划 划 划 划 方 广将广现、等 传 指 合 新案方产方产方案整新泛资宣与播广,型抖案品案品案抖体闻传源音抖推抖推抖音策营音广音广音营划销营整营整营销方策销体销体销策案
等保2.0标准介绍
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控 制范围则决定了安全责任的边界。
云计算系统与传统信息系统保护对象差异
层面
云计算系统保护对象
传统信息系统保护对象
物理和环境安全 机房及基础设施
GB/T25070.1-XXXX 安全通用要求 GB/T25070.2-XXXX 云计算安全要求 GB/T25070.3-XXXX 移动互联安全要求 GB/T25070.4-XXXX 物联网安全要求 GB/T25070.5-XXXX 工业控制安全要求
等保2.0由一个单一标准演变为一个系列标准
等级保护安全框架
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
访问控制
入侵防范 镜像和快照
保护 数据完整性和
保密性 数据备份恢复
剩余信息保护
GB/T 22239.2云计算安全扩展要求细则
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
应用和数据安全
应用系统、云应用开发平台、中间件、 应用系统、中间件、配置文 云业务管理系统、配置文件、镜像文件、件、业务数据、用户隐私、 快照、业务数据、用户隐私、鉴别信息 鉴别信息等 等
系统安全建设管 云计算平台接口、云服务商选择过程、 N/A
理
SLA、供应链管理过程等
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
等保2.0标准介绍
新增领域标准
云计算安全 工业控制安全
物联网安全 移动互联安全
等级保护安全框架
网络安全战略规划目标
总体安全策略
国家信息安全等级保护制度
定级备案
安全建设
等级测评
安全整改
监督检查
国
国
家
家
组 织
机 制
安 全
安 全
通 报
应 急
态 势
能 力
技 术
安 全
队 伍
教 育
经 费
信
网 络
管 理
建 设
规 划
监 测
预 警
物联网应用场景
对物联网的安全防护应包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用 层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护,本标准 的物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的 完整安全要求。
物联网安全扩展要求
安全物理 环境
工业控制系统层次模型
标准参考标准IEC 62264-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统 等模型的共性进行抽象,对工业控制系统采用层次模型进行说明。
注:该图为工业控制系统经典层次模型参考自国际标准IEC 62264-1,但随着工业4.0、信息物理系统的发展,已不能完全 适用,因此对于不同的行业企业实际发展情况,允许部分层级合并。
各个层次实现等级保护基本要求的差异
工业控制系统构成的复杂性,组网的多样性,以及等级保护对象划分的灵活性,给网络安 全等级保护基本要求的使用带来了选择的需求。下表按照上述描述的功能层次模型和各层 次功能单元映射模型给出了各个层次使用本标准相关内容的映射关系。
网络安全等级保护制度2.0详解及标准【最新版】
网络安全等级保护制度2.0详解及标准2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,2018年公安部正式发布《网络安全等级保护条例(征求意见稿)》,国家对信息安全技术与网络安全保护迈入2.0时代。
什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。
重点解读相较于等保1.0,等保2.0发生了以下主要变化:第一,名称变化。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
等保2.0 安全管理要求
等保2.0 安全管理要求一、引言(200-300字)等保2.0(信息系统安全等级保护2.0)是我国针对信息系统的安全保护提出的一项重要标准,旨在进一步提升信息系统安全保护水平。
等保2.0安全管理要求是等保2.0的核心部分,涵盖了企业在信息系统安全管理过程中应遵循的一系列要求和规范。
本文将一步一步回答等保2.0安全管理要求,帮助读者更好地了解并应用这一标准。
二、等保2.0安全管理范围和目标(300-500字)等保2.0安全管理要求的范围包括了信息系统的整个生命周期,从规划和设计到实施和运维,覆盖了信息系统的所有方面。
其主要目标是确保信息系统在设计、运维和使用过程中的安全性、可靠性和可用性。
具体而言,等保2.0安全管理要求主要涉及以下几个方面:1. 安全管理体系建设:要求企业建立健全的安全管理体系,包括安全管理组织、安全文化塑造、安全培训等。
2. 信息系统安全策略和规划:要求企业制定信息系统安全策略和规划,明确安全目标和安全保障措施。
3. 安全风险管理:要求企业进行全面的安全风险评估和管理,包括对信息系统的威胁、漏洞、风险进行分析和评估,并采取相应的控制措施。
4. 安全事件管理:要求企业建立健全的安全事件管理机制,包括安全事件的预防、监测、响应和应急处置等。
5. 安全审计和监控:要求企业建立有效的安全审计和监控机制,对信息系统进行实时监测和日志记录,及时发现和响应安全事件。
6. 安全域划分和边界保护:要求企业对信息系统进行合理的安全域划分和边界保护,确保各安全域之间的安全隔离和边界防护。
7. 安全运维和维护:要求企业建立规范的安全运维和维护机制,包括安全设备的管理和维护、安全补丁的及时更新等。
8. 安全监管与评估:要求企业进行定期的安全监管和评估,包括自查自评、第三方安全评估等,确保信息系统的安全性得到持续改进。
三、等保2.0安全管理要求的实施步骤(2000-5000字)1. 安全管理体系建设第一步:确定安全管理组织架构和职责分工。
等保2.0建设基本要求
等保2.0建设基本要求
近年来,随着网络安全威胁的不断增加,保护信息系统和数据安全已成为各行各业的重要任务。
为了应对这一挑战,中国政府提出了等保2.0标准,旨在加强信息系统安全保护,保障国家的网络安全。
等保2.0建设基本要求包括以下几个方面:
1. 安全管理制度。
建立健全的安全管理制度是信息系统安全的基础。
各单位应当建立信息安全管理委员会,制定安全管理制度和规范,明确安全管理责任,加强对信息系统安全的监督和管理。
2. 安全防护措施。
信息系统安全防护是保障信息系统安全的关键。
各单位应当建立完善的安全防护体系,包括网络边界防护、主机安全防护、应用系统安全防护等,确保信息系统的安全可靠运行。
3. 安全运维能力。
安全运维是信息系统安全的重要保障。
各单位应当建立健全的
安全运维体系,包括安全监控、漏洞管理、事件响应等,提高对信
息系统安全事件的感知能力和应对能力。
4. 安全审计与评估。
安全审计与评估是信息系统安全保障的重要手段。
各单位应当
定期进行安全审计和评估,发现和解决安全隐患,提高信息系统的
安全性和稳定性。
5. 安全应急响应。
信息系统安全事件时有发生,各单位应当建立健全的安全应急
响应机制,及时有效地应对安全事件,减少损失,保障信息系统的
安全运行。
总之,等保2.0建设基本要求涵盖了安全管理制度、安全防护
措施、安全运维能力、安全审计与评估、安全应急响应等多个方面,各单位应当按照要求,加强信息系统安全建设,提高信息系统的安
全性和可靠性,为国家的网络安全做出积极贡献。
等级保护2.0的技术要求
等级保护2.0的技术要求等级保护2.0的技术要求包括以下方面:1 .结构安全:要求企业或集成商进行网络基础建设时,必须要对通信线路、关键网络设备和关键计算设备进行冗余配置。
例如,关键网络设备应采用主备或负载均衡的部署方式。
2 .安全通信网络:这是原等级保护LO中的“网络安全”在等级保护2.0中的新表述。
它要求保障信息传输的完整性、保密性和可用性,防止未经授权的访问和数据泄露。
3 .安全区域边界:要求设立安全区域边界,并保护其完整性。
这是通过部署防火墙、入侵检测系统等安全设备来实现的。
4 .安全计算环境:这是对计算机系统安全的基本要求,包括防病毒、防黑客攻击、防木马等措施,以及控制对系统的访问权限。
5 .安全管理中心:这是等级保护2.0的新增要求,它强调了对安全管理的集中性和自动化。
安全管理中心应能够进行统一的身份管理、访问控制和安全审计,以提高安全管理效率。
6 .安全运维:等级保护2.0还强调了安全运维的重要性,要求企业或集成商采取有效的措施,确保安全运维的规范化和自动化。
这包括定期进行安全审计、漏洞扫描、安全配置等,以确保系统的安全性。
7 .数据安全:数据是企业的核心资产之一,因此等级保护2.0要求企业或集成商采取严格的数据保护措施,确保数据的完整性、可用性和保密性。
这包括对数据进行加密、备份、恢复等操作,以防止数据泄露或损坏。
8.物理安全:虽然物理安全不属于技术要求,但等级保护2.O仍然强调了物理安全的重要性。
这包括对关键设施进行物理保护、对进出关键区域进行监控和管理等,以确保系统的安全性。
在等级保护2.O中,技术要求被统一在安全管理中心支持下的三重防护结构框架内,这体现了等级保护的基本要求、测评要求和安全设计技术要求的框架统一。
此外,通用安全要求与新型应用安全扩展要求也被整合在一起,例如将云计算、移动互联、物联网、工业控制系统等新型应用列入标准规范,并将可信验证列入各级别和各环节的主要功能要求。
等级保护2.0标准解读
《信息系统安全等级保护测评过程指南》GB/T28449-2012(有修订)ຫໍສະໝຸດ 客户支持 和服务代表
跨云提供 者
云服务安 全和风险 管理者
网络提供 者
22
等保2.0-移动互联安全扩展要求
• 移动互联安全扩展要求章节针对移动互联的特点 提出特殊保护要求。对移动互联环境主要增加的 内容包括“无线接入点的物理位置”、"区域边 界安全"、“移动终端管控”、“移动应用管控 ”、“移动应用软件采购”和“移动应用软件开 发”等方面。
19
02 等级保护2.0 介绍 20
等保2.0-云计算安全扩展要求
• 云计算安全扩展要求章节针对云计算的特点提出 特殊保护要求。对云计算环境主要增加的内容包 括“基础设施的位置”、“虚拟化安全保护”、 “镜像和快照保护”、“云服务商选择”和“云 计算环境管理”等方面。
21
等保2.0-云计算安全扩展要求
12
等保2.0特点4-强化可信计算
从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境” 中增加了“可信验证”控制点。
设备的系统引导程序、系统程序等进行可信验证
增加重要配置参数和应用程序进行可信验证,并将 验证结果形成审计记录送至安全管理中心
增加应用程序的关键执行环节进行动态可信验证
• 管理部分: • 安全管理制度、安全管理机构、安全管理人员、安全建 设管理、安全运维管理
等级保护2.0讲解
基本要求子类
信息系统安全等级保 护级别 等保二级 等保三级
物理安全 网络安全 主机安全 应用安全
10 6 6 7
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
10 7 6 9 4 9 10 14 69
10 8 6 10 4 9 10 14 71
数据安全
管理 要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 合计 /
谢谢
谢谢大家!
感谢您的观看!
入侵防范
无
入侵防范
原控制项 恶意代码防范 无
安全审计
无
无
新控制项 b) 应在关键网络节点处对垃圾邮件进行检测和防护, 恶意代码防范 并维护垃圾邮件防护机制的升级和更新。 (新增) d) 应确保审计记录的留存时间符合法律法规要求; (新增) 安全审计 e) 应能对远程访问的用户行为、访问互联网的用户 行为等单独进行行为审计和数据分析。 (新增) a) 应划分出特定的管理区域,对分布在网络中的安 全设备或安全组件进行管控; (新增) b) 应能够建立一条安全的信息传输路径,对网络中 的安全设备或安全组件进行管理; (新增) c) 应对网络链路、安全设备、网络设备和服务器等 的运行状况进行集中监测; (新增) 集中管控 d) 应对分散在各个设备上的审计数据进行收集汇总 和集中分析;(新增) e) 应对安全策略、恶意代码、补丁升级等安全相关 事项进行集中管理; f) 应能对网络中发生的各类安全事件进行识别、报 警和分析。 (新增)
7
2 2 4
2
2
原控制项 安全审计 软件容错 身份鉴别 个人信息保护 无 个人信息保护 无 无 安全审计 软件容错 身份鉴别
无
新控制项 d) 应确保审计记录的留存时间符合法律法规要求; (新增) c) 在故障发生时,应自动保存易失性数据和所有状 态,保证系统能够进行恢复。(新增) c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措 施确保鉴别信息重置过程的安全; (新增) a) 应仅采集和保存业务必需的用户个人信息; (新 增) b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
等保2.0标准体系详细解读-培训课件
通用要求-安全区域边界部分变化列举
网络安全
控制点
要求项
结构安全
7
访问控制
8
安全审计
4
边界完整性检查
2
入侵防范
2
恶意代码防范
2
网络设备防护
8
合计
33
安全区域边界
控制点
要求项
边界防护
4
访问控制
5
入侵防范
4
恶意代码和垃 圾邮件防范
2
安全审计
等保2.0的典型变化
两个全覆盖
• 一是覆盖各地区、各单位、各 部门、各企业、各机构,也就是 覆盖全社会。除个人及家庭自建 网络的全覆盖。 • 二是覆盖所有保护对象,包括 网络、信息系统,以及新的保护 对象,云平台、物联网、工控系 统、大数据、移动互联等各类新 技术应用。
四个特点
• 等级保护2.0基本要求、测评要 求、安全设计技术要求框架统一, 即:安全管理中心支持下的三重 防护结构框架。
建议措施
网络架构:所有网络设备需要考虑满足业务高峰期需要,防止 网络设备成为瓶颈;同时在做架构规划时充分考虑提供通信线 路、关键网络设备和关键计算设备的硬件冗余,保障业务连续 性
通信传输:要求整个通信链路的加密,对密码技术的使用要求 加强,建议用户考虑通信传输中密码技术应用的实现
可信验证:将可信验证列入各级别和各环节的主要功能要求。 可根据业务需要将可信加入规划落实
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
最详细的等保2.0基本要求解读(精华版)
【精华版】最详细的等保2.0基本要求解读
【前言】
等级保护2.0发布后,市场上铺天盖地的出现了众多解读文章,但大部分文章只停留在总体变化的描述,缺少对等级保护2.0具体条款与等级保护1.0具体基本技术要求的区别分析。
本文以帮助企业理解等级保护2.0基本要求为导向,对等级保护2.0和1.0在基本技术要求存在的区别进行具体分析。
在等级保护2.0合规要求下,满足基本符合等级保护要求从1.0的60分提高到了2.0的75分,这无疑对企业、系统集成商和安全厂家提出了更高的要求和挑战:
●采用何种安全技术手段、何种安全防护体系能够满足等级保护2.0基本要求?
●如何为企业提供既能解决用户切实的需求,又合法、合规的安全解决方案?
●如何帮助企业既能合理规划网络安全的费用投入,又能提高自身网络安全防护能力,达到相关等级保护级别测评要求?
下面将结合等级保护1.0(三级)的具体条款和等级保护2.0(三级)的关键条款变化进行详细的解读。
(本文主要针对网络安全部分进行详细解读分析)
1、网络安全-关键条款变化
由于等级保护2.0中将整体结构进行调整,从物理安全、网络安全、主机安
全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,所以原等级保护 1.0中的“网络安全”变成“安全通信网络”。
在等级保护2.0中,在这一小节没有明显的变化,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的c)d)g)删除。
同时增加了“应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性”的条。
等保2.0解读
等保2.0解读信息安全等级保护 1.0:以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准;以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。
网络安全等级保护 2.0:2014年开始制定2.0标准,修订了通用安全要求,增加了云计算、移动互联、工控、物联网等安全扩展要求。
2019年5月13日发布;2019年12月1日开始实施。
名称变化:原来:《信息系统安全等级保护基本要求》改为:《信息安全等级保护基本要求》再改为:(与《网络安全法》保持一致)《网络安全等级保护基本要求》主要标准文件:网络安全等级保护条例(总要求/上位文件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)网络安全等级保护实施指南(GB/T25058)(正在修订)网络安全等级保护定级指南(GB/T22240)(正在修订)★网络安全等级保护基本要求(GB/T22239-2019)★网络安全等级保护设计技术要求(GB/T25070-2019)★网络安全等级保护测评要求(GB/T28448-2019)★网络安全等级保护测评过程指南(GB/T28449-2018)等保2.0的“变与不变”:“不变”:等级保护“五个级别”不变:1自主保护级;2 指导保护级;3 监督保护级;4 强制保护级;5 转控保护级等级保护“五个阶段”不变:1定级;2备案;3安全建设和整改;4信息安全等级测评;5信息安全检查等级保护“主体职责”不变:公安机关;国家保密工作部门;国家密码管理部门;工业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求“优化”通用要求,删除了过时的测评项(增加云计算、工控、移动互联、物联网安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化:原来:信息系统改为:等级保护对象(网络和信息系统)安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.安全要求变化:原来:安全要求改为:安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.章节结构的变化:8 第三级安全要求8.1 安全通用要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联网安全扩展要求8.5 工业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017试用稿)技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理技术部分:(正式发布稿)安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心管理部分:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统一,安全管理中心支持下的三重防护结构框架2.通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范3.把基于可信根的可信验证列入各级别和各环节的主要功能要求新等级保护建设的核心思想:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
等保2.0详细解读
• 系统损害对客体的侵害程度 • 损害、严重损害、特别严重损害
保护对象受到破坏时 受侵害的客体
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
Hale Waihona Puke 第三级 第四级不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
合格
等保测评 定期选择第三方测评机构进行测评 。三级系统每年至少一次,四级系
统每半年至少一次。
不合格
定级、备案与复查
• 信息系统安全保护等级的定级要素
• 方法指导类
• GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》 • GB/T25070-2010《信息系统等级保护安全设计技术要求》等
• 状况分析类
• GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》 • GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
• 控制点和要求项变化
通用要求分类
控制点对比
详细要求项对比
等保解决方案示例(深信服)
追求人生的美好! 我们的共同目标!
等保2.0标准体系
等保2.0标准体系一、信息安全等级保护基本要求1.信息系统定级准确,满足等级保护基本要求。
2.信息系统安全保护等级符合国家信息安全等级保护政策要求。
3.信息系统安全保护等级与安全需求相适应。
4.信息系统安全保护措施合理有效,满足等级保护基本要求。
二、云计算安全扩展要求1.云计算平台应满足国家信息安全等级保护政策要求。
2.云计算平台应具备安全防护能力,包括虚拟化安全、存储安全、计算安全等方面。
3.云计算平台应具备数据保护能力,确保数据不被泄露或滥用。
4.云计算平台应具备安全审计能力,能够对云服务使用情况进行全面监控和审计。
三、大数据安全扩展要求1.大数据平台应满足国家信息安全等级保护政策要求。
2.大数据平台应具备数据安全防护能力,确保数据不被未经授权的访问、篡改或删除。
3.大数据平台应具备数据隐私保护能力,确保个人隐私和商业机密不被泄露。
4.大数据平台应具备安全审计能力,能够对大数据服务使用情况进行全面监控和审计。
四、物联网安全扩展要求1.物联网设备应满足国家信息安全等级保护政策要求。
2.物联网设备应具备网络安全防护能力,防止网络攻击和数据泄露。
3.物联网设备应具备数据隐私保护能力,确保个人隐私和商业机密不被泄露。
4.物联网设备应具备安全审计能力,能够对物联网服务使用情况进行全面监控和审计。
五、工业控制安全扩展要求1.工业控制系统应满足国家信息安全等级保护政策要求。
2.工业控制系统应具备网络安全防护能力,防止网络攻击和数据泄露。
3.工业控制系统应具备物理安全防护能力,防止未经授权的物理访问和数据泄露。
4.工业控制系统应具备安全审计能力,能够对工业控制服务使用情况进行全面监控和审计。
六、移动互联安全扩展要求1.移动应用应满足国家信息安全等级保护政策要求。
2.移动应用应具备网络安全防护能力,防止网络攻击和数据泄露。
3.移动应用应具备数据隐私保护能力,确保个人隐私和商业机密不被泄露。
4.移动应用应具备安全审计能力,能够对移动应用使用情况进行全面监控和审计。
等级保护2.0讲解
b) 机房场地应避免设在建筑物的高层 b) 机房场地应避免设在建筑物的顶层或 或地下室,以及用水设备的下层或隔 物理位置的 物理位置的选择 地下室,否则应加强防水和防潮措施 壁。 选择 b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。 (新增)
防静电
无
防静电
原控制点 1结构安全 2访问控制 3安全审计 网络安全 4边界完整性 检查
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
等级保护的对象演变
标准名称的变化
等保2.0将原来的标准《信息安全技术 信息系统安全等级 保护基本要求》改为《信息安全技术 网络安全等级保护基 本要求》,与《中华人民共和国网络安全法》中的相关法 律条文保持一致
入侵防范
无
入侵防范
原控制项 恶意代码防范 无
安全审计
无
无
新控制项 b) 应在关键网络节点处对垃圾邮件进行检测和防护, 恶意代码防范 并维护垃圾邮件防护机制的升级和更新。 (新增) d) 应确保审计记录的留存时间符合法律法规要求; (新增) 安全审计 e) 应能对远程访问的用户行为、访问互联网的用户 行为等单独进行行为审计和数据分析。 (新增) a) 应划分出特定的管理区域,对分布在网络中的安 全设备或安全组件进行管控; (新增) b) 应能够建立一条安全的信息传输路径,对网络中 的安全设备或安全组件进行管理; (新增) c) 应对网络链路、安全设备、网络设备和服务器等 的运行状况进行集中监测; (新增) 集中管控 d) 应对分散在各个设备上的审计数据进行收集汇总 和集中分析;(新增) e) 应对安全策略、恶意代码、补丁升级等安全相关 事项进行集中管理; f) 应能对网络中发生的各类安全事件进行识别、报 警和分析。 (新增)
等保2.0标准体系详细解读-培训课件
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等保2.0基本要求一级通用测评要求
1安全物理环境1.1物理访问控制机房出人口应安排专人值守或配置电子门禁系统。
控制。
鉴别和记录进入的人员。
1.2防盗窃和防破坏应将设备或主要部件进行固定。
并设置明显的不易除去的标识。
1.3防雷击应将各类机柜。
设施和设备等通过接地系统安全接地。
1.4防火机房应设置灭火设备。
1.5防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
1.6温湿度控制应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
1.7电力供应应在机房供电线路上配置稳压器和过电压防护设备。
2安全通信网络2.1通信传输应采用校验技术保证通信过程中数据的完整性。
2.2可信验证可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证。
并在检测到其可信性受到破坏后进行报警。
3安全区域边界3.1边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
3.2访问控制本项要求包括:a)应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;b)应删除多余或无效的访问控制规则,优化访问控制列表。
并保证访问控制规则数量最小化;c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
3.3可信验证可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
4安全计算环境4.1身份鉴别本项要求包括:a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
4.2访问控制本项要求包括:a)应对登录的用户分配账户和权限;b)应重命名或删除默认账户修改默认账户的默认口令;c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。
4.3入侵防范本项要求包括:a)应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应关闭不需要的系统服务、默认共享和高危端口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护2.0发布后,市场上铺天盖地的出现了众多解读文章,但大部分文章只停留在总体变化的描述,缺少对等级保护2.0具体条款与等级保护1.0具体基本技术要求的区别分析。
本文以帮助企业理解等级保护2.0基本要求为导向,对等级保护2.0和1.0在基本技术要求存在的区别进行具体分析。
在等级保护2.0合规要求下,满足基本符合等级保护要求从1.0的60分提高到了2.0的75分,这无疑对企业、系统集成商和安全厂家提出了更高的要求和挑战:●采用何种安全技术手段、何种安全防护体系能够满足等级保护2.0基本要求?●如何为企业提供既能解决用户切实的需求,又合法、合规的安全解决方案?●如何帮助企业既能合理规划网络安全的费用投入,又能提高自身网络安全防护能力,达到相关等级保护级别测评要求?下面将结合等级保护1.0(三级)的具体条款和等级保护2.0(三级)的关键条款变化进行详细的解读。
(本文主要针对网络安全部分进行详细解读分析)网络安全-关键条款变化由于等级保护2.0中将整体结构进行调整,从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,所以原等级保护1.0中的“网络安全”变成“安全通信网络”。
1【精华版】最详细的等保2.0基本要求解读结构安全-详解在等级保护2.0中,在这一小节没有明显的变化,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的c)d)g)删除。
同时增加了“应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性”的条款,并将这一小节中的“子网、网段”都统一更换成了“网络区域”。
对企业、安全厂家、系统集成商提出的要求1)企业或集成商进行网络基础建设时,必须要对通信线路、关键网络设备和关键计算设备进行冗余配置,例如关键网络设备应采用主备或负载均衡的部署方式;2)安全厂家在进行安全解决方案设计时,也应采用主备或负载均衡的方式进行设计、部署;3)强调、突出了网络区域的概念,无论在网络基础建设,还是安全网络规划,都应该根据系统应用的实际情况进行区域划分。
访问控制-详解在等级保护2.0中,对于访问控制这一节变化较大,首先将等级保护1.0访问控制这一小节从原来网络安全中的条款变更到安全区域边界这一节中,其次删除了等级保护1.0中大部分条款,如上图,将c)d)e)f)g)h)全部删除。
同时在上一节网络架构提出网络区域的基础上,进一步强调区域的概念,强调应在网络边界或区域之间部署访问控制设备,并强调了“应对进、出网络的数据流实现基于应用协议和应用内容的访问控制”,对应用协议、数据内容的深度解析提出了更高的要求。
对企业、安全厂家、系统集成商提出的要求1)要着重考虑网络边界的访问控制手段,但网络边界不仅仅是业务系统对其他系统的网络边界,还应该包括在业务系统内不同工艺区域的网络边界;2)访问控制的颗粒度要进一步的强化,不仅仅要停留在对于HTTP,FTP,TELNET,SMTP等通用协议的命令级控制程度,而是要对进出网络数据流的所有应用协议和应用内容都要进行深度解析;3)企业用户在进行网络安全防护项目招标时一定要考虑参与投标的安全厂家所采用的边界访问控制设备是否具备对应用协议深度解析的能力,例如在工业控制系统,除了能够对比较常见的OPC、ModBus TCP、DNP3、S7等协议进行深度解析外,还需要根据现场业务实际情况,对业务系统中使用的私有协议进行自定义深度解析,否则很难达到测评要求。
安全审计-详解在等级保护2.0中,将等级保护1.0安全审计这一小节从原来网络安全中的条款变更安全区域边界这一节中,将原条款的c)去掉,并对其他三条都进行了强化,尤其是a)条款,同时增加了“应能对远程访问的用户行为、访问互联网用户行为等都进行行为审计和数据分析”。
对企业、安全厂家、系统集成商提出的要求1)重点强调了需要在网络边界、重要网络节点处进行网络行为审计,要求企业在进行网络安全防护项目时要充分考虑网络边界和重要网络节点的行为审计能力,例如在城市轨道交通信号系统中,车站分为一级集中站、二级集中站和非集中站,结合等级保护2.0的要求,需要在一级和二级集中站都要考虑部署具备网络行为审计能力的安全产品。
而仅仅在一级集中站内部署具有网络行为审计能力的产品是不够的。
2)重点强调网络行为审计,即对网络流量进行审计,而这仅仅靠原有的日志审计类产品是不够的,无法满足等级保护2.0的要求。
边界完整性&入侵防范&恶意代码防范-详解将这三点放到一起是因为彼此之间具备一定的连带关系,将等级保护1.0中的边界完整性检查、入侵防范和恶意代码防范这3节都变更到等级保护2.0中的安全区域边界中。
在边界完整性检查的这一节中,原等级保护1.0中要求必须准确定位并有效阻断非法外联、内联的行为,但在等级保护2.0中要求中,提出了“防止或限制”的要求,取消了原等级保护1.0中的“定位”要求;入侵防范这一节中,主要提出了对于网络行为的分析,并且能够实现“已知”和“未知”的攻击行为检测能力。
对企业、安全厂家、系统集成商提出的要求1)对于企业和系统集成商,在进行网络安全防护项目招标时要充分考虑对于在等级保护2.0中所提出的对于“已知”和“未知”的检测要求。
尤其在进行安全厂家选择时,要重点考虑安全厂家对于“未知”攻击的检测能力;2)对于安全厂家,网络安全审计或入侵检测产品不应仅仅局限在采用“特征库”的形式进行攻击检测,因为采用以“特征库”为模板的形式无法对“未知”攻击进行检测;3)对于安全厂家,入侵防范的范围变化,需要在网络安全解决方案设计时充分考虑,不应仅仅在网络边界处进行入侵防范,还需要在网络中的关键节点处均需要进行入侵防范。
网络设备防护-详解该小节在等级保护2.0全部被删除,并整合到“安全计算环境”中。
以下内容以等级保护三级为基础,针对等级保护2.0中安全计算环境部分进行解读。
再次回顾等级保护2.0的整体变化,整体结构从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,其中原等级保护1.0中的“主机安全”部分整合到“安全计算环境”中。
条款对比详解身份鉴别2在身份鉴别这一小节中首先弱化了系统的概念,提出标识的唯一性,将原等级保护1.0中老旧条款的e)删除。
同时对双因子认证进行了加强,强调“口令、密码技术、生物技术的组合鉴别,要求其中一种至少应使用密码技术来实现”。
>高风险强调在身份鉴别这部分要求中,设备存在弱口令,远程管理无防护和缺少双因子认证均是高危风险项。
对企业、安全厂家、系统集成商提出的要求:1)集成商进行业务应用软件设计时,应考虑业务应用系统在“用户名”+“口令”的基础上进一步实现通过密码技术对登录用户的身份进行鉴别,同时应避免业务应用系统的弱口令问题;2)集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制;3)企业在业务运营期间不可通过不可控的网络环境进行远程管理,容易被监听,造成数据的泄露,甚至篡改;4)安全厂家在进行安全产品选用时,应采用具有两种或以上的组合鉴别方式的安全防护软件对登录系统的管理用户进行身份鉴别。
满足本地身份认证和第三方远程身份认证双因子验证要求。
访问控制在访问控制这一小节中,主要是将原等级保护1.0中的条款进行了完善,强调“强制访问控制”,明确授权主体可以通过配置策略规定对客体的访问规则,控制粒度等。
>高风险强调要求项中,未重命名或删除默认账户,未修改默认账户的默认口令属于高风险项。
对企业、安全厂家、系统集成商提出的要求:1)集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制,确保业务应用系统不存在访问控制失效的情况;2)企业或集成商在进行系统配置时,应为用户分配账户和权限,删除或重命名默认账户及默认口令,删除过期、多余和共享的账户;3)安全厂家在进行安全产品选用时,应采用符合强制访问控制要求的安全防护软件对主机、系统进行防护,可以有效的降低高风险项的风险等级。
安全审计在安全审计这一小节中,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的a)b)d)条款删除,整合为“启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计”。
审计记录中删除“主体标识、客体标识和结果等”并改为“事件是否成功及其他与审计相关的信息”,增加对审计记录的“定期备份”。
>高风险强调要求项中,未启用安全审计功能,审计覆盖到每个用户,未对重要的用户行为和重要安全事件未进行审计属于高风险项。
对企业、安全厂家、系统集成商提出的要求:1)对集成商而言,业务应用系统软件的安全审计能力至关重要,需要能够对重要用户操作、行为进行日志审计,并且审计的范围不仅仅是针对前端用户,也要针对后端用户;2)对企业来说,在基础建设时应该在重要核心设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件的审计策略,并在安全运营的过程中对策略的开启定期检查;3)安全厂家在进行安全审计产品选用时,应采用可以覆盖到每个用户并可对重要的用户行为和重要安全事件进行审计的产品。
可利用日志审计系统实现对日志的审计分析并生产报表,通过堡垒机来实现对第三方运维操作的审计。
剩余信息保护在剩余信息保护这一小节没有明显的变化,主要是将“操作系统和数据库系统用户”和“无论这些信息是存放在硬盘上还是在内存中”等限制性条件进行了删除,将“系统内的文件、目录和数据库记录等资源所在的存储空间”改为“存有敏感数据的存储空间”。
>高风险强调应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除,该项为高风险项。
如果身份鉴别信息释放或清除机制存在缺陷,如在清除身份鉴别信息后,仍能进行访问资源的操作,属于高风险。
对企业、安全厂家、系统集成商提出的要求:企业或集成商在服务器上启用基于操作系统本身的剩余信息保护功能。
入侵防范在入侵防范这一小节中,将a)和b)进行了整合,“重要服务器”改为“重要节点”,新增d)和e),要求系统可以对数据进行有效性检验,同时可以发现系统存在的已知漏洞,在验证后可以进行修补。
>高风险强调不必要的服务、端口未关闭;管理终端管控无措施均属于高危风险项目。
对企业、安全厂家、系统集成商提出的要求:1)企业或集成商在进行系统安装时,遵循最小安装原则,仅安装业务应用程序及相关的组件;2)企业或集成商进行应用软件开发时,需要考虑应用软件本身对数据的符合性进行检验,确保通过人机接口或通信接口收到的数据内容符合系统应用的要求;3)企业或集成商在选择主机安全防护软件时除了要考虑主机安全防护软件的安全功能以外,还要考虑与实际业务场景结合的问题,能够有效的帮助业主解决实际痛点。