图文解说 | 新2.0标准下的网络安全等级保护解决方案

admin 2022年4月17日00:59:33评论106 views字数 3548阅读11分49秒阅读模式

图文解说 | 新2.0标准下的网络安全等级保护解决方案


《信息安全技术网络安全等级保护基本要求》2.0版本已于2019年12月1日起正式实施。相比于“等保1.0”,“等保2.0”标准发生了哪些新变化和扩展要求,如何实现“等保2.0”工作落地执行?我们准备了一份“等保2.0”解决方案供大家参考。

1

网络安全法和网络安全等级保护制度


根据网络安全法及等级保护相关要求,企业或单位应严格落实等级保护制度、履行网络安全责任、加强网络安全防护、不断提高网络抗攻击能力,因此还应定期开展网络的等级测评、风险评估、渗透测试、安全培训、安全运维、应急响应和安全通报等工作,以提高安全水平和防御能力,保障企业或单位的网络系统稳定运行。


图文解说 | 新2.0标准下的网络安全等级保护解决方案


2

为什么要开展网络安全等级保护工作


(一)体现国家管理意志,构建国家信息安全保护体系

等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作,如《中华人民共和国网络安全法》和《网络安全管理办法》。

(二)维护国家安全,保护公众利益,保障和促进信息化发展

落实个人及单位的网络安全保护义务,通过等级保护工作发现单位信息系统存在的安全隐患和不足,通过安全整改提高信息系统的信息安全防护能力,合理规避风险。


3

网络安全等级保护进入2.0时代


网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,2019年5月13日网络安全等级保护制度2.0标准(以下简称等保2.0标准)正式发布,并已于2019年12月1日正式实施。


图文解说 | 新2.0标准下的网络安全等级保护解决方案


等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。


图文解说 | 新2.0标准下的网络安全等级保护解决方案


4

等级保护2.0的扩展要求


为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等保2.0要求分为安全通用要求和安全扩展要求。《网络安全等级保护基本要求》针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。


图文解说 | 新2.0标准下的网络安全等级保护解决方案


扩展要求应用场景说明:


(一)云计算应用场景

云计算平台/系统由设施、硬件、 资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、 基础设施即服务(IaaS)是三种基本的云计算服务模式。如图所示,在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。


图文解说 | 新2.0标准下的网络安全等级保护解决方案

云计算服务模式与控制范围的关系


(二)移动互联应用场景

采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为。等保2.0移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求,与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。


图文解说 | 新2.0标准下的网络安全等级保护解决方案

移动互联应用架构


(三)物联网应用场景

对物联网的安全防护包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护。物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。


图文解说 | 新2.0标准下的网络安全等级保护解决方案

物联网构成

 

(四)工业控制系统应用场景

等保2.0参考IE C 62264-1的层次结构模型划分,同时将SC ADA 系统、DCS系统和 PLC 系统等模 荆的共性进行抽象,对工业控制系统采用层次模型进行说明。层次模型从上到下共分为5个层级,依次为企业资源层、生产管理 层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。


图文解说 | 新2.0标准下的网络安全等级保护解决方案

功能层次模型


5

等级保护工作流程及标准体系


等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保2.0标准仍然将围绕这5个规定动作开展工作。


图文解说 | 新2.0标准下的网络安全等级保护解决方案
等级保护工作流程及标准


  • 《实施指南》的主要内容是描述等级保护工作整个过程。
  • 《定级指南》主要内容是有关等保对象定级,基本要求是最为核心一个标准,主要内容是对等保对象提出安全保护能力。
  • 《安全设计技术要求》是实现基本要求的最佳实践。
  • 《测评要求》是对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门依法进行的网络安全等级保护监督检查参考使用。
  • 《测评规程指南》是对测评机构的工作过程进行规范化管理。
 

6

等级保护工作主要内容


图文解说 | 新2.0标准下的网络安全等级保护解决方案


7

等级保护安全框架


等保2.0标准依然采用“一个中心、三重防护”的理念,通过实施三重防护主动防御框架,能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。


图文解说 | 新2.0标准下的网络安全等级保护解决方案
等级保护框架


8

基于安全框架的等级保护解决方案


图文解说 | 新2.0标准下的网络安全等级保护解决方案


(一)定级备案
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。


国舜股份等保咨询顾问可指导客户完成定级备案相关工作:
(1)确定定级对象:网络安全等级保护工作的工作对象,主要包括基础信息网络、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统)和大数据等。
(2)确定安全保护等级:依据网络安全等级保护定级指南,确定定级对象的义务信息安全保护等级和系统服务安全保护等级,最终确定系统的安全保护等级。
(3)专家评审:对于安全保护初步确定为第二级以上的等级保护对象,国舜科技配合客户组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,将定级结果上报行业主管部门或上级主管部门进行审核。
(4)协助备案:编制等级保护定级备案表和备案材料,配合客户将初步定级结果提交公安机关进行备案审查。

(二)差距分析
通过网络安全等级保护差距分析工作,寻找组织重要系统在安全物理环境、安全通信网络、安全区域边界 、安全计算环境、安全管理中心、安全管理制度 、安全管理机构 、安全管理人员 、安全建设管理、安全运维管理十个方面与等保之间的差距状况,对待评信息系统的安全状况进行全面分析,明确客户当前安全防护情况、寻找差距改进方向,提高组织信息系统的安全性,为下一步针对不符合项的安全体系设计与整改提供基础。


(三)安全体系设计及整改

在安全体系设计及整改阶段阶段,依据差距分析阶段分析的结果,对测评对象开展安全管理体系设计和安全技术体系设计。通过安全体系设计及后续建设整改,探索信息安全工作的整体思路,提高信息系统安全管理水平,提高信息系统的安全保护能力,信息系统安全防范能力明显增强。

(1)安全管理体系设计
国舜股份结合客户组织结构自身的特点,兼顾行业监管部门的相关安全规范,综合考虑各类措施来达到基本要求提出的安全保护能力。在安全管理体系设计的实务中,可将安全管理体系设计分为现状调研、架构设计及体系建设三个步骤,制定符合相应等级要求的安全管理设计及整改方案。结合行业特点和安全需求,通过安全管理体系设计及整改,落实网络安全责任制、落实安全管理制度、落实系统建设管理制度、落实系统运维管理制度。
(2)安全技术体系设计
通过安全技术措施规划及建设,针对不同等级对象的基本需求,落实相应的安全保护技术措施,规划设计边界防护体系、动态监控体系、客户信用体系和安全管理中心,强化“一个中心、三重防护”。
(3)安全整改
协助客户依据安全体系设计阶段的实施方案,对目标信息系统及相关IT资源环境进行安全整改。国舜股份在整改完成后进行再评估,出具安全整改后的安全评估复测报告。


(四)等级测评
在客户向国家等级保护测评机构申请测评后,国舜股份安全咨询顾问将根据测评要求协助补充和准备测评所需的文档资料。陪同客户配合现场测评工作,协助回答测评实施人员问题,协助客户等级保护对象通过等级保护测评并输出测评报告。


国舜股份依据国家网络安全等级保护2.0相关政策和标准,协助客户开展信息安全策略优化、安全规划、通报预警、应急处置、态势感知、能力建设、技术检测、教育培训等工作。为客户提供相应的安防建议和解决方案,助力提升客户的信息安全保障能力和网络安全防护能力,降低系统被攻击的风险,保证业务的平稳运行。

拓展阅读




国舜股份部分服务客户(排名不分先后)
图文解说 | 新2.0标准下的网络安全等级保护解决方案

原文始发于微信公众号(国舜股份):图文解说 | 新2.0标准下的网络安全等级保护解决方案

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月17日00:59:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   图文解说 | 新2.0标准下的网络安全等级保护解决方案http://cn-sec.com/archives/895411.html

发表评论

匿名网友 填写信息