等保2.0和1.0差异一:标准名称差异
等保2.0和1.0差异二:定级划分差异
等保2.0和1.0差异三:定级流程差异
等保2.0和1.0差异四:等保对象差异
等保2.0和1.0差异五:测评结论差异
等保2.0技术要点—等保二级
等保2.0技术要点—等保三级
等保2.0通用要求重要变更—安全能力
边界防护
-
应限制无线网络的使用,保证无线网络通过受控边界设备接入内网
-
对非授权终端连接内网、用户非授权外联行为进行检测和监控
访问控制
-
明确应在关键网络节点处对进出网络的数据流实现基于应用协议和应用内容的访问控制
通信传输
-
加密传输在网络与通信和应用和数据都有强调,等保1.0在网络安全处章节没有强调
入侵防范
-
实现对网络攻击特别是未知的新型网络攻击的检测和分析;
-
应在关键网络节点处检测和限制从内部发起的网络攻击行为;
恶意代码防范
-
应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
集中管控
-
等保2.0新增为技术要求,等保1.0对应管理要求,强调集中管控,集中监测,集中分析
数据安全
-
数据备份恢复部分,应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
个人信息保护
-
等保2.0中,特别增加了个人信息保护的要求。包括采集最小原则和使用需授权原则
等保2.0通用要求重要变更—可信验证
一级:
-
可基于可信根对边界设备系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警
二级:
-
可基于可信根对边界设备系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
-
可基于可信根对边界设备系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
-
可基于可信根对边界设备系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
等保2.0的差异化小结
等保解决方案设计模型
等保2.0通用要求解决方案
等保2.0通用要求方案-通信网络
合规要点
-
选型合理:
保证路由器、交换机、防火墙等设备业务处理能力和带宽满足业务高峰期需要;
-
分区分域:
划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
-
加密通信:
采用校验技术或密码技术保证通信过程中数据的完整性及保密性
-
冗余架构
提供通信线路、关键网络设备的硬件冗余。
-
可信验证:
基于可信根对通信设备的系统引导,应用关键点动态验证,可报警、可审计。
等保2.0通用要求方案-区域边界
合规要点
-
访问控制:
跨边界、非授权设备接入、非授权用户外联、无线设备接入、联接行为检查、应用协议和内容检查,优化访问控制规则。
-
入侵防范:
内/外部发起的攻击,对网络行为进行分析,未知的新型网络攻击;
-
恶意代码和垃圾邮件
在关键网络节点处对 恶意代码/垃圾邮件,进行检测和清除,并维护其升级和更新;
-
安全审计
覆盖到用户,审计用户行为,重要安全事件,记录需备份,内/外部用户行为审计和数据分析;
-
可信验证:
基于可信根对边界设备的系统引导,应用关键点动态验证,可报警、可审计
等保2.0通用要求方案--计算环境
合规要点
-
双因素认证:
采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
-
管理通道加密传输:
远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
-
弱点和漏洞处理
删除默认账号/过期账号/默认口令,要求密码复杂度、密码定期更换;关闭无需服务、高危端口,修复已知系统漏洞;
-
主机安全
识别并阻断入侵和病毒;
-
数据安全
采用校验技术或密码技术保证重要数据在传输(存储)过程中的完整性(保密性);数据备份方案、剩余数据处理、个人信息保护。
-
可信验证:
基于可信根对计算设备的系统引导,应用关键点动态验证,可报警、可审计
等保2.0通用方案—安全管理中心
合规要点
-
分权分角色:
包括系统管理员、审计管理员、安全管理员;
-
集中监测:
网络链路、安全设备、网络设备和服务器等的运行状况;
-
集中管理:
对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;对系统的资源和运行进行配置、控制和管理;
-
集中审计
对分散在各个设备上的审计数据进行收集汇总和集中分析;
-
态势感知
对网络中发生的各类安全事件进行识别、报警和分析。
等保2.0方案新增关键点—可信验证
合求:
可基于可信根对边界设备系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
-
可信根:
华为设备采用自研海思CPU芯片,完全自主可控,硬件可信根固化在CPU内部,完成最基础的启动验证,验证引导程序完整性;
-
可信启动:
启动过程由硬件可信根开始并逐级向后校验,确保启动过程中的信任链。硬件信任根在上电第一时间执行,BIOS阶段使用数字签名验证下一阶段的完整性,以此类推,每个阶段启动完成后都要对下一个启动阶段进行完整性校验,如果验证不通过,启动过程中止。
-
应用关键环节可信验证:
对应用软件版本升级前,补丁和插件加载前,将使用数字签名对软件包进行完整性校验;
-
告警日志与远程证明:
规划中。
等保2.0方案新增关键点—未知威胁
方案特点
-
合规要求:
应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;
-
主动诱捕
低成本布防探针,可手动或自动设置诱捕陷阱,诱导攻击者攻击诱捕器,诱捕器通过交互确认攻击并产生告警、记录交互过程。
-
大数据分析
华为CIS网络安全智能系统,基于机器学习样本分析,采用大数据分析方法检测威胁,实现的是对APT等高级威胁检测,其核心思想是以持续检测应对持续攻击;
-
联动阻断
对流量和威胁日志的进行采集,通过大数据分析,网络与安全联动闭环,实现APT威胁的自动阻断隔离。
原文始发于微信公众号(泷羽Sec-Yonc):等保2.0标准体系
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论