自2018年6月公安部《网络安全等级保护条例(征求意见稿)》发布以来,网络安全等级保护陆续有了更有力的政策规则和更细致的法规标准,标志着等保进入了2.0时代。
那么,等保2.0新鲜在哪?
监管合规有着怎样的标准?
等保建设实施如何落地?
我们从行业实践角度出发,梳理了2.0时代等保工作思路,旨在助力企业网络安全防护能力和信息安全管理能力的提升,合理规避风险。
等保全称为“信息系统安全等级保护”,现改为“网络安全等级保护”,是指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高,安全保护能力就越强。
* 2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》(公字【2007】43号文),在全社会范围内(包括国家单位、企业单位、行业等)推行“信息安全等级保护”政策;
* 2016年11月7日《中华人民共和国网络安全法》通过,第二十一条明确规定:国家实行网络安全等级保护制度。2017年6月1日开始正式实施;
* 2018年6月27日,《网络安全等级保护条例(征求意见稿)》发布,正式宣告等保进入2.0时代。
首先,等保2.0纳入了《中华人民共和国网络安全法》规定的重要事项;
其次,1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管;
最后,2.0把监管对象从体制内拓展到了全社会,扩大了保护对象的范围、丰富了保护方法、增加了技术标准。
为了配合《中华人民共和国网络安全法》的实施,同时适应新技术(移动互联、云计算、大数据、物联网等)、新应用情况下等保工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对新技术(移动互联、云计算、大数据、物联网等)、新应用领域的个性安全保护需求,形成新的等保基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
除基本要求(GB/T 22239)合成上述5个部分,设计要求(GB/T 25070)和测评要求(GB/T 28448)也分别从原来的5个分册分别整合成一册。
等保2.0控制措施由旧标准的10个分类合并为8个分类,分为技术要求和管理要求两个核心维度:
技术要求:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
管理要求:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
等级保护建设核心思想
信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
a. 即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
b. 即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。
c. 即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。
关键等保划分及定级建议
对不同等级的监管要求和保护级别,要求如下:
等级保护保护级别
等级保护安全通用要求解读
等级保护安全通用要求
接下来我们以应用和数据安全的技术要求为例,进一步对等保安全通用要求进行详细介绍:
应用和数据安全-技术要求要点
应用与数据安全技术要求-详细解读
新控制点:
1、身份鉴别
等保三级要求项数:5
等保三级-技术要求:
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
b) 应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
c) 应强制用户首次登录时修改初始口令;(新增)
d) 用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全;(新增)
e) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
2、访问控制
等保三级要求项数:7
等保三级-技术要求:
a) 应提供访问控制功能,对登录的用户分配帐号和权限;
b) 应重命名默认帐号或修改这些帐号的默认口令;
c) 应及时删除或停用多余的、过期的帐号,避免共享帐号的存在;
d) 应授予不同帐号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
g) 应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
3、安全审计
等保三级要求项数:5
等保三级-技术要求:
a) 应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应确保审计记录的留存时间符合法律法规要求;(新增)
e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
4、软件容错
等保三级要求项数:3
等保三级-技术要求:
a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
b) 在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施;
c) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。(新增)
5、资源控制
等保三级要求项数:4
等保三级-技术要求:
a) 当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
b) 应能够对系统的最大并发会话连接数进行限制;
c) 应能够对单个账号的多重并发会话进行限制;
d) 应能够对并发进程的每个进程占用的资源分配最大限额。
6、数据完整性
等保三级要求项数:2
等保三级-技术要求:
a) 应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性;
b) 应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。
7、数据保密性
等保三级要求项数:2
等保三级-技术要求:
a) 应采用加解密技术保证重要数据在传输过程中的保密性;
b) 应采用加解密技术保证重要数据在存储过程中的保密性。
8、数据备份恢复
等保三级要求项数:3
等保三级-技术要求:
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
9、剩余信息保护
等保三级要求项数:2
等保三级-技术要求:
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
10、个人信息保护
等保三级要求项数:2
等保三级-技术要求:
a) 应仅采集和保存业务必需的用户个人信息;
b) 应禁止未授权访问和使用用户个人信息。
近几年来网络信息安全事件频繁发生。从企业遭遇网络安全事件泄露用户数据,到个人因垃圾短信、诈骗信息、信息泄露等造成经济损失,对网络信息的攻击、侵入、干扰、破坏和非法使用的案例层出不穷。正是在这一背景下,国家制定了《网络安全法》,从网络产品、服务、运营、信息安全以及检测、早期诊断、应急响应和报告等方面提出了较全面的要求。
通观《网络安全法》,其对“网络运营者”的定义几乎适用于所有拥有或管理网络的中国企业。换而言之,在等保制度被提升到法律层面后,开展网络安全等级保护成为了企业义不容辞的信息安全义务。
在关系国计民生的重点行业,如金融、医疗、教育等,主管部门已经下发相关文件或通知要求开展等级保护工作。可以说,开展信息安全等级保护成为未来企业合规运营的必经之路。
等保实施建设的意义:
1.便于发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距,发现系统安全隐患与不足;
2.通过安全整改,有效提高信息安全保障能力和水平,提高网络安全防护能力,降低系统被攻击的风险。
3.调动国家、法人、其他组织、公民安全防护积极性,有利于明确信息安全责任,加强企业信息安全管理。
派拉软件作为中国领先的身份安全与信息整合技术提供商,成立十年来一直专注于信息安全细分领域统一身份管理(IAM)和特权帐号管理(堡垒机)产品的研发与实施服务,为企业的信息安全与内控合规提供保驾护航服务。
派拉统一身份管理与安全认证系统(简称ParaSecure ESC),是全新一代基于微服务架构和人工智能技术开发的统一身份管理产品,数据定义,AI驱动,智能算法,场景分析,支持弹性扩容、亿级用户规模和大数据NoSQL存储,覆盖从IT到业务的全身份数据链,涉及企业内部IT身份数据、IoT身份数据、API身份数据、用户身份数据等,强调风险预警和防范,统一身份数据,统一安全管控,用户行为分析,为企业提供高效、便捷、高安全指数的身份安全管理和身份数据价值创新服务。
产品符合全球高安全风险行业市场信息安全系统建设的需求,其中审计管理包含身份管理审计、权限视图审计、用户行为审计、管理行为审计、请求审计、统计报表等报表内容以满足企业内部和外部审计,以及行业和政府监管的合规性要求,符合客户当前和未来的业务要求和国家最新等保2.0政策法规的要求。
派拉特权帐号管理系统(简称ParaSecure OSC),是一款集运维安全控制与运维安全审计相结合的产品,构建了一个统一的安全管理平台,集中解决AIX、Unix、Linux、Windows、Solaris 、AS/400等操作系统,以及数据库(包含DB2、Oracle、Sybase、Informix、MySQL、MS SQL等)、网络设备(交换机、路由器等)的帐号集中管理、集中授权、集中认证和集中审计。
技术干货 | FIDO认证
技术干货 | 如何设计统一身份认证高可用
2,600位高管调查:威胁情报、自动化和身份管理最为节约成本
