等级保护2.0解决方案
2020年5月
目录
一、等级保护2.0技术要求 (3)
1、测评对象及控制点 (4)
2、技术要求解读 (5)
2.1 物理与环境要求 (5)
2.2网络与通信安全 (6)
2.3设备与计算安全 (6)
2.4应用与数据安全 (7)
3.管理要求解读 (8)
3.1安全管理机构和人员 (8)
3.2安全建设管理 (9)
3.3安全运维管理 (10)
二、等保2.0建设配置 (11)
1、防火墙 (13)
2、入侵防御 (14)
3、WEB应用防火墙 (15)
4、安全审计系统 (16)
5、VPN设备 (17)
6、堡垒机 (18)
7、上网行为管理 (19)
8、安全隔离网闸 (23)
9、流量监控设备 (24)
10、漏洞扫描设备 (25)
11、态势感知 (26)
三、不同场景下的等保建设方案 (27)
1、等保一体机解决方案 (27)
1.1 配置组件 (27)
1.2 部署方式 (30)
1.3方案优势 (31)
2、等保云安全池解决方案 (33)
2.1配置组件 (33)
2.2部署方式 (35)
2.3方案优势 (36)
3、传统等保解决方案 (37)
3.1 配置组件 (38)
3.2部署方式 (39)
3.3方案优势 (39)
一、等级保护2.0技术要求
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。
为了配合《中华人民共和国网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
类似地,除基本要求(GB/T 22239)合并了以上5个部分,设计要求(GB/T 25070)和测评要求(GB/T 28448)也由各自原有的5个分册分别整合成一册。
等保1.0测评分数及格线是60分,近几年个别省份将分数线提高到70分,互金类系统要90分。等保2.0新的及格线是75以上。控制大项从原来的10项,改为8项,合并了数据和应用、机构和人员。
1、测评对象及控制点
2、技术要求解读
技术要求包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
2.1 物理与环境要求
明确提出机房视频监控系统的要求,旧标准里没有,这部分就是要求对机房横向和纵向都要有视频监控,整个机房不能存在监控死角。
防静电要求明确举例说明采用静电消除器、防静电手环;对于静电防护要求更为细节化,操作服务器时都要预先消除人体所带静电,合作和佩戴防静电手环来操作。
供电部分不再要求备用供电系统,但保留冗余电力电缆的要求,这里说的冗余电力不是说从市政那边拉过来两条电缆就可以了,而是两条不同电井的电缆,这样才算冗余,因为出现停电同一电井或线路的电缆你拉多少条都是单链路的。
在云计算扩展要求中新增,物理机房必须要在境内。
2.2网络与通信安全
删除了重要系统不能直接外连外部网络的要求,删除了按业务优先级分配带宽的SLA服务;新标准只要求通信线路、关键网络设备冗余性。
在边界防护中提出了无线网络的安全要求,无线网络接入必须要通过受控边界,也就是说无线网络接入到系统要通过安全设备进行访问控制和授权后才可以访问互联网。
访问控制中新增内容过滤管理,要求在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
入侵防范的新要求,能够检测由内对外和由外对内的攻击,这里就是我们常说的南北向双向检测,这就要求我们配置策略的时候要双向应用,在接口的in和out方向都启用策略。目前大多数企业的入侵防范设备,如防火墙都处于透明部署模式,没有安全运维能力,缺乏安全策略的配置和管理,与等保要求还有差距。
恶意代码防范的新要求,第一次明确要求对垃圾邮件进行防护。
2.3设备与计算安全
身份鉴别中两种鉴别方式有明显变化,采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。传统的用户名密码方式将渐渐被淘汰,取而代之的是无密码登录,也就是生物识别技术,像指纹、声音、人脸、视网膜等登录。这是一个趋势,目前应具备至少两种
鉴别技术。
恶意代码防范要求也有明显变化,应采用免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破坏时采取恢复措施。
可信验证是国产化的趋势,要求高,实现复杂,目前一般采用证书验证解决。
重启可信革命,夯实网络安全等级保护基础-沈昌祥
2.4应用与数据安全
强制用户首次登录时修改初始口令。以前是没有明确要求的,不是强制的,现在改为强制。
用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全。举个例子:用户忘记密码,要重置密码,这个过程
必须要回答密保问题或是验证码发送到手机,确认身份后才能重置。但有的系统,没有这个验证,直接可以重置密码,这就属于设计上的缺陷。
在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。这里指的应该是两部分,系统自身的数据保护以及用户的数据保护。系统自身的就不用过多解释了。用户的数据,举个简单例子,论坛编辑帖子时的自动保存功能,出现问题时,过几天再来打开编辑页面,能再草稿里找到之前的文本,不会消失。
新增模块,个人信息保护:应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息。
3.管理要求解读
管理要求包括:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
3.1安全管理机构和人员
安全管理机构与人员安全管理合并到一起。总体要求简化了不少,但是安全工作领导小组还是要有,三员岗位依旧不能单人单岗,安全管理员不可兼职还是依旧按照1.0的要求。
授权和审批方面,去掉了过程文档记录的要求,极大地简化了日常工作量。
去掉人员考核整个控制点。也就是说,只要正常对员工进行安全
培训以及关键岗位的技术培训,考核与否不作为检查项了,可以公司自由决定。而且,培训记录和培训课程也不用再归档了。
外部人员访问管理,新增对外部人员接入网络访问系统的审批要求,更注重信息安全了。
3.2安全建设管理
定级和备案合并到了一起。简化了系统安全方案设计的要求,比如不再要求做系统的近期和长期安全建设计划等。
自行软件开发,增加了新的要求点:
a) 应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制;
b) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;
c) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。
外包开发、工程实施、测试验收和系统交付没有新要求,均简化流程。
等保测评必须由测评机构来做,而且是单独的项目,不能由其他厂商或服务商以转包形式打包到项目中。现在好多安服项目都是把等保放在里边作为一项服务,严格来说这么做是不符合规定的。
3.3安全运维管理
介质管理变化较大,原本6个要求项,现在减少到2个要求项。:
a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
设备维护管理新增2项新要求:
应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密;
含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。
监控管理和安全管理中心删除,新增漏洞和风险管理,新标准就2点,一是漏洞管理,漏扫、打补丁;二是定期安全测评,这个可以自己测,也可以找人测,不是等级测评,属于自查的工作。
恶意代码防范管理,去除了查杀记录保存的要求,去除了升级、杀毒等过程的分析记录要求;新增一条要求,定期检验技术措施的有效性。就是不但要及时更新和升级,还要及时调整安全策略,保证防护技术措施确实有效,对于已知的病毒和攻击能够进行防护(APT和DDoS这种特殊情况要特殊处理)。
新增配置管理控制点,要求备份系统配置信息,至少要包含:网络拓扑、设备安装的组件、软件版本和补丁信息、设备和软件的配置参数;
二、等保2.0建设配置
根据“一个中心”管理下的“三重保护”体系框架,构建安全机制和策略,形成定级系统的安全保护环境。分别对计算环境、区域边界、通信网络体系进行管理,实施多层隔离和保护,以防止某薄弱环节影响整体安全;
对于传统威胁,要做到快速、精准的防护;对于新型网络攻击,也要做到智能检测与分析。建设和加强入侵防护等技术检测与防护是网络安全防护的重要工作;
维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,感知网络安全态势是网络安全防护中最基本、最基础的工作。
等级保护不能只是为了应对合规,还需要实现安全可视,持续检测,协同防御。
等保2.0时代,安全建设必须和新一代的信息化系统实现深度融合,全面覆盖,从而构建创新的安全体系。
1、防火墙
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
主要功能:
1、过滤进、出网络的数据
2、防止不安全的协议和服务
3、管理进、出网络的访问行为
4、记录通过防火墙的信息内容
5、对网络攻击进行检测与警告
6、防止外部对内部网络信息的获取
7、提供与外部连接的集中管理
下一代防火墙:
是一款全面应对应用层威胁的高性能防火墙。可以做到智能化主动防御、应用层数据防泄漏、应用层洞察与控制、威胁防护等特性。下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入,又减去了多台设备接入网络带来的部署成本,还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。
2、入侵防御
入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
主要功能:
1、入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos 等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
2、Web安全:基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
3、流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。
4、上网监管:全面监测和管理IM 即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
3、WEB应用防火墙
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。
主要功能:
1、审计设备:用来截获所以HTTP数据或者仅仅满足某些规则的会话;
2、访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
3、架构/ 网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4、WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编
程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗DDos等。
4、安全审计系统
安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
主要功能:
1、采集多种类型的日志数据
能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
2、日志管理
多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
3、日志查询
支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
4、入侵检测
使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
5、自动生成安全分析报告
根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
6、网络状态实时监视
可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
7、事件响应机制
当审计系统检测到安全事件时候,可以采用相关的响应方式报警。
8、集中管理
审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、日志数据库的集中管理。
5、VPN设备
虚拟专用网络指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。
主要功能:
1、通过隧道或虚电路实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断。
6、堡垒机
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
主要功能:
1.登录功能
支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
2.账号管理
设备支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求
3.身份认证
设备提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件key 、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高了认证的安全性和可靠性。
4.资源授权
设备提供基于用户、目标设备、时间、协议类型IP、行为等要素
实现细粒度的操作授权,最大限度保护用户资源的安全
5.访问控制
设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
6.操作审计
设备能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
7、上网行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
主要功能:
1.上网人员管理
上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性
移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性
上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性
2.上网浏览管理
搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。
网址URL管理:利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。
网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性
文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性
3.上网外发管理
普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性
WEB邮件管理:利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性
即时通讯管理:利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性
其他外发管理:针对FTP、TELNET等传统协议的外发信息进行