1前言
2018年12月25日,由中关村可信计算产业联盟主办的等级保护新标准解读培训班在北京裕龙国际酒店举行。沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲,公安部范春玲、李秋香和陈广勇三位专家老师对最新的网络安全等级保护制度进行了细致的解读,新华三作为可信计算联盟的理事成员单位,有幸受邀参加了此次培训。同时作为等级保护2.0的参编单位,为了更好的学习贯彻和落实国家网络安全等级保护制度,新华三再次对会上专家的培训内容做个总结。
02等级保护标准变化
等级保护新标准在编制过程中总共经历了两次大的变化,第一次是2017年8月根据网信办和公安部的意见将5个分册进行了合并,形成一个标准,并在2017年10月参加信安标委WG5工作组在研标准推进会,介绍合并后的标准送审稿,征求127家成员单位意见,修订完成报批稿;第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算,充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。
经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录,其中第6、7、8、9、10章为五个安全等级的安全要求章节,8个附录分别为:安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。
标准名称由原来的《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》保持一致。等级保护对象由原来的“信息系统”改为“等级保护对象(网络和信息系统)”,安全等级保护对象包括基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。新版安全要求在原有通用安全要求的基础上新增安全扩展要求,安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。
03等级保护章节结构
调整后每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分:
安全通用要求规定了不管等级保护对象形态如何必须满足的要求。
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。这里需要注意云计算环境的定级,对于云租户的定级仍按照传统的定级思路,而对于云计算平台的定级则分两种情况,一种是中小型云计算平台,可将整个云计算平台作为整体定级对象;另一种是针对大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象(比如大型云计算平台的计费系统可单独作为一个定级对象)。
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面,针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。
04控制措施分类结构
调整后的控制措施分类结构如下:
技术要求“从面到点”提出安全要求,“安全物理环境”主要对机房设施提出要求,“安全通信网络”和“安全区域边界”主要对网络整体提出要求,“安全计算环境”主要对构成节点(包括业务应用和数据)提出要求,“安全管理中心”主要对系统管理、集中管控等提出要求。
管理要求“从元素到活动”提出安全要求,“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。
安全通信网络+安全区域边界+安全管理中心的第四级在第三级的基础上增加了7个条款:
1)应按照业务服务的重要程度分配带宽,优先保障重要业务;
2)应在通信前基于密码技术对通信的双方进行验证或认证;
3)应基于硬件密码模块对重要通信过程进行密码运算和密钥管理;
4)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断;
5)应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入的网络设备真实可信;
6)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换;
7)应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析在时间上的一致性。
安全计算环境的第四级在第三级的基础上增加了5个条款:
1)登录用户执行重要操作时应再次进行身份鉴别;
2)应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问;
3)应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
4)在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖;
5)应建立异地灾难备份中心,提供业务应用的实时切换。
恶意代码防范,从一级到四级主要做了如下要求:
第一级:应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
第二级:应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
第三级:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
第四级:应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
从标准控制措施整体看,对可信控制点有所增加,各个级别和层面均增加了可信验证控制点,从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点,并且从第二级开始,增加了安全管理中心技术要求。
最后,等级保护测评方面,对等级保护符合性评价方法较之前有了很大不同,新的测评要求增加了“重点测评项”和“常规测评项”(由于当天培训内容较多,已经记不清专家老师怎么描述的了,我在这里暂且将此划分称为“重点测评项”和“常规测评项” )的划分,“重点测评项”实行“一票否决制”。也就是说,测评要求中列出的对应级别的“重点测评项”中任意一项不符合,整体将判定为不符合,无需再进行“常规测评项”的测评,“重点测评项”优先通过测评后,才进行“常规测评项”的测评。目前公安部正研究并整理各保护级别的“重点测评项”列表。
05结束语
网络安全等级保护是我国信息安全保障的基本制度性工作,是网络空间安全保障体系的重要支撑,也是应对强敌APT攻击的有效措施。在法律支撑层面,我国的计算机系统等级保护条例提升为国家基础性法律制度,即“网络安全法”中的网络安全等级保护制度;在科学技术层面,由分层被动防护发展到了科学安全框架下的主动免疫防护;在工程应用层面,由传统的计算机信息系统防护转向了新型计算环境下的网络空间主动防御体系建设。等保2.0时代重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。