亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

等級(jí)保護(hù)對(duì)企業(yè)、安全廠家和系統(tǒng)集成商提出更高的要求

一、背景
等級(jí)保護(hù)2.0發(fā)布后,市場上鋪天蓋地的出現(xiàn)了眾多解讀文章,但大部分文章只停留在總體變化的描述,缺少對(duì)等級(jí)保護(hù)2.0具體條款與等級(jí)保護(hù)1.0具體基本技術(shù)要求的區(qū)別分析。
本文以幫助企業(yè)理解等級(jí)保護(hù)2.0基本要求為導(dǎo)向,對(duì)等級(jí)保護(hù)2.0和1.0在基本技術(shù)要求存在的區(qū)別進(jìn)行具體分析。在等級(jí)保護(hù)2.0合規(guī)要求下,滿足基本符合等級(jí)保護(hù)要求從1.0的60分提高到了2.0的75分,這無疑對(duì)企業(yè)、系統(tǒng)集成商和安全廠家提出了更高的要求和挑戰(zhàn):

● 采用何種安全技術(shù)手段、何種安全防護(hù)體系能夠滿足等級(jí)保護(hù)2.0基本要求?

● 如何為企業(yè)提供既能解決用戶切實(shí)的需求,又合法、合規(guī)的安全解決方案?

● 如何幫助企業(yè)既能合理規(guī)劃網(wǎng)絡(luò)安全的費(fèi)用投入,又能提高自身網(wǎng)絡(luò)安全防護(hù)能力,達(dá)到相關(guān)等級(jí)保護(hù)級(jí)別測評(píng)要求?

下面將結(jié)合等級(jí)保護(hù)1.0(三級(jí))的具體條款和等級(jí)保護(hù)2.0(三級(jí))的關(guān)鍵條款變化進(jìn)行詳細(xì)的解讀。(本文主要針對(duì)網(wǎng)絡(luò)安全部分進(jìn)行詳細(xì)解讀分析)

網(wǎng)絡(luò)安全-關(guān)鍵條款變化

條款對(duì)比詳解

整合內(nèi)容詳解

新增條款詳解

1
網(wǎng)絡(luò)安全-關(guān)鍵條款變化
由于等級(jí)保護(hù)2.0中將整體結(jié)構(gòu)進(jìn)行調(diào)整,從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全變成安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心,所以原等級(jí)保護(hù)1.0中的“網(wǎng)絡(luò)安全”變成“安全通信網(wǎng)絡(luò)”。

結(jié)構(gòu)安全-詳解
在等級(jí)保護(hù)2.0中,在這一小節(jié)沒有明顯的變化,主要是將一些過于老舊的條款進(jìn)行了刪除,將原等級(jí)保護(hù)1.0中的c)d)g)刪除。同時(shí)增加了“應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余,保證系統(tǒng)的可用性”的條款,并將這一小節(jié)中的“子網(wǎng)、網(wǎng)段”都統(tǒng)一更換成了“網(wǎng)絡(luò)區(qū)域”。

 對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 企業(yè)或集成商進(jìn)行網(wǎng)絡(luò)基礎(chǔ)建設(shè)時(shí),必須要對(duì)通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備進(jìn)行冗余配置,例如關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)采用主備或負(fù)載均衡的部署方式;
2) 安全廠家在進(jìn)行安全解決方案設(shè)計(jì)時(shí),也應(yīng)采用主備或負(fù)載均衡的方式進(jìn)行設(shè)計(jì)、部署;
3) 強(qiáng)調(diào)、突出了網(wǎng)絡(luò)區(qū)域的概念,無論在網(wǎng)絡(luò)基礎(chǔ)建設(shè),還是安全網(wǎng)絡(luò)規(guī)劃,都應(yīng)該根據(jù)系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行區(qū)域劃分。

訪問控制-詳解
在等級(jí)保護(hù)2.0中,對(duì)于訪問控制這一節(jié)變化較大,首先將等級(jí)保護(hù)1.0訪問控制這一小節(jié)從原來網(wǎng)絡(luò)安全中的條款變更到安全區(qū)域邊界這一節(jié)中,其次刪除了等級(jí)保護(hù)1.0中大部分條款,如上圖,將c)d)e)f)g)h)全部刪除。同時(shí)在上一節(jié)網(wǎng)絡(luò)架構(gòu)提出網(wǎng)絡(luò)區(qū)域的基礎(chǔ)上,進(jìn)一步強(qiáng)調(diào)區(qū)域的概念,強(qiáng)調(diào)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間部署訪問控制設(shè)備,并強(qiáng)調(diào)了“應(yīng)對(duì)進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制”,對(duì)應(yīng)用協(xié)議、數(shù)據(jù)內(nèi)容的深度解析提出了更高的要求。

 對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1)  要著重考慮網(wǎng)絡(luò)邊界的訪問控制手段,但網(wǎng)絡(luò)邊界不僅僅是業(yè)務(wù)系統(tǒng)對(duì)其他系統(tǒng)的網(wǎng)絡(luò)邊界,還應(yīng)該包括在業(yè)務(wù)系統(tǒng)內(nèi)不同工藝區(qū)域的網(wǎng)絡(luò)邊界;
2)  訪問控制的顆粒度要進(jìn)一步的強(qiáng)化,不僅僅要停留在對(duì)于HTTP,FTP,TELNET,SMTP等通用協(xié)議的命令級(jí)控制程度,而是要對(duì)進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流的所有應(yīng)用協(xié)議和應(yīng)用內(nèi)容都要進(jìn)行深度解析;
3)企業(yè)用戶在進(jìn)行網(wǎng)絡(luò)安全防護(hù)項(xiàng)目招標(biāo)時(shí)一定要考慮參與投標(biāo)的安全廠家所采用的邊界訪問控制設(shè)備是否具備對(duì)應(yīng)用協(xié)議深度解析的能力,例如在工業(yè)控制系統(tǒng),除了能夠?qū)Ρ容^常見的OPC、ModBus TCP、DNP3、S7等協(xié)議進(jìn)行深度解析外,還需要根據(jù)現(xiàn)場業(yè)務(wù)實(shí)際情況,對(duì)業(yè)務(wù)系統(tǒng)中使用的私有協(xié)議進(jìn)行自定義深度解析,否則很難達(dá)到測評(píng)要求。

安全審計(jì)-詳解

在等級(jí)保護(hù)2.0中,將等級(jí)保護(hù)1.0安全審計(jì)這一小節(jié)從原來網(wǎng)絡(luò)安全中的條款變更安全區(qū)域邊界這一節(jié)中,將原條款的c)去掉,并對(duì)其他三條都進(jìn)行了強(qiáng)化,尤其是a)條款,同時(shí)增加了“應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)用戶行為等都進(jìn)行行為審計(jì)和數(shù)據(jù)分析”。

 對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 重點(diǎn)強(qiáng)調(diào)了需要在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)處進(jìn)行網(wǎng)絡(luò)行為審計(jì),要求企業(yè)在進(jìn)行網(wǎng)絡(luò)安全防護(hù)項(xiàng)目時(shí)要充分考慮網(wǎng)絡(luò)邊界和重要網(wǎng)絡(luò)節(jié)點(diǎn)的行為審計(jì)能力,例如在城市軌道交通信號(hào)系統(tǒng)中,車站分為一級(jí)集中站、二級(jí)集中站和非集中站,結(jié)合等級(jí)保護(hù)2.0的要求,需要在一級(jí)和二級(jí)集中站都要考慮部署具備網(wǎng)絡(luò)行為審計(jì)能力的安全產(chǎn)品。而僅僅在一級(jí)集中站內(nèi)部署具有網(wǎng)絡(luò)行為審計(jì)能力的產(chǎn)品是不夠的。
2) 重點(diǎn)強(qiáng)調(diào)網(wǎng)絡(luò)行為審計(jì),即對(duì)網(wǎng)絡(luò)流量進(jìn)行審計(jì),而這僅僅靠原有的日志審計(jì)類產(chǎn)品是不夠的,無法滿足等級(jí)保護(hù)2.0的要求。

邊界完整性&入侵防范&惡意代碼防范-詳解

將這三點(diǎn)放到一起是因?yàn)楸舜酥g具備一定的連帶關(guān)系,將等級(jí)保護(hù)1.0中的邊界完整性檢查、入侵防范和惡意代碼防范這3節(jié)都變更到等級(jí)保護(hù)2.0中的安全區(qū)域邊界中。在邊界完整性檢查的這一節(jié)中,原等級(jí)保護(hù)1.0中要求必須準(zhǔn)確定位并有效阻斷非法外聯(lián)、內(nèi)聯(lián)的行為,但在等級(jí)保護(hù)2.0中要求中,提出了“防止或限制”的要求,取消了原等級(jí)保護(hù)1.0中的“定位”要求;入侵防范這一節(jié)中,主要提出了對(duì)于網(wǎng)絡(luò)行為的分析,并且能夠?qū)崿F(xiàn)“已知”和“未知”的攻擊行為檢測能力。

 對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 對(duì)于企業(yè)和系統(tǒng)集成商,在進(jìn)行網(wǎng)絡(luò)安全防護(hù)項(xiàng)目招標(biāo)時(shí)要充分考慮對(duì)于在等級(jí)保護(hù)2.0中所提出的對(duì)于“已知”和“未知”的檢測要求。尤其在進(jìn)行安全廠家選擇時(shí),要重點(diǎn)考慮安全廠家對(duì)于“未知”攻擊的檢測能力;

2) 對(duì)于安全廠家,網(wǎng)絡(luò)安全審計(jì)或入侵檢測產(chǎn)品不應(yīng)僅僅局限在采用“特征庫”的形式進(jìn)行攻擊檢測,因?yàn)椴捎靡浴疤卣鲙臁睘槟0宓男问綗o法對(duì)“未知”攻擊進(jìn)行檢測;

3) 對(duì)于安全廠家,入侵防范的范圍變化,需要在網(wǎng)絡(luò)安全解決方案設(shè)計(jì)時(shí)充分考慮,不應(yīng)僅僅在網(wǎng)絡(luò)邊界處進(jìn)行入侵防范,還需要在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)處均需要進(jìn)行入侵防范。

網(wǎng)絡(luò)設(shè)備防護(hù)-詳解

該小節(jié)在等級(jí)保護(hù)2.0全部被刪除,并整合到“安全計(jì)算環(huán)境”中。

以下內(nèi)容以等級(jí)保護(hù)三級(jí)為基礎(chǔ),針對(duì)等級(jí)保護(hù)2.0中安全計(jì)算環(huán)境部分進(jìn)行解讀。

再次回顧等級(jí)保護(hù)2.0的整體變化,整體結(jié)構(gòu)從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全變成安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心,其中原等級(jí)保護(hù)1.0中的“主機(jī)安全”部分整合到“安全計(jì)算環(huán)境”中。
2
條款對(duì)比詳解
身份鑒別

在身份鑒別這一小節(jié)中首先弱化了系統(tǒng)的概念,提出標(biāo)識(shí)的唯一性,將原等級(jí)保護(hù)1.0中老舊條款的e)刪除。同時(shí)對(duì)雙因子認(rèn)證進(jìn)行了加強(qiáng),強(qiáng)調(diào)“口令、密碼技術(shù)、生物技術(shù)的組合鑒別,要求其中一種至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)”。
>>>
高風(fēng)險(xiǎn)強(qiáng)調(diào)

在身份鑒別這部分要求中,設(shè)備存在弱口令,遠(yuǎn)程管理無防護(hù)和缺少雙因子認(rèn)證均是高危風(fēng)險(xiǎn)項(xiàng)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:

1)  集成商進(jìn)行業(yè)務(wù)應(yīng)用軟件設(shè)計(jì)時(shí),應(yīng)考慮業(yè)務(wù)應(yīng)用系統(tǒng)在“用戶名”+“口令”的基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)通過密碼技術(shù)對(duì)登錄用戶的身份進(jìn)行鑒別,同時(shí)應(yīng)避免業(yè)務(wù)應(yīng)用系統(tǒng)的弱口令問題;

2)  集成商進(jìn)行業(yè)務(wù)應(yīng)用軟件設(shè)計(jì)時(shí),應(yīng)充分考慮用戶權(quán)限的控制以及用戶在登錄失敗后的處理機(jī)制;

3)  企業(yè)在業(yè)務(wù)運(yùn)營期間不可通過不可控的網(wǎng)絡(luò)環(huán)境進(jìn)行遠(yuǎn)程管理,容易被監(jiān)聽,造成數(shù)據(jù)的泄露,甚至篡改;

4)  安全廠家在進(jìn)行安全產(chǎn)品選用時(shí),應(yīng)采用具有兩種或以上的組合鑒別方式的安全防護(hù)軟件對(duì)登錄系統(tǒng)的管理用戶進(jìn)行身份鑒別。滿足本地身份認(rèn)證和第三方遠(yuǎn)程身份認(rèn)證雙因子驗(yàn)證要求。

訪問控制

在訪問控制這一小節(jié)中,主要是將原等級(jí)保護(hù)1.0中的條款進(jìn)行了完善,強(qiáng)調(diào)“強(qiáng)制訪問控制”,明確授權(quán)主體可以通過配置策略規(guī)定對(duì)客體的訪問規(guī)則,控制粒度等。
>>>
高風(fēng)險(xiǎn)強(qiáng)調(diào)

要求項(xiàng)中,未重命名或刪除默認(rèn)賬戶,未修改默認(rèn)賬戶的默認(rèn)口令屬于高風(fēng)險(xiǎn)項(xiàng)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:

1)  集成商進(jìn)行業(yè)務(wù)應(yīng)用軟件設(shè)計(jì)時(shí),應(yīng)充分考慮用戶權(quán)限的控制以及用戶在登錄失敗后的處理機(jī)制,確保業(yè)務(wù)應(yīng)用系統(tǒng)不存在訪問控制失效的情況;
2)  企業(yè)或集成商在進(jìn)行系統(tǒng)配置時(shí),應(yīng)為用戶分配賬戶和權(quán)限,刪除或重命名默認(rèn)賬戶及默認(rèn)口令,刪除過期、多余和共享的賬戶;
3)  安全廠家在進(jìn)行安全產(chǎn)品選用時(shí),應(yīng)采用符合強(qiáng)制訪問控制要求的安全防護(hù)軟件對(duì)主機(jī)、系統(tǒng)進(jìn)行防護(hù),可以有效的降低高風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)等級(jí)。

安全審計(jì)

在安全審計(jì)這一小節(jié)中,主要是將一些過于老舊的條款進(jìn)行了刪除,將原等級(jí)保護(hù)1.0中的a)b)d)條款刪除,整合為“啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)”。審計(jì)記錄中刪除“主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等”并改為“事件是否成功及其他與審計(jì)相關(guān)的信息”,增加對(duì)審計(jì)記錄的“定期備份”。

高風(fēng)險(xiǎn)強(qiáng)調(diào)

要求項(xiàng)中,未啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,未對(duì)重要的用戶行為和重要安全事件未進(jìn)行審計(jì)屬于高風(fēng)險(xiǎn)項(xiàng)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
1)  對(duì)集成商而言,業(yè)務(wù)應(yīng)用系統(tǒng)軟件的安全審計(jì)能力至關(guān)重要,需要能夠?qū)χ匾脩舨僮鳌⑿袨檫M(jìn)行日志審計(jì),并且審計(jì)的范圍不僅僅是針對(duì)前端用戶,也要針對(duì)后端用戶;
2)  對(duì)企業(yè)來說,在基礎(chǔ)建設(shè)時(shí)應(yīng)該在重要核心設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫性能允許的前提下,開啟用戶操作類和安全事件的審計(jì)策略,并在安全運(yùn)營的過程中對(duì)策略的開啟定期檢查;

3)  安全廠家在進(jìn)行安全審計(jì)產(chǎn)品選用時(shí),應(yīng)采用可以覆蓋到每個(gè)用戶并可對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)的產(chǎn)品??衫萌罩緦徲?jì)系統(tǒng)實(shí)現(xiàn)對(duì)日志的審計(jì)分析并生產(chǎn)報(bào)表,通過堡壘機(jī)來實(shí)現(xiàn)對(duì)第三方運(yùn)維操作的審計(jì)。

剩余信息保護(hù)

在剩余信息保護(hù)這一小節(jié)沒有明顯的變化,主要是將“操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶”和“無論這些信息是存放在硬盤上還是在內(nèi)存中”等限制性條件進(jìn)行了刪除,將“系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間”改為“存有敏感數(shù)據(jù)的存儲(chǔ)空間”。

高風(fēng)險(xiǎn)強(qiáng)調(diào)

應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除,該項(xiàng)為高風(fēng)險(xiǎn)項(xiàng)。如果身份鑒別信息釋放或清除機(jī)制存在缺陷,如在清除身份鑒別信息后,仍能進(jìn)行訪問資源的操作,屬于高風(fēng)險(xiǎn)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
企業(yè)或集成商在服務(wù)器上啟用基于操作系統(tǒng)本身的剩余信息保護(hù)功能。

入侵防范

在入侵防范這一小節(jié)中,將a)和b)進(jìn)行了整合,“重要服務(wù)器”改為“重要節(jié)點(diǎn)”,新增d)和e),要求系統(tǒng)可以對(duì)數(shù)據(jù)進(jìn)行有效性檢驗(yàn),同時(shí)可以發(fā)現(xiàn)系統(tǒng)存在的已知漏洞,在驗(yàn)證后可以進(jìn)行修補(bǔ)。

高風(fēng)險(xiǎn)強(qiáng)調(diào)
不必要的服務(wù)、端口未關(guān)閉;管理終端管控?zé)o措施均屬于高危風(fēng)險(xiǎn)項(xiàng)目。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:

1)  企業(yè)或集成商在進(jìn)行系統(tǒng)安裝時(shí),遵循最小安裝原則,僅安裝業(yè)務(wù)應(yīng)用程序及相關(guān)的組件;
2)  企業(yè)或集成商進(jìn)行應(yīng)用軟件開發(fā)時(shí),需要考慮應(yīng)用軟件本身對(duì)數(shù)據(jù)的符合性進(jìn)行檢驗(yàn),確保通過人機(jī)接口或通信接口收到的數(shù)據(jù)內(nèi)容符合系統(tǒng)應(yīng)用的要求;
3)  企業(yè)或集成商在選擇主機(jī)安全防護(hù)軟件時(shí)除了要考慮主機(jī)安全防護(hù)軟件的安全功能以外,還要考慮與實(shí)際業(yè)務(wù)場景結(jié)合的問題,能夠有效的幫助業(yè)主解決實(shí)際痛點(diǎn)。工業(yè)現(xiàn)場大部分現(xiàn)場運(yùn)維人員對(duì)安全知之甚少,很難嚴(yán)格按照等級(jí)保護(hù)要求將安全配置一一完善,所以選擇的主機(jī)安全防護(hù)軟件應(yīng)可以通過最簡單的配置來滿足等級(jí)保護(hù)的要求;
4)  解決安全漏洞最直接的辦法是更新補(bǔ)丁,但對(duì)于工業(yè)控制系統(tǒng)而言,打補(bǔ)丁的動(dòng)作越謹(jǐn)慎越好,避免由于更新補(bǔ)丁而影響到生產(chǎn)業(yè)務(wù)。該條款需要企業(yè)委托第三方工控安全廠家對(duì)系統(tǒng)進(jìn)行漏洞的掃描,發(fā)現(xiàn)可能存在的已知漏洞,根據(jù)不同的風(fēng)險(xiǎn)等級(jí)形成報(bào)告,企業(yè)或集成商根據(jù)報(bào)告在離線環(huán)境經(jīng)過測試評(píng)估無誤后對(duì)漏洞進(jìn)行修補(bǔ)。

惡意代碼防范

在惡意代碼防范這一小節(jié)將a)、b)、c)進(jìn)行了整合,同時(shí)提出了主動(dòng)免疫可信驗(yàn)證機(jī)制,即“文件加載執(zhí)行控制”的“白名單”技術(shù)。

高風(fēng)險(xiǎn)強(qiáng)調(diào)

未安裝防惡意代碼軟件,并進(jìn)行統(tǒng)一管理,無法防止來自于外部的病毒、惡意代碼入侵,為高風(fēng)險(xiǎn)項(xiàng)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
工業(yè)現(xiàn)場惡意代碼防范一直是用戶的痛點(diǎn),受制于工業(yè)現(xiàn)場環(huán)境,殺毒軟件無法在工業(yè)環(huán)境內(nèi)發(fā)揮作用。誤殺、漏殺、占用資源、無法升級(jí)等問題一直被詬病。所以在工業(yè)場景中應(yīng)該選擇采用白名單機(jī)制的安全防護(hù)軟件。

資源控制
 資源控制這一小節(jié)整體進(jìn)行了刪減,將部分內(nèi)容整合到集中管控章節(jié)。

3
整合內(nèi)容詳解

將原等級(jí)保護(hù)1.0數(shù)據(jù)安全內(nèi)容整合到安全計(jì)算環(huán)境中
高風(fēng)險(xiǎn)強(qiáng)調(diào)
數(shù)據(jù)傳輸完整性保護(hù)和保密性保護(hù),針對(duì)不同的業(yè)務(wù)場景,如業(yè)務(wù)場景對(duì)數(shù)據(jù)傳輸?shù)耐暾砸蟾?,未采取相?yīng)措施,則為高風(fēng)險(xiǎn);如業(yè)務(wù)場景對(duì)數(shù)據(jù)傳輸保密性要求高,未采取相應(yīng)措施,則為高風(fēng)險(xiǎn)。
數(shù)據(jù)存儲(chǔ)完整性保護(hù)和保密性保護(hù),針對(duì)不同的業(yè)務(wù)場景,如業(yè)務(wù)場景對(duì)數(shù)據(jù)存儲(chǔ)的完整性要求高,未采取相應(yīng)措施,則為高風(fēng)險(xiǎn);如業(yè)務(wù)場景對(duì)數(shù)據(jù)存儲(chǔ)保密性要求高,未采取相應(yīng)措施,則為高風(fēng)險(xiǎn)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
在工業(yè)現(xiàn)場大部分的場景對(duì)于數(shù)據(jù)傳輸、存儲(chǔ)完整性要求要高于數(shù)據(jù)傳輸、存儲(chǔ)保密性要求。對(duì)于系統(tǒng)集成商在應(yīng)用通過密碼技術(shù)來保證傳輸數(shù)據(jù)的完整性,并在服務(wù)器端對(duì)數(shù)據(jù)有效性進(jìn)行驗(yàn)證。
在工業(yè)現(xiàn)場關(guān)鍵服務(wù)器、工作站內(nèi)存儲(chǔ)的業(yè)務(wù)軟件及配置文件的完整性和可用性是至關(guān)重要的,一旦其完整性遭到破壞,直接影響現(xiàn)場生產(chǎn)任務(wù)。所以對(duì)于安全廠家提出的要求就是其安全防護(hù)軟件應(yīng)可以通過訪問控制功能,對(duì)存儲(chǔ)的數(shù)據(jù)、配置文件進(jìn)行完整性保護(hù),避免遭到非法破壞。
企業(yè)應(yīng)建立異地備份中心,同時(shí)形成數(shù)據(jù)備份制度,定期進(jìn)行現(xiàn)場的關(guān)鍵數(shù)據(jù)、配置文件的備份。

以下內(nèi)容將以等級(jí)保護(hù)三級(jí)為基礎(chǔ),針對(duì)等級(jí)保護(hù)2.0中安全管理中心部分進(jìn)行解讀。

在原等保1.0中技術(shù)要求部分沒有單獨(dú)設(shè)立章節(jié)對(duì)安全管理中心進(jìn)行要求,只在“管理要求→系統(tǒng)運(yùn)維管理下→監(jiān)控管理和安全管理中心”一節(jié)中提到“應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理”。在等級(jí)保護(hù)2.0的整體變化中,單獨(dú)設(shè)立“安全管理中心”章節(jié),強(qiáng)化安全管理中心的概念,突出安全管理中心在信息安全等級(jí)保護(hù)建設(shè)中的重要性。
 
4
新增條款詳解
在等級(jí)保護(hù)2.0“安全管理中心”章節(jié)中,“系統(tǒng)管理”、“審計(jì)管理”和“安全管理”三小節(jié)中對(duì)分別對(duì)系統(tǒng)管理員、審計(jì)管理員和安全管理員的管理主體、權(quán)限控制和管控過程提出明確要求,同時(shí)要求安全管理中心內(nèi)的管理系統(tǒng)符合“三權(quán)分立”權(quán)限管理模式,并在“集中管控”小節(jié)中對(duì)管理系統(tǒng)需要符合的集中管控功能進(jìn)行了規(guī)定。

系統(tǒng)管理

在“系統(tǒng)管理”這一小節(jié)中,要求安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備對(duì)系統(tǒng)管理員的身份鑒別、特定命令和操作界面控制和操作審計(jì)等功能,并要求系統(tǒng)管理員作為系統(tǒng)資源和運(yùn)行配置的唯一主體。
對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 集成商進(jìn)行整體架構(gòu)設(shè)計(jì)時(shí),應(yīng)合理設(shè)置安全管理中心,且安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備系統(tǒng)管理員配置和管控的相應(yīng)功能;
2) 企業(yè)或集成商在系統(tǒng)配置時(shí),應(yīng)確保系統(tǒng)管理員作為唯一主體通過安全管理中心進(jìn)行系統(tǒng)配置;
3) 安全廠家在進(jìn)行產(chǎn)品選用和開發(fā)時(shí),應(yīng)采用管理權(quán)限模塊化設(shè)計(jì)且符合系統(tǒng)管理要求的管理系統(tǒng)對(duì)管理主體、權(quán)限和對(duì)象進(jìn)行控制,確保系統(tǒng)管理安全性。

審計(jì)管理

在“審計(jì)管理”這一小節(jié)中,要求安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備對(duì)審計(jì)管理員的身份鑒別、特定命令和操作界面控制和操作審計(jì)等功能,并要求審計(jì)管理員作為審計(jì)記錄分析和管控的唯一主體。
對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
1) 集成商進(jìn)行整體架構(gòu)設(shè)計(jì)時(shí),應(yīng)合理設(shè)置安全管理中心,且安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備審計(jì)管理員配置和管控的相應(yīng)功能;
2) 企業(yè)或集成商在進(jìn)行審計(jì)記錄分析和管控時(shí),應(yīng)確保審計(jì)管理員作為唯一主體進(jìn)行分析和管控,設(shè)定安全審計(jì)策略;
3) 安全廠家在進(jìn)行產(chǎn)品選用和開發(fā)時(shí),應(yīng)采用管理權(quán)限模塊化設(shè)計(jì)且符合審計(jì)管理要求的管理系統(tǒng)對(duì)審計(jì)記錄和審計(jì)策略等進(jìn)行控制,確保系統(tǒng)審計(jì)管控過程安全性。

安全管理

在“安全管理”這一小節(jié)中,要求安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備對(duì)安全管理員的身份鑒別、特定命令和操作界面控制和操作審計(jì)等功能,并要求安全管理員作為系統(tǒng)安全參數(shù)設(shè)定、主客體標(biāo)記、授權(quán)和可信驗(yàn)證策略配置的唯一主體。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
1) 集成商進(jìn)行整體架構(gòu)設(shè)計(jì)時(shí),應(yīng)合理設(shè)置安全管理中心,且安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備安全管理員配置和管控的相應(yīng)功能;

2) 企業(yè)或集成商在進(jìn)行系統(tǒng)安全參數(shù)設(shè)定、主客體安全標(biāo)記和安全策略配置時(shí),應(yīng)確保安全管理員作為唯一主體進(jìn)行配置;

3) 安全廠家在進(jìn)行產(chǎn)品選用和開發(fā)時(shí),應(yīng)采用管理權(quán)限模塊化設(shè)計(jì)且符合安全管理要求的管理系統(tǒng)對(duì)安全管理員管控過程、系統(tǒng)安全策略配置等進(jìn)行控制,確保系統(tǒng)安全管理過程安全性。

集中管控
“集中管控”這一小節(jié)中,在原等級(jí)保護(hù)1.0“應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理”要求的基礎(chǔ)上增加“a)應(yīng)劃分出特定的管理區(qū)域,對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控”、“b)應(yīng)能夠建立一條安全的信息傳輸路徑,對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理”、“f)應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析”三個(gè)要求,明確安全管理中心在系統(tǒng)網(wǎng)絡(luò)架構(gòu)上的獨(dú)立地位,對(duì)管理傳輸鏈路通信安全性提出要求,同時(shí)要求具備對(duì)網(wǎng)絡(luò)安全事件的分析和告警能力。

高風(fēng)險(xiǎn)強(qiáng)調(diào):

要求項(xiàng)中,對(duì)各類設(shè)備運(yùn)行狀況的集中監(jiān)測、各類設(shè)備審計(jì)數(shù)據(jù)匯總分析和留存時(shí)間要求屬于高風(fēng)險(xiǎn)項(xiàng)。

對(duì)企業(yè)、安全廠家、系統(tǒng)集成商提出的要求:
1) 對(duì)集成商而言,應(yīng)在整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中考量安全管理中心區(qū)域設(shè)立位置,能夠?qū)崿F(xiàn)對(duì)各安全設(shè)備/組件的集中監(jiān)控,且安全管理中心各組件應(yīng)能夠滿足集中管控的各項(xiàng)要求;

2) 對(duì)企業(yè)來說,在系統(tǒng)建設(shè)時(shí)應(yīng)充分考慮安全管理中心建設(shè)相關(guān)預(yù)算經(jīng)費(fèi),并在日常運(yùn)維過程中采用集中管控的方式進(jìn)行安全設(shè)備/組件管控、設(shè)備狀態(tài)監(jiān)控、日志分析、安全策略管控和安全事件分析;

3) 安全廠家在進(jìn)行安全管理中心內(nèi)管理系統(tǒng)產(chǎn)品開發(fā)和選用時(shí),應(yīng)采用符合集中管控各項(xiàng)技術(shù)要求的安全產(chǎn)品,在設(shè)備通信加密、日志存儲(chǔ)、策略集中管控和安全事件分析等各方面滿足相關(guān)管控要求。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)