等保 2.0 作为 网络安全等级保护基本要求,针对 云计算、大数据、移动互联网、工业控制等领域的相关新兴技术提出了个性化安全保护的标准要求,个人(组织)建站、企业尤其是国有企业、央企、政府单位可以参照本要求比对当前自身的数据中心、应用系统的基本情况进行改进。
国家标准由:2019-05-10 发布 2019-12-01 实施

1. GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

在这里,我想详细的记录一下第四级安全保护能力,因为从事行业的需要以及敏感性,不再讨论和记录 四级安全保护 标准之前的要求。

应能够在统一的安全策略下防护免受国家级别的、敌对组织的、拥有丰富资源威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

在这里有两个重点:

  • 第一个是:需要及时能够发现、监测攻击行为
  • 第二个是:发现、监测安全事件

因此需要特殊的技术来满足这两个要求,这里我不再详细介绍有什么相关的技术来实现这两个目标。在这篇文章的最后我会给出目前的在安全工作上的一些想法和技术发展的方向。

本文章不关注工程建设、硬件建设的方面,只做关键内容的摘要以及思考。

1.1 安全通信网络

在安全通信网络中,有一个非常关键的点,即:网络通信的可信验证:

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知

这里涉及到两个概念:

  • 进行网络设备的:系统引导程序、系统程序、重要配置参数 和 通信应用程序的可信验证;
  • 生成相关的审计记录,送至关联的安全中心;
  • 动态关联感知 - 态势感知系统;

1.2 安全区域边界

1.2.1 访问控制 - ACL

  • 应删除多余或无效的访问控制规则.优化访问控制列表,并保证访问控制规则数量最小化。
  • 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
  • 应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。

要求:

  • 调整 ACL 的相关策略,需要做到对所有 ACL 的策略的最小化、精细化的管理。
  • 对于 日志关键 的信息:目的地址、源地址、等信息需要做到分析记录和自动化的处理。
  • 网络边界协议的转换 - 涉及到网络体系结构的建设、规划问题。

1.2.2 入侵防范

  • 应采取技术措施对网络行为进行分析,实现对网络攻击特別是新型网络攻击行为的分析;

要求:

  • 攻击行为的分析,在一般的大型企业网络中用到的基本上是:网络攻击分析平台。会搭配安全设备进行安全日志分析,一些安全行为会以日志的信息被记录并吐给安全平台。

1.2.3 安全审计

本项要求包括:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到毎个用户,对重要的用户行为和重要
安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

1.3 安全计算环境

1.3.1 入侵防范

本项要求包括:
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;
b) 应关闭不需要的系统服务、默认共享和高危端口;
c) 应通过标记终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d) 应提供数裾有效性检验功能,保证通过人机接口输入或通过通信接口输人的内容符合系统设
定要求;
e) 应能发现可能存在的已知偏洞,并在经过充分测试评估后,及时修补漏洞;
f) 应能够检测到对重要节点进行人侵的行为,并在发生严重入侵事件吋提供报警。

要求:

  • 系统的精简性原则,即系统或者关键应用应该遵循最小的安装、配置要求;
  • 漏洞的及时修复,对于所有操作系统、中间件系统的漏洞修补;
  • 监测到: 入侵行为 并提供报警;

1.4 安全管理中心

1.4.1 系统管理

本项要求包括:
a) 应对系统管理员进行身份鉴別,只允许其通过特定的命令或操作界面进行系统管理操作,并对
这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、
系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

要求:

  • 对安全管理中心(安全管理平台)的相关操作进行审计和限制;
  • 安全管理中心(安全管理平台)也需要做数据备份。

1.4.2 安全管理

本项要求包括:
a) 应对安全管理员进行身份鉴別,只允许其通过特定的命令或操作界面进行安全管理操作,并对
这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的没置,主体、客体进行统一
安全标记,对主体进行授权,配置可信验证策略等。

要求:

  • 在配置安全设备进行策略的相关替换时,需要验证 配置的可信 和 策略的正确性;

1.4.3 集中管控

本项要求包括:
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分布在各个设备上的审计数据进行收集汇总和集中分析,保证审计目录的留存吋间符
合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

要求:

  • 特定的管理区域、管理方式来管理安全设备的和组件,包括:建立安全的信息传输通道;
  • 服务器、安全设备、关键链路需要进行集中监测,因此需要构建一个集中式、实时的监测平台实现监测的一体化;
  • 对所有的安全策略(恶意代码监测、恶意链接监测等)进行集中式、有计划的进行更改;

1.5 安全运维管理

1.5.1 介质管理

本项要求包括:
a) 应将介质存放在安全的杯境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据
存档介质的目录清单定期盘点;
b) 应对介质在物理传输过程屮的人员选择、打包、交付等情况进行控制,并对介质的归档和查询
等进行登记记录。

1.5.2 设备维护管理

本项要求包括:
a) 应对各种设备(包括备份和冗余设备)、线路等制定专门的部门或人员定期进行维护管理;
b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员
的责任、维修和服务的审批、维修过程的监锷控制等;
c) 信息处理设备应经过审枇才能带离机房或办公地点,合介存储介质的设备带出工作环境吋其
屮茧要数据应加密;
d) 含有存储介质的设备在报废或重用前,应进行完全淸除或被安全覆盖,保证该设备上的敏感数
据和授权软件无法被恢复重用。

1.5.3 漏洞和风险管理

本项要求包括:
a) 应采取必耍的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能
的影响后进行修补;
b) 应定期开展安全测评,形成安全测评报吿,采取措施应对发现的安全问题。

要求:

  • 正确的去评估安全漏洞和隐患对整个系统带来的风险以及危害,评估漏洞造成安全隐患的可能性。
  • 定期展开安全评测,并生成安全评测的报告;

1.5.4 网络和系统安全管理

本项要求包括:
a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;
b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
c) 应建立网络和系统安全管现制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方而作出规定;
d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
c) 应详细目录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;
f) 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;
g) 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
h) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
i) 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;
j) 应保证所有与外部的连接均得到授权和枇准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。

要求:

  • 建立安全的管理相关制度,包括对:安全策略、配置、日志管理、升级打补丁等等;
  • 编写安全设备的配置以及操作手册,对安全配置的优化、病毒特征库的升级制定详细的操作配置手册。
  • 组织对日志进行分析、监测和报警数据进行记录、分析、统计;

1.5.5 恶意代码防范管理

本项耍求包括:
a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检
査等;
b) 应定期验证防范恶意代码攻击的技术措施的有效性。

要求:

  • 定期验证 恶意代码 注入的监测技术的可行性。

1.5.6 配置管理

本项要求包括:
a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本
和补丁信息、各个设备或软件组件的配置参数等;
b) 应将基本配置信息改变纳人系统变更范畴,实施对配信息改变的控制,并及时更新基本配过
信息库。

要求:

  • 对所有配置管理的精细化管理;

1.5.7 安全事件处置

本项要求包括:
a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件;
b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全
事件的现场处理、事件报吿和后期恢复的管理职责等;
c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,
总结经验教训;
d) 对造成系统终端和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序;
e) 应建立联合防护和应急机制,负责处置跨单位安全事件。

要求:

  • 对所有的安全事故都应该具有的统一的处置流程或者预处理流程、规范,做到在发生安全事故影响正常业务的时候及时、快速、有章可循;
  • 注重对:数字取证相关技术的应用,在发生安全事故之后及时取证和保留证据;

2. GB/T 25070-2019 信息安全技术 网络安全等级保护技术要求

相比较 GB/T 22239-2019 网络安全等级保护基本要求, GB/T 25070-2019

提出了更聚焦技术的相关要求,对于:安全计算环境、云计算环境、移动互联安全计算环境、物联网系统安全计算环境、工业控制系统安全计算环境、安全区域边界、云安全区域边界、移动互联安全区域边界、工业控制系统安全区域边界、安全通信网络、云安全通信网络、移动互联安全通信网络、物联网系统安全通信网络设计、工业控制系统安全通信网络、安全管理中心设计技术要求、系统安全保护环境结构化等方面更加细致的安全指导规范;

总体设计目标:

建立一个明确定义的形式化安全策略模型,将自主和强制访问控制扩展到所有主体与客体,相应增强其他安全功能强度;将系统安全保护环境结构化为关键保护元素和非关键保护元素,以使系统具有抗渗透的能力,保障基础计算资源和应用程序可信,确保所有关键执行环节可信,对所有可信验证结果进行动态关联感知。

设计策略:

通过安全管理中心明确定义和维护形式化的安全策略模型。依据该模型,采用对系统内的所有主、客体进行标记的手段,实现所有主体与客体的强制访问控制。同时,相应増强身份鉴別、审计、安全管理等功能,定义安全部件之间接口的途径,实现系统安全保护环境关键保护部件和非关键保护部件的区分,并进行测试和审核。保障安全功能的有效性。第四级系统安全保护环境在使用密码技术设计时,应支持国家密码管理主管部门批准使用的密码算法。使用国家密码管理主管部门认证核准的密码产品。遵循相关密码国家标准和行业标准。
第四级系统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。所有计算节点都应基于可信计算技术实现开机到操作系统启动,再到应用程序启动的可信验证,并在应用程序的所有执行环节对其执行环境进行可信验证。主动抵御病毒人侵行为,同时验证结果,进行动态关联感知,形成实时的态势。

2.1 安全计算环境设计技术要求

2.1.1 通用安全计算环境设计技术要求

本项要求包括:
a) 用户身份鉴別
b) 自主访问控制
c) 标记和强制访问控制
在对安全管理员进行身份鉴別和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记。将强制访问控制扩展到所有主体与客体;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。
d) 系统安全审计
应记录系统相关安全亊件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。
应提供审计记录查询、分类、分析和存储保护;能对特定安全事件进行报警,终止违例进程等;
确保审计记录不被破坏或非授权访问以及防止审汁记录丢失等。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。
e) 用户数据完整性保护
f) 用户数据保密性保护
g) 客体安全里用
应采用具有安全客体复用功能的系统软件或貝畚相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。
h) 可信验证
可基于可信根对计算节点的BIOS、引导程序、操作系统内核、应用程序等进行可信验证,并在应用程序的所有执行环节对系统调用的主体、客体、操作可信验证,并对中断、关键内存区域等执行资源进行可信验证,并在检测到其可信性受到破坏时采取措施恢复,并将验证结果形成审计记录,送至管理中心,进行动态关联感知。
i) 配置可信检査
应将系统的安全配置信息形成基准库,实时监控或定期检查配置信息的修改行为,及时修复和基准库中内容不符的配置信息,可将感知结果形成基准值。
j) 入侵检测和恶意代码防范
应通过主动免疫可信计算检验机制及时识别入侵和病毒行为,并将其有效阻断。

要求:

  • 不同用户对于一个安全系统的颗粒度要求是不同的,在实际的情况下需要进行区分;
  • 系统安全审计是设计一个通用计算环境设计非常关键的一个方面;
  • 可信验证无处不在;

2.1.2 云安全计算环境设计技术要求

2.1.3 移动互联安全计算环境设计技术要求

本项要求包括:
a) 用户身份鉴別
b) 标记和强制访问控制
c) 应用管控
d) 安全域隔离
e) 移动设备管控
f) 数据保密性保护
应采取加密、混渚等措施,对移动应用程序进行保密性保护,防止被反编译;应实现对扩展存储
设备的加密功能.确保数据存储的安全。
g) 可信验证
应能对移动终端的引导程序、操作系统内核、应用程序等进行可信验证,确保每个部件在加载
前的真实性和完幣性。

2.1.4 物联网系统安全计算环境设计技术要求

2.1.5 工业控制系统安全计算环境设计技术要求

2.2 安全区域边界设计技术要求

2.2.1 通用安全区域边界设计技术要求

本项要求包括:
a) 区域边界访问控制
应在安全区域边界设置自主和强制访问控制机制.应对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问。
b) 区域边界包过滤
应根据区域边界安全控制策略,通过检査数据包的源地址、目的地址、传输层协议、请求的服务等。确定是否允许该数据包进出受保护的区域边界。
c) 区域边界安全审计
应在安全区域边界设置审计机制,通过安全管理中心集中管理,对确认的违规行为及时报警并做出相应处置。
d) 区域边界完整性保护
应在区域边界边界探测器,例如外接探测软件.探测非法外联和人侵行为,并及时报吿安全管理中心。
e) 可信验证
可基于可信根对计算节点的BIOS、引导程序、操作系统内核、安全管控程序等进行可信验证。并在区域边界设备运行过程中实时的对程序内存空间,操作系统关键内存区域等执行资源进行可信验证,并在检测到其可信性受到破坏时采取措施恢复,并将验证结果形成审计记录,送至管理中心.进行动态关联感知。

2.2.2 云安全区域边界设计技术要求

2.2.3 移动互联安全区域边界设计技术要求

2.2.4 物联网系统安全区域边界设计技术要求

2.2.5 工业控制系统安全区域边界设计技术要求

2.3 安全通信网络设计技术要求

2.3.1 通用安全通信网络设计技术要求

本项要求包括:
a) 通信网络安全审计
应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警,且做出相应处置。
b) 通信网络数据传输完整性保护
应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复。
c) 通信网络数据传输保密性保护
采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
d) 可信连接验证
应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品,在设备连接网络时,对源和目标平台身份、执行程序及其所有执行环节的执行资源进行可信验证,并将验证结果形成审计记录,送至管理中心,进行动态关联感知。


2.3.2 云安全通信网络设计技术要求

2.3.4 移动互联安全通信网络设计技术要求

2.3.5 物联网系统安全通信网络设计技术要求

2.3.6 工业控制系统安全通信网络设计技术要求

2.4 安全管理中心设计技术要求

2.4.1 系统管理

可通过系统管埋员对系统的资源和运行进行配置、控制和可信管理,包括用户身份、可信证书、可信
基准库、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
应对系统管理员进行身份鉴別,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些
操作进行审计。

2.4.2 安全管理

应通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置可信验证策略,并确
保标记、授权和安全策略的数据完整性.
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界而进行安全管理操作,井进行审计。

2.4.3 审计管理

应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和査询等,对审讣记录应进行分析.并根据分析结果进行及时处理。
应对安全审计员进行身份鉴別,只允许其通过特定的命令或操作界面进行安全审计操作。

2.5 系统安全保护环境结构化设计技术要求

2.5.1 安全保护部件结构化设计技术要求

2.5.2 安全保护部件互联结构化设计技术要求

2.5.3 重要参数结构化设计技术要求

应对第四级系统安全保护环境设计实现的与安全策略相关的甫要参数的数据结构给出明确定义, 包括参数类型、使用描述、以及功能说明,并用可信验证机制确保数据不被篡改。