◆藺旭冉

等保2.0標準技術(shù)要求淺析與初步實踐思考

◆藺旭冉

（核工業(yè)計算機應(yīng)用研究所 北京 100048）

等保2.0新標準的正式發(fā)布，標志著我國的非涉密網(wǎng)絡(luò)安全基本防護框架，從政策到標準體系層面都邁入了2.0時代。為更好地應(yīng)對新形勢、新風(fēng)險和新需求，本文通過對新標準中的技術(shù)要求進行分析和研究，總結(jié)三級要求技術(shù)要點，并結(jié)合企業(yè)工作實際進行了部分要求的初步實踐思考，為后續(xù)更全面和深入地開展網(wǎng)絡(luò)安全能力建設(shè)工作提供參考。

網(wǎng)絡(luò)安全；等保2.0；可信計算；安全管理平臺

在全球網(wǎng)絡(luò)安全形勢日趨嚴峻、國家高度重視的新形勢下，我們的信息化和網(wǎng)絡(luò)安全建設(shè)按照等保1.0標準體系要求雖已取得快速發(fā)展，但仍然面臨著網(wǎng)絡(luò)安全威脅快速增大、新技術(shù)廣泛應(yīng)用導(dǎo)致安全風(fēng)險隱患增多等問題和不足。等保2.0新標準的適時推出，為主動防護工作開展及時提供指導(dǎo)，可更好地踐行國家網(wǎng)絡(luò)安全戰(zhàn)略，滿足工業(yè)智能制造和數(shù)字化運營的發(fā)展需要。

本文嘗試對等保2.0新標準變化和技術(shù)要求進行理解研究，并在此基礎(chǔ)上總結(jié)初步實踐經(jīng)驗，為后續(xù)更全面和深入地開展網(wǎng)絡(luò)安全能力建設(shè)工作提供參考。

1 標準變化

相比舊標準體系，新標準統(tǒng)一了基本要求與設(shè)計要求的安全框架（通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境），充分體現(xiàn)“一個中心，三重防護”的縱深防御思路，強化可信計算安全技術(shù)要求應(yīng)用。主要變化和改進點淺析如下：

1.1 從“信息系統(tǒng)”調(diào)整為定級對象

定級對象包括原有的基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)，擴展云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)應(yīng)用對象。

1.2 安全要求調(diào)整為通用和擴展要求

安全通用要求針對共性化保護需求提出，不管等級保護對象形態(tài)如何，必須滿足響應(yīng)保護等級的要求。安全擴展要求針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等個性化保護需求提出，對應(yīng)特定技術(shù)或特定的應(yīng)用場景。

1.3 可信驗證技術(shù)落實到每個等級的需求中

要求針對計算資源構(gòu)建保護環(huán)境：一級是系統(tǒng)引導(dǎo)程序與系統(tǒng)程序、二級是重要配置參數(shù)與應(yīng)用程序+審計記錄、三級是應(yīng)用程序重要執(zhí)行環(huán)節(jié)、四級是應(yīng)用程序所有執(zhí)行環(huán)節(jié)。

1.4 統(tǒng)一安全技術(shù)規(guī)劃思路

通過確定保護對象邊界劃分安全需求，按照縱深防御設(shè)計物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、主機設(shè)備、應(yīng)用和數(shù)據(jù)多層級的技術(shù)防護措施，通過安全管理中心實現(xiàn)安全檢測、日常管理、事件處置和分析取證的集中化管控，框架如圖1所示。

圖1 安全管理中心框架圖

2 技術(shù)要點

新標準的技術(shù)要求“從面到點”提出安全要求，定義更精確、內(nèi)涵更豐富。結(jié)合工作實際，初步研究和理解三級要求的主要技術(shù)要點如下。

2.1 通用要求

2.1.1通信網(wǎng)絡(luò)

（1）合理規(guī)劃網(wǎng)絡(luò)安全域、地址分配、網(wǎng)絡(luò)性能和帶寬冗余；

（2）對通信設(shè)備進行可信驗證；

（3）采用傳輸加密措施。

2.1.2 網(wǎng)絡(luò)邊界

（1）內(nèi)外網(wǎng)的網(wǎng)絡(luò)界邊界設(shè)置訪問控制策略，配置到具體端口；

（2）網(wǎng)絡(luò)邊界處應(yīng)當(dāng)部署入侵防范手段，防御并記錄攻擊或異常行為，加強垃圾郵件防護；

（3）對網(wǎng)絡(luò)內(nèi)部用戶的行為日志和安全事件信息進行記錄和審計；

（4）設(shè)立安全管理區(qū)域，對安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等進行集中管理；

（5）對邊界設(shè)備進行可信驗證。

2.1.3 主機設(shè)備

（1）避免賬號共享、防止弱口令、記錄和審計運維操作行為是主機設(shè)備安全的基本要求；

（2）采取身份鑒別、堡壘主機等必要的安全手段保證系統(tǒng)層安全，防范對主機設(shè)備的攻擊行為。

2.1.4 應(yīng)用和數(shù)據(jù)

（1）應(yīng)用是具體業(yè)務(wù)的直接實現(xiàn)，不具有網(wǎng)絡(luò)和系統(tǒng)相對標準化的特點。大部分應(yīng)用本身的身份鑒別、訪問控制和操作審計等功能，都難以用第三方產(chǎn)品來替代實現(xiàn)，主要依托系統(tǒng)自身的安全設(shè)計與實現(xiàn)；

（2）對于數(shù)據(jù)的完整性和保密性，除了在其他層面進行安全防護以外，應(yīng)用層加密是最為有效的方法；

（3）數(shù)據(jù)異地備份是實現(xiàn)業(yè)務(wù)連續(xù)最基礎(chǔ)的技術(shù)保障措施。

2.2 擴展要求

2.2.1 云計算擴展

（1）自運營或租賃方式的云計算基礎(chǔ)設(shè)施、用戶數(shù)據(jù)均應(yīng)在境內(nèi)；

（2）加強租戶安全保障，具備安全組件選擇、安全策略配置、攻擊監(jiān)測預(yù)警和運維審計等安全管控能力。

2.2.2 移動互聯(lián)擴展

（1）無線區(qū)域邊界要求采用國密算法的無線接入認證網(wǎng)關(guān)，具備對非授權(quán)接入的阻斷能力；

（2）應(yīng)對移動終端和應(yīng)用進行安全管控，包括APP的安全認證客戶端管控和APP開發(fā)商的認證管理等。

2.2.3 物聯(lián)網(wǎng)擴展

（1）關(guān)注感知點的環(huán)境影響，包括避免干擾、具備長時間供電能力等；

（2）計算環(huán)境方面應(yīng)對感知節(jié)點授權(quán)接入、網(wǎng)關(guān)節(jié)點管控能力和數(shù)據(jù)管理等方面進行防護強化。

2.2.4 工業(yè)控制擴展

（1）要求在工業(yè)控制系統(tǒng)與其他系統(tǒng)之間采取單向隔離措施，通過數(shù)字證書認證、傳輸加密和接入控制等措施提高通信網(wǎng)絡(luò)和區(qū)域邊界的安全管控；

（2）加強控制設(shè)備安全防護和管理，包括取消控制設(shè)備上無須外設(shè)與連接，運維控制設(shè)備需要專用設(shè)備，控制設(shè)備上線前需要安全檢測等。

3 實踐思考

通過對等保2.0標準的初步分析研究，結(jié)合日常網(wǎng)絡(luò)安全建設(shè)和運營管理實踐工作中發(fā)現(xiàn)的風(fēng)險隱患，對照新標準的變化和技術(shù)要求要點，針對如何提高后續(xù)的技術(shù)防護能力，提出以下幾點實踐思考。

實際在安全運維工作過程中，經(jīng)常存在內(nèi)部管理網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)不受控連接，訪問控制策略粗放并缺少攻擊監(jiān)測和防御手段等隱患和不足。須通過單向網(wǎng)閘管控內(nèi)外部網(wǎng)絡(luò)的連接，最小化允許網(wǎng)絡(luò)訪問的控制策略，部署攻擊行為監(jiān)測并建立相應(yīng)的分析處置機制等措施，確保網(wǎng)絡(luò)邊界嚴格可控，具備網(wǎng)絡(luò)信息系統(tǒng)安全可控的基本條件。

主機層面的安全防護措施必須落實在承載系統(tǒng)上線前完成，如操作系統(tǒng)安全加固、補丁更新、賬戶權(quán)限管控、日志審計、安全防護產(chǎn)品部署等，避免為保障業(yè)務(wù)可用性在上線后難以配置和執(zhí)行。

結(jié)合已開展的各項等級保護測評及網(wǎng)絡(luò)安全風(fēng)險自評估所發(fā)現(xiàn)問題和相關(guān)工作經(jīng)驗，業(yè)務(wù)應(yīng)用核心的軟件系統(tǒng)往往會存在較大的安全漏洞和缺陷，其安全基礎(chǔ)較差且難以在上線期間進行修補和整改。須整體強化各類業(yè)務(wù)應(yīng)用軟件安全基礎(chǔ)管控，逐步建立上線前軟件源碼安全審查和檢測機制，降低系統(tǒng)“帶病上線”風(fēng)險，提高基礎(chǔ)安全能力。

可立足于現(xiàn)有網(wǎng)絡(luò)安全防護基礎(chǔ)，構(gòu)建主動防御體系和機制，建立企業(yè)網(wǎng)絡(luò)安全管理平臺作為未來安全運維主要工作基礎(chǔ)。依托安全管理平臺可持續(xù)進行網(wǎng)絡(luò)安全動態(tài)檢測和集中分析，綜合評估潛在安全威脅并加以預(yù)防，整體提高監(jiān)測分析處置效率和能力，有效降低網(wǎng)絡(luò)安全事件發(fā)生的可能性，并實現(xiàn)對安全風(fēng)險和事件的預(yù)測。

4 結(jié)束語

等保2.0新標準總結(jié)了近十年的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗，覆蓋了新技術(shù)領(lǐng)域，更注重網(wǎng)絡(luò)基礎(chǔ)的安全架構(gòu)設(shè)計，更關(guān)注用戶體驗，更加落地，更加實用。由于新標準推出時間較短，本文僅進行了初步的分析和思考，后續(xù)還將持續(xù)對標準體系的理解研究工作，不斷指導(dǎo)實踐應(yīng)用，加快網(wǎng)絡(luò)安全能力建設(shè)。

[1]沈昌祥.信息安全[M].浙江大學(xué)出版社，2007.

[2]GB/T 22239-2019.網(wǎng)絡(luò)安全等級保護基本要求[S].2019．

[3]郭啟全，等.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護制度培訓(xùn)教程[M].電子工業(yè)出版社，2018.

[2]馬力，祝國邦，陸磊.《網(wǎng)絡(luò)安全等級保護基本要求》標準解讀[J].理論研究，2019．