等保20基本要求

等保2.0基本要求等保2.0基本要求有以下三个特点:

文章插图
1、等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架;
2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;
3、将可信验证列入各级别和各环节的主要功能要求。
定级对象的类型
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
等保2.0典型变化
1.可信计算
可信计算的基本思想是,首先在计算机系统中构建一个信任根,信任根的可信性由物理安全、技术安全和管理安全共同确保;再建立一条信任链,从信任根开始到软硬件平台、到操作系统、再到应用,一级度量认证一级、一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。目前国内可信计算已进入3.0时代。
2.安全监测能力
以信息安全事件为核心,通过对网络和安全设备日志、系统运行数据等信息的实时采集,以关联分析等方式,实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。包含系统、设备、流量、链路、威胁、攻击、审计等维度。
3.通报预警能力
《网络安全法》及《关键信息基础设施安全保护条例》同时要求建立网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险。
等保2.0已发布的六大基本标准指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
等级保护制度是我国网络安全的基本制度。层次化保护是指对国家重要信息、法人和其他组织、公民的专有信息以及公共信息和存储、传输、处理此类信息的信息系统进行层次化安全保护。
相关信息介绍：
等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。
等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保2.0-技术要求和设计建设思想##设计技术要求核心思想

###《计算机信息系统安全保护等级划分准则》(GB17859)

强制性标准，是等级保护的基础性标准,是其他标准制定的依据。该标准以访问控制为核心狗哦将基本保护环境和相关安全服务。

###《基本要求》

在GB17859等标准基础上，根据现有技术的发展工具，提出和规定了不同登记信息的最低保护要求，包括基本技术要求和基本管理要求。

###《设计技术要求》

依照GB17859及其《基本要求》等标准的技术要求部分，对等保从技术上进行框架性规范，不包括物理安全，安全管理制度等。

###核心思想

1 ，重要信息系统安全影响国家安全

2 ，安全漏洞和安全威胁永远存在

3 ，攻防失衡，攻击占有巨大优势（永远未知攻击）

4 ，主动防御，守住底线 (服务可以暂停，内容不可篡改)

###《设计技术要求》参照PPDR模型

**主体为安全策略→客体：控制保护/相应审计和相应恢复.**

守住底线防护

1.1防护思想

可信任为基础问控制为核心。

可信认证：保障信息选题主体，客体可信

访问控制：保障主体对客体合理操作权限

“可信、可控、可管”的安全防护体系

1,可信(保证业务环境，用户/平台/程序是可信的，无法被冒充) 2 ，可控(实行主体对客体的受控访问，保证所有访问行为/权限均在可控范围内运行) 3 ，可管(通过构建集中管控、最小权限管理与三权分立的管理平台保证信息系统安全可管)

基于统一策略的安全管理，主动防御的控制保护机制

1.2防护框架

安全计算环境-安全区域边界-安全通信网络-安全管理中心-定级系统互联。。。

建设‘一个中心’管理中下的‘三重防护’体系，分别针对计算环境，区域边界，通信网络体系进行管理，实施多层隔离和保护，以防止某薄弱环节影响整体安全。

2,设计技术要求主要内容

2.1功能机制
2.2安全计算环节设计要求

用户身份鉴别

标记与强制范围控制

系统安全审计

数据完整保护

数据保密性保护

客体安全重用（例：云计算中云主体对客体资源退出后完全数据清除）

程序可信执行保护

2.3 安全区域边界设计要求

区域边界访问控制

3,设计技术需求关键技术解析

3.1强制

3.2可信计算

4,安全建设总体设计

4.1总体设计流程

梳理业务流程→风险评估→梳理主，客体及其权限→区域设计→分析关键保护点→安全机制及策略设计

5 案例
等级保护新标准2.0解读2019年，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。
下面是等保2.0三大核心新标准的介绍：
1、GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》
该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。
2、GB/T25070-2019 《信息安全技术网络等级保护安全设计技术要求》
该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。
3、GB/T28448-2019 《信息安全技术网络安全等级保护测评要求》
该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。
此外，从等保1.0到等保2.0 ，等级保护发生的主要变化有：

1、意义的变化
由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。
2、对象的变化
新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。
3、定级的变化
三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。
4、测评标准的变化
测评要求的测评单元中增加了【测评对象】项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。
5、定级备案实施方面的变化
等保2.0在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。
6、其他
从等级保护2.0框架中能够体现“一个中心，三重防护”的思想得以升华，等保2.0标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。
【等保20基本要求】等保2.0新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。