知識點總結 | 網絡安全等級保護 2.0
VSole2021-09-15 10:19:15
等保 2.0 作為 網絡安全等級保護基本要求,針對 云計算、大數據、移動互聯網、工業控制等領域的相關新興技術提出了個性化安全保護的標準要求,個人(組織)建站、企業尤其是國有企業、央企、政府單位可以參照本要求比對當前自身的數據中心、應用系統的基本情況進行改進。
國家標準由:2019-05-10 發布 2019-12-01 實施
1. GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求
在這里,我想詳細的記錄一下第四級安全保護能力,因為從事行業的需要以及敏感性,不再討論和記錄 四級安全保護 標準之前的要求。
應能夠在統一的安全策略下防護免受國家級別的、敵對組織的、擁有豐富資源威脅源發起的惡意攻擊、嚴重的自然災難,以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行為和安全事件,在自身遭到損害后,能夠迅速恢復所有功能。
在這里有兩個重點:
- 第一個是:需要及時能夠發現、監測攻擊行為;
- 第二個是:發現、監測安全事件;
因此需要特殊的技術來滿足這兩個要求,這里我不再詳細介紹有什么相關的技術來實現這兩個目標。在這篇文章的最后我會給出目前的在安全工作上的一些想法和技術發展的方向。
本文章不關注工程建設、硬件建設的方面,只做關鍵內容的摘要以及思考。
1.1 安全通信網絡
在安全通信網絡中,有一個非常關鍵的點,即:網絡通信的可信驗證:
可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的所有執行環節進行動態可信驗證,在檢測其可信性收到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心,并進行動態關聯感知。
這里涉及到兩個概念:
- 進行網絡設備的:系統引導程序、系統程序、重要配置參數 和 通信應用程序的可信驗證;
- 生成相關的審計記錄,送至關聯的安全中心;
- 動態關聯感知 - 態勢感知系統;
1.2 安全區域邊界
1.2.1 訪問控制 - ACL
- 應刪除多余或無效的訪問控制規則.優化訪問控制列表,并保證訪問控制規則數量最小化。
- 應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出。
- 應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換。
要求:
- 調整 ACL 的相關策略,需要做到對所有 ACL 的策略的最小化、精細化的管理。
- 對于 日志關鍵 的信息:目的地址、源地址、等信息需要做到分析記錄和自動化的處理。
- 網絡邊界協議的轉換 - 涉及到網絡體系結構的建設、規劃問題。
1.2.2 入侵防范
- 應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析;
要求:
- 攻擊行為的分析,在一般的大型企業網絡中用到的基本上是:網絡攻擊分析平臺。會搭配安全設備進行安全日志分析,一些安全行為會以日志的信息被記錄并吐給安全平臺。
1.2.3 安全審計
本項要求包括:
a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到毎個用戶,對重要的用戶行為和重要
安全事件進行審計;
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
1.3 安全計算環境
1.3.1 入侵防范
本項要求包括:
a) 應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
b) 應關閉不需要的系統服務、默認共享和高危端口;
c) 應通過標記終端接人方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制;
d) 應提供數裾有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸人的內容符合系統設
定要求;
e) 應能發現可能存在的已知偏洞,并在經過充分測試評估后,及時修補漏洞;
f) 應能夠檢測到對重要節點進行人侵的行為,并在發生嚴重入侵事件吋提供報警。
要求:
- 系統的精簡性原則,即系統或者關鍵應用應該遵循最小的安裝、配置要求;
- 漏洞的及時修復,對于所有操作系統、中間件系統的漏洞修補;
- 監測到: 入侵行為 并提供報警;
1.4 安全管理中心
1.4.1 系統管理
本項要求包括:
a) 應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對
這些操作進行審計;
b) 應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、
系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
要求:
- 對安全管理中心(安全管理平臺)的相關操作進行審計和限制;
- 安全管理中心(安全管理平臺)也需要做數據備份。
1.4.2 安全管理
本項要求包括:
a) 應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對
這些操作進行審計;
b) 應通過安全管理員對系統中的安全策略進行配置,包括安全參數的沒置,主體、客體進行統一
安全標記,對主體進行授權,配置可信驗證策略等。
要求:
- 在配置安全設備進行策略的相關替換時,需要驗證 配置的可信 和 策略的正確性;
1.4.3 集中管控
本項要求包括:
a) 應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;
b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;
c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;
d) 應對分布在各個設備上的審計數據進行收集匯總和集中分析,保證審計目錄的留存吋間符
合法律法規要求;
e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
要求:
- 特定的管理區域、管理方式來管理安全設備的和組件,包括:建立安全的信息傳輸通道;
- 服務器、安全設備、關鍵鏈路需要進行集中監測,因此需要構建一個集中式、實時的監測平臺實現監測的一體化;
- 對所有的安全策略(惡意代碼監測、惡意鏈接監測等)進行集中式、有計劃的進行更改;
1.5 安全運維管理
1.5.1 介質管理
本項要求包括:
a) 應將介質存放在安全的杯境中,對各類介質進行控制和保護,實行存儲環境專人管理,并根據
存檔介質的目錄清單定期盤點;
b) 應對介質在物理傳輸過程屮的人員選擇、打包、交付等情況進行控制,并對介質的歸檔和查詢
等進行登記記錄。
1.5.2 設備維護管理
本項要求包括:
a) 應對各種設備(包括備份和冗余設備)、線路等制定專門的部門或人員定期進行維護管理;
b) 應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員
的責任、維修和服務的審批、維修過程的監鍔控制等;
c) 信息處理設備應經過審枇才能帶離機房或辦公地點,合介存儲介質的設備帶出工作環境吋其
屮繭要數據應加密;
d) 含有存儲介質的設備在報廢或重用前,應進行完全淸除或被安全覆蓋,保證該設備上的敏感數
據和授權軟件無法被恢復重用。
1.5.3 漏洞和風險管理
本項要求包括:
a) 應采取必耍的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能
的影響后進行修補;
b) 應定期開展安全測評,形成安全測評報吿,采取措施應對發現的安全問題。
要求:
- 正確的去評估安全漏洞和隱患對整個系統帶來的風險以及危害,評估漏洞造成安全隱患的可能性。
- 定期展開安全評測,并生成安全評測的報告;
1.5.4 網絡和系統安全管理
本項要求包括:
a) 應劃分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限;
b) 應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進行控制;
c) 應建立網絡和系統安全管現制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方而作出規定;
d) 應制定重要設備的配置和操作手冊,依據手冊對設備進行安全配置和優化配置等;
c) 應詳細目錄運維操作日志,包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容;
f) 應指定專門的部門或人員對日志、監測和報警數據等進行分析、統計,及時發現可疑行為;
g) 應嚴格控制變更性運維,經過審批后才可改變連接、安裝系統組件或調整配置參數,操作過程中應保留不可更改的審計日志,操作結束后應同步更新配置信息庫;
h) 應嚴格控制運維工具的使用,經過審批后才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束后應刪除工具中的敏感數據;
i) 應嚴格控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道;
j) 應保證所有與外部的連接均得到授權和枇準,應定期檢查違反規定無線上網及其他違反網絡安全策略的行為。
要求:
- 建立安全的管理相關制度,包括對:安全策略、配置、日志管理、升級打補丁等等;
- 編寫安全設備的配置以及操作手冊,對安全配置的優化、病毒特征庫的升級制定詳細的操作配置手冊。
- 組織對日志進行分析、監測和報警數據進行記錄、分析、統計;
1.5.5 惡意代碼防范管理
本項耍求包括:
a) 應提高所有用戶的防惡意代碼意識,對外來計算機或存儲設備接入系統前進行惡意代碼檢
査等;
b) 應定期驗證防范惡意代碼攻擊的技術措施的有效性。
要求:
- 定期驗證 惡意代碼 注入的監測技術的可行性。
1.5.6 配置管理
本項要求包括:
a) 應記錄和保存基本配置信息,包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本
和補丁信息、各個設備或軟件組件的配置參數等;
b) 應將基本配置信息改變納人系統變更范疇,實施對配信息改變的控制,并及時更新基本配過
信息庫。
要求:
- 對所有配置管理的精細化管理;
1.5.7 安全事件處置
本項要求包括:
a) 應及時向安全管理部門報告所發現的安全弱點和可疑事件;
b) 應制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程,規定安全
事件的現場處理、事件報吿和后期恢復的管理職責等;
c) 應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,
總結經驗教訓;
d) 對造成系統終端和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序;
e) 應建立聯合防護和應急機制,負責處置跨單位安全事件。
要求:
- 對所有的安全事故都應該具有的統一的處置流程或者預處理流程、規范,做到在發生安全事故影響正常業務的時候及時、快速、有章可循;
- 注重對:數字取證相關技術的應用,在發生安全事故之后及時取證和保留證據;
2. GB/T 25070-2019 信息安全技術 網絡安全等級保護技術要求
相比較 GB/T 22239-2019 網絡安全等級保護基本要求, GB/T 25070-2019 提出了更聚焦技術的相關要求,對于:安全計算環境、云計算環境、移動互聯安全計算環境、物聯網系統安全計算環境、工業控制系統安全計算環境、安全區域邊界、云安全區域邊界、移動互聯安全區域邊界、工業控制系統安全區域邊界、安全通信網絡、云安全通信網絡、移動互聯安全通信網絡、物聯網系統安全通信網絡設計、工業控制系統安全通信網絡、安全管理中心設計技術要求、系統安全保護環境結構化等方面更加細致的安全指導規范;
總體設計目標:
建立一個明確定義的形式化安全策略模型,將自主和強制訪問控制擴展到所有主體與客體,相應增強其他安全功能強度;將系統安全保護環境結構化為關鍵保護元素和非關鍵保護元素,以使系統具有抗滲透的能力,保障基礎計算資源和應用程序可信,確保所有關鍵執行環節可信,對所有可信驗證結果進行動態關聯感知。
設計策略:
通過安全管理中心明確定義和維護形式化的安全策略模型。依據該模型,采用對系統內的所有主、客體進行標記的手段,實現所有主體與客體的強制訪問控制。同時,相應増強身份鑒別、審計、安全管理等功能,定義安全部件之間接口的途徑,實現系統安全保護環境關鍵保護部件和非關鍵保護部件的區分,并進行測試和審核。保障安全功能的有效性。第四級系統安全保護環境在使用密碼技術設計時,應支持國家密碼管理主管部門批準使用的密碼算法。使用國家密碼管理主管部門認證核準的密碼產品。遵循相關密碼國家標準和行業標準。
第四級系統安全保護環境的設計通過第四級的安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心的設計加以實現。所有計算節點都應基于可信計算技術實現開機到操作系統啟動,再到應用程序啟動的可信驗證,并在應用程序的所有執行環節對其執行環境進行可信驗證。主動抵御病毒人侵行為,同時驗證結果,進行動態關聯感知,形成實時的態勢。
2.1 安全計算環境設計技術要求
2.1.1 通用安全計算環境設計技術要求
本項要求包括:
a) 用戶身份鑒別
b) 自主訪問控制
c) 標記和強制訪問控制
在對安全管理員進行身份鑒別和權限控制的基礎上,應由安全管理員通過特定操作界面對主、客體進行安全標記。將強制訪問控制擴展到所有主體與客體;應按安全標記和強制訪問控制規則,對確定主體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級,客體的粒度為文件或數據庫表級。應確保安全計算環境內的所有主、客體具有一致的標記信息,并實施相同的強制訪問控制規則。
d) 系統安全審計
應記錄系統相關安全亊件。審計記錄包括安全事件的主體、客體、時間、類型和結果等內容。
應提供審計記錄查詢、分類、分析和存儲保護;能對特定安全事件進行報警,終止違例進程等;
確保審計記錄不被破壞或非授權訪問以及防止審汁記錄丟失等。應為安全管理中心提供接口;對不能由系統獨立處理的安全事件,提供由授權主體調用的接口。
e) 用戶數據完整性保護
f) 用戶數據保密性保護
g) 客體安全里用
應采用具有安全客體復用功能的系統軟件或貝畚相應功能的信息技術產品,對用戶使用的客體資源,在這些客體資源重新分配前,對其原使用者的信息進行清除,以確保信息不被泄露。
h) 可信驗證
可基于可信根對計算節點的BIOS、引導程序、操作系統內核、應用程序等進行可信驗證,并在應用程序的所有執行環節對系統調用的主體、客體、操作可信驗證,并對中斷、關鍵內存區域等執行資源進行可信驗證,并在檢測到其可信性受到破壞時采取措施恢復,并將驗證結果形成審計記錄,送至管理中心,進行動態關聯感知。
i) 配置可信檢査
應將系統的安全配置信息形成基準庫,實時監控或定期檢查配置信息的修改行為,及時修復和基準庫中內容不符的配置信息,可將感知結果形成基準值。
j) 入侵檢測和惡意代碼防范
應通過主動免疫可信計算檢驗機制及時識別入侵和病毒行為,并將其有效阻斷。
要求:
- 不同用戶對于一個安全系統的顆粒度要求是不同的,在實際的情況下需要進行區分;
- 系統安全審計是設計一個通用計算環境設計非常關鍵的一個方面;
- 可信驗證無處不在;
2.1.2 云安全計算環境設計技術要求
略
2.1.3 移動互聯安全計算環境設計技術要求
本項要求包括:
a) 用戶身份鑒別
b) 標記和強制訪問控制
c) 應用管控
d) 安全域隔離
e) 移動設備管控
f) 數據保密性保護
應采取加密、混渚等措施,對移動應用程序進行保密性保護,防止被反編譯;應實現對擴展存儲
設備的加密功能.確保數據存儲的安全。
g) 可信驗證
應能對移動終端的引導程序、操作系統內核、應用程序等進行可信驗證,確保每個部件在加載
前的真實性和完幣性。
2.1.4 物聯網系統安全計算環境設計技術要求
略
2.1.5 工業控制系統安全計算環境設計技術要求
略
2.2 安全區域邊界設計技術要求
2.2.1 通用安全區域邊界設計技術要求
本項要求包括:
a) 區域邊界訪問控制
應在安全區域邊界設置自主和強制訪問控制機制.應對源及目標計算節點的身份、地址、端口和應用協議等進行可信驗證,對進出安全區域邊界的數據信息進行控制,阻止非授權訪問。
b) 區域邊界包過濾
應根據區域邊界安全控制策略,通過檢査數據包的源地址、目的地址、傳輸層協議、請求的服務等。確定是否允許該數據包進出受保護的區域邊界。
c) 區域邊界安全審計
應在安全區域邊界設置審計機制,通過安全管理中心集中管理,對確認的違規行為及時報警并做出相應處置。
d) 區域邊界完整性保護
應在區域邊界邊界探測器,例如外接探測軟件.探測非法外聯和人侵行為,并及時報吿安全管理中心。
e) 可信驗證
可基于可信根對計算節點的BIOS、引導程序、操作系統內核、安全管控程序等進行可信驗證。并在區域邊界設備運行過程中實時的對程序內存空間,操作系統關鍵內存區域等執行資源進行可信驗證,并在檢測到其可信性受到破壞時采取措施恢復,并將驗證結果形成審計記錄,送至管理中心.進行動態關聯感知。
2.2.2 云安全區域邊界設計技術要求
略
2.2.3 移動互聯安全區域邊界設計技術要求
略
2.2.4 物聯網系統安全區域邊界設計技術要求
略
2.2.5 工業控制系統安全區域邊界設計技術要求
略
2.3 安全通信網絡設計技術要求
2.3.1 通用安全通信網絡設計技術要求
本項要求包括:
a) 通信網絡安全審計
應在安全通信網絡設置審計機制,由安全管理中心集中管理,并對確認的違規行為進行報警,且做出相應處置。
b) 通信網絡數據傳輸完整性保護
應采用由密碼等技術支持的完整性校驗機制,以實現通信網絡數據傳輸完整性保護,并在發現完整性被破壞時進行恢復。
c) 通信網絡數據傳輸保密性保護
采用由密碼等技術支持的保密性保護機制,以實現通信網絡數據傳輸保密性保護。
d) 可信連接驗證
應采用具有網絡可信連接保護功能的系統軟件或具有相應功能的信息技術產品,在設備連接網絡時,對源和目標平臺身份、執行程序及其所有執行環節的執行資源進行可信驗證,并將驗證結果形成審計記錄,送至管理中心,進行動態關聯感知。
2.3.2 云安全通信網絡設計技術要求
略
2.3.4 移動互聯安全通信網絡設計技術要求
略
2.3.5 物聯網系統安全通信網絡設計技術要求
略
2.3.6 工業控制系統安全通信網絡設計技術要求
略
2.4 安全管理中心設計技術要求
2.4.1 系統管理
可通過系統管埋員對系統的資源和運行進行配置、控制和可信管理,包括用戶身份、可信證書、可信
基準庫、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些
操作進行審計。
2.4.2 安全管理
應通過安全管理員對系統中的主體、客體進行統一標記,對主體進行授權,配置可信驗證策略,并確
保標記、授權和安全策略的數據完整性.
應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界而進行安全管理操作,井進行審計。
2.4.3 審計管理
應通過安全審計員對分布在系統各個組成部分的安全審計機制進行集中管理,包括根據安全審計策略對審計記錄進行分類;提供按時間段開啟和關閉相應類型的安全審計機制;對各類審計記錄進行存儲、管理和査詢等,對審訃記錄應進行分析.并根據分析結果進行及時處理。
應對安全審計員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作。
2.5 系統安全保護環境結構化設計技術要求
2.5.1 安全保護部件結構化設計技術要求
略
2.5.2 安全保護部件互聯結構化設計技術要求
略
2.5.3 重要參數結構化設計技術要求
應對第四級系統安全保護環境設計實現的與安全策略相關的甫要參數的數據結構給出明確定義, 包括參數類型、使用描述、以及功能說明,并用可信驗證機制確保數據不被篡改。
VSole
網絡安全專家