网络等级保护安全防护体系建设方案（82页 WORD）

微信扫码，打开到小程序

网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景··············································································3 1.2 等保标准的演进·····································································4 1.3 规章制度清单········································································5 2 等级保护 2.0 简析.......................................................................7 2.1 整体分析··············································································7 2.2 等保 1.0 问题分析···································································8 2.3 等保 2.0 变化分析···································································9 2.3.1 标准未变化的部分·························································9 2.3.2 标准变化的部分····························································9 2.4 基本要求和对应产品技术·······················································14 3 解决方案..................................................................................16 3.1 设计理念············································································16 3.2 构建思路············································································16 3.3 设计策略············································································17 3.3.1 安全管理中心的建设策略··············································18 3.3.2 安全技术体系的建设策略··············································19 3.3.3 安全服务体系的建设策略··············································19 3.4 方案设计············································································20 3.4.1 安全管理中心的设计····················································20 3.4.2 安全技术体系的设计····················································33 3.4.3 安全服务体系的设计····················································59 3.4.4 智安网络等保云设计····················································65 3.5 建设清单············································································69 3.5.1 基本版······································································69 3.5.2 进阶版······································································72 3.5.3 重装版······································································76 2 智安网络等级保护安全防御体系方案 1 概述 1.1 基本背景 根据当前国内信息化建设的发展趋势，政府党政机关、各大央企国企、中小企 业在信息化利用程度上呈现出快速增长的势头，大数据、AI 智能、5G 等新技术的 广泛应用方面，已逐步成为世界领先，为各单位的办公、管理、运营、维护等提供 了高效的运行条件，为单位经营决策提供了有力支撑，为各单位对外宣传发挥了重 要的作用，因此各单位对信息化、网络化建设的依赖也越来越强，但同时由于信息 化、网络化所普遍面临的安全威胁，又给个单位的信息化、网络化带来严重的制约， 网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着各单位信息系统的正常 运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也使得各单位的正 常运营秩序受到威胁，如何做到既高效又安全，是各单位信息化、网络化关注的重 点。 同时，随着中国在高新技术的迅猛发展，现实社会中，以美国为代表的经济领 先团体对中国开展各维度的竞争和打压，贸易战、网络战的风险日益增高。中国的 信息资源的保护、信息化进程的健康是关乎国家安危、民族兴旺的大事；保障网络 安全是国家主权、政治、经济、国防、社会安全和公民合法权益保障的重要保证。 国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信 息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信 息安全等级保护制度。 信息安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安 全、社会稳定的政治任务。通过开展等级保护工作，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院 法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关 系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级 保护制度。 同时，随着时代的发展和技术演进，安全的内涵由早期面向数据的信息安全， 过度到面向信息系统的信息保障(信息系统安全)，并进一步演进为面向网络空间的 网络安全。网络安全(cybersecurity)以其更丰富的内涵逐步取待信息安全成为安全领 域共识，2017 年 6 月 1 日正式实施的《中华人民共和国网络安全法》明确规定“国 家实行网络安全等级保护制度“，相关法律条文和标准也需保持一致性，正在修订 中的“网络安全等级保护 2.0”以下简称等保 2.0，与时俱进的将原标准的”信息系统安 全等级保护“变更为”网络安全等级保护“，例如《信息系统安全等级保护基本要求》 变更为《网络安全等级保护基本要求》。 等保 2.0 对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计 技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要，其中《信 息安全技术网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保 护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》已于 2019 年 5 月 10 日发布，并将在 2019 年 12 月 1 日实施。 等保 2.0 标准的发布，对加强中国网络安全保障工作，提升网络安全保护能力 具有重要意义。此系列标准可有效指导网络运营者、网络安全企业、网络安全服务 机构开展网络安全等级保护安全技术方案的设计和实施，指导测评机构更加规范化 和标准化地开展等级测评工作，进而全面提升网络运营者的网络安全防护能力。 1.3 规章制度清单 1994 《中国人民共和国计算机信息系统安全保护条例》（国务院令 147 号） 4 智安网络等级保护安全防御体系方案 2003《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 「2003」27 号） 2004 《关于信息安全等级保护工作的实施意见》（公通字【2004】66 号） 2007 《信息安全等级保护管理办法》（公通字【2007】43 号） 2007 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字 【2007】861 号） 2007《信息安全等级保护备案实施细则》（工信安【2007】1360 号） 2008 《公安机关信息安全等级保护检查工作规范》（工信安【2008】736 号） 2008 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》 （发改高技【2008】2071 号） 2009 《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安 【2009】1429 号） 2009 《关于印发《信息系统安全等级测评报告模板（试行）》的通知》 2010《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 （公信安【2010】303 号） 2010《关于开展信息安全等级保护专项监督检查工作的通知》（公信安 【2010】1175 号） 2012《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国 发【2012】23 号） 2012《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技 【2012】1986 号） 2014《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安 【2014】2182 号） 2014 中办国办《关于加强社会治安防控体系建设的意见》 2014 习近平总书记在中央网络安全与信息化领导小组第一次会议上的讲话 （2.27） 2015 关于加强智慧城市网络安全管理工作的若干意见（中网办发文【2015】9 号） 5 智安网络等级保护安全防御体系方案 2016 《中华人民共和国网络安全法》发布 2016《国民经济和社会发展第十三个五年规划纲要》 2016 习近平总书记在网络安全和信息化工作座谈会上的讲话（4.19） 2017《中华人民共和国网络安全法》6 月 1 日正式实施 2018 公安部发布《网络安全等级保护条例（征求意见稿）》 2019《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安 全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》发 布 6 智安网络等级保护安全防御体系方案 2 等级保护 2.0 简析 2.1 整体分析 等保 2.0 编订过程中，最重要的一个变化，是从条例法规提升到法律层面， 2017 年 6 月 1 日正式施行的《中华人民共和国网络安全法》明确要求，“国家施行 网络安全等级保护制度”，“针对公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域，在网络安全等级保护制度的基础上，施行 重点保护”，同时明确违法后的法律责任。 在标准要求方面，进行了新增和优化。等保 2.0 标准在 1.0 标准的基础上，注重 全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础 信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的 全覆盖。在设计架构上，等保 2.0 充分体现了“一个中心三重防御“的思想，一个中 心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”， 同时等保 2.0 强化可信计算安全技术要求的使用。 另外，等保 2.0 在安全体系建设方面，从被动防御的安全体系向事前预防、事 中响应、事后审计的动态保障体系转变，通过等保 2.0，旨在构建覆盖关键基础设 施安全的风险管理体系、安全管理体系、安全技术体系、网络信任体系，共同构建 网络安全综合防御体系。 7 智安网络等级保护安全防御体系方案 与此同时，网络安全法相关政策体系以及等级保护标准体系的构建，形成企事 业单位、国家各级机构的全面网络安全保护，从法律和国家标准层面确定网络安全 综合防御体系的指导方向。 2.2 等保 1.0 问题分析 等保 1.0 标准为国内信息系统进行网络安全建设提供了建设依据，在多年的推 进过程中，包括税务、教育、光电、金融、烟草等行业也专门出台了行业标准进行 进一步规范和指导，但随着新技术的不断发展、国内网络安全整体呈现新形势、安 全方面不断产生新需求、亟待扩大等级保护标准内容，以适应国内突飞猛进的信息 化发展速度。 等保 2.0 在制定过程中，根据等保 1.0 执行中的多种问题，进行针对性设计和 提高，如以下问题：  大部分单位只为合规而开展等保，通过对标和设备堆叠达到合规的效果， 但缺少体系性考虑和真正有效的风险处置能力，无法真正提升安全防护水 平。 8 智安网络等级保护安全防御体系方案  传统等保要求以被动防御为主，对事前、事中和事后的闭环安全保障能力 要求较少，大部分等保合规系统遭受攻击后，难以主动分析、及时响应、 快速发现。  信息技术的快速发展和迭代，导致等级保护缺少对新技术的安全要求，使 云计算、大数据、物联网等一系列新技术应用缺乏有效安全要求和管控措 施  APT、邮件钓鱼、虚拟机逃逸、物联感知设备挟持等新的安全威胁和新的 攻击手段带来了很多新的安全风险，等级保护要求中缺乏响应的安全措施 要求。 2.3 等保 2.0 变化分析 2.3.1 标准未变化的部分 等保 2.0 虽然有较多的调整，但是原标准要求要求的各级主体责任及五项工作 要求未有变化。  等保 2.0 等级保护主体职责不变 1、运营使用单位对系统的等级保护职责不变。 2、上级主管单位对所属单位的安全管理职责不变。 3、第三方测评机构对已定级信息系统的安全评估职责不变。 4、网安对信息系统的备案受理及监督检查职责不变。  等级保护的五项工作不变 根据等保 2.0 的相关标准，原有的五项工作：定级、备案、建设整改、等级测 评、监督检查不变，内容根据具体控制项有微调。 2.3.2 标准变化的部分 等保 2.0 相对等保 1.0，主要在法律法规、标准要求、安全体系、实施环节四 个内容具有较大变化，本方案有关法律法规的要求在 2.1 章节中有部分阐述。本方 9 智安网络等级保护安全防御体系方案 案将主要针对安全体系、实施过程和标准要求进行分析和解读。 2.3.2.1 安全体系变化分析 在《GBT22239-2019 信息安全技术网络安全等级保护基本要求》内，“附录 2 关于等级保护对象整体安全保护能力的要求”中，明确要求“应考虑一下总体性要求” “构建纵深的防御体系”“采取互补的安全措施”“保证一致的安全强度”“建立统一的支 撑平台”“进行集中的安全管理”。 附录 3 等级保护安全框架和关键技术使用要求，提出“应针对等级保护对象特点 建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综 合防御体系。应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、 安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技 术检测、安全可控、队伍建设、教育培训和经费保障等工作。” 由此以及具体的技术控制项的调整，可以确定，等保 2.0 由 1.0 防御审计的被 动保障向感知预警、动态防护、安全监测、应急响应的主动保障体系全面转变。 2.3.2.2 实施过程变化分析 等保 2.0 的实施过程，五项工作的流程未做变化，但根据标准，定级和测评要 求有明显增加和修订。 1、定级变化 等保 2.0 在原有等保 1.0 定级对象的定义上，进行了扩充和明确。将等保 1.0 等级保护定级的对象“信息系统”，调整为“基础信息网络、工业控制系统、 云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个 系统平台”,并会在正在修订的《网络安全等级保护定级指南》中，进一步明确。 在定级要素与安全保护等级的关系中，受侵害的客体为“公民、法人和其他 组织的合法权益”，侵害程度为“特别严重损害”，由等保 1.0 中的定级“第二级” 调整为“第三级”。 10 智安网络等级保护安全防御体系方案 2、测评的变化 在本次等保 2.0 发布后，控制项内容进行精简合并，但总评分要求从 60 分以上 基本符合调整为 75 分以上基本符合，提高了符合要求。同时微调测评时间间隔， 将第三级系统、第四级系统合并为“第三级以上系统每年一次”。 2.3.2.3 标准控制项变化分析 从控制项的变化来看，等保 2.0 更加精简，但实质上内涵更加丰富完善。 等保二级控制项 等保三级控制项 等保 1.0 175 290 等保 2.0 135 211 11 精 简 智安网络等级保护安全防御体系方案 等保 2.0 第三级安全要求结构： 以等保三级为例，以下是 1.0 到 2.0 各控制点变化情况表。 等保 1.0 原控制点 等保 2.0 新控制点 网络安全 结构安全 安全通信网络 (三重防御) 网络架构 访问控制 通信传输 安全审计 可信验证 边界完整性检查 安全区域边界 (三重防御) 边界防护 入侵防范 访问控制 恶意代码防范 入侵防范 网络设备防护 恶意代码和垃圾邮件防范 安全审计 可信验证 安全管理中心 (一个中心) 系统管理 审计管理 安全管理 集中管控 主机安全 身份鉴别 安全计算环境 （三重防御） 身份鉴别 访问控制 访问控制 安全审计 安全审计 剩余信息保护 入侵防范 入侵防范 恶意代码防范 恶意代码防范 可信验证 资源控制 数据完整性 12 智安网络等级保护安全防御体系方案 应用安全 身份鉴别 数据保密性 访问控制 数据备份恢复 安全审计 剩余信息保护 剩余信息保护 个人信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据安全及 备份恢复 数据完整性 数据保密性 备份和恢复 等保 1.0 原控制点 等保 2.0 新控制点 安全管理制 度