网络安全等级保护解决方案 -华为

微信扫码，打开到小程序

网络安全等级保护 解决方案 主编 : 王萍萍、许燕平 版权声明 主编 : 王萍萍、许燕平 主要参与人员 : 何平、敖日格勒、程建磊、王涛、程小磊、李云星、罗文晋、 王卫波、徐永强、王伟 发布日期 : 2023-01-17 发布版本 : 01 版权所有©华为技术有限公司 2023。 保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可 能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的 所有陈述、信息和建议不构成任何明示或暗示的担保。 i 前言 前言 主编简介 王萍萍，华为数据通信产品线资料工程师，2012 年加入华为，具有多年的资料开发 经验，主要负责安全相关的资料开发工作，包含云网安一体，网络安全等级保护等。 许燕平，华为行业安全解决方案架构师，2007 年加入华为，具有 14 年网络安全产品 研发和解决方案设计经验，参与华为核心安全产品防火墙、抗 DDoS、安全态势感知 等产品的研发，负责华为网络安全等级保护解决方案的设计和方案落地。 本书内容 本书通过对网络安全等级保护条例推出的背景进行介绍，阐述了网络安全等级保护条 例的技术体系和管理体系要求。针对各行业在日益加速的数字化转型过程中所面临的 问题与挑战，从技术体系维度详细介绍了华为不同等级的等保解决方案和行业典型案 例。并基于国家对网络安全的要求和安全技术的发展趋势对国家网络安全等级保护解 决方案进行展望。 ii 前言 读者对象 本书适合对网络安全等级保护解决方案和应用场景感兴趣，或是在数字化转型中对网 络安全防护有建设诉求的读者。 符号约定 对正文中重点信息的补充说明。“说明”不是安全警示信息，不涉及人 身、设备及环境伤害信息。 表示如不避免则可能导致轻微或中度伤害的具有低等级风险的危害。 iii 目录 目录 第 1 章 网络安全等级保护发展历程 ................................................................................. 1 1.1 网络安全的发展趋势与挑战 .................................................................................... 1 1.2 网络安全等级保护发展历程 .................................................................................... 3 第 2 章 网络安全等级保护概述 ......................................................................................... 5 2.1 等级保护简介 .............................................................................................................. 5 2.2 等级保护整体架构 .................................................................................................. 12 2.3 等级保护管理体系 .................................................................................................. 18 2.4 等级保护技术体系 .................................................................................................. 19 第 3 章 网络安全等级保护解决方案 ............................................................................... 29 3.1 方案架构 .................................................................................................................... 29 3.2 方案价值 .................................................................................................................... 48 第 4 章 网络安全等级保护分级方案 ............................................................................... 50 4.1 等保二级解决方案 .................................................................................................. 50 iv 目录 4.2 等保三级解决方案 .................................................................................................. 53 第 5 章 行业实践 ............................................................................................................... 57 5.1 医疗行业：医院等级保护方案 ............................................................................ 57 5.2 教育行业：教育园区等级保护方案 ................................................................... 63 5.3 政府行业：政务外网等级保护方案 ................................................................... 70 5.4 交通行业：城轨等级保护方案 ............................................................................ 82 5.5 交通行业：铁路等级保护方案 ............................................................................ 89 第 6 章 主打产品 ............................................................................................................... 96 6.1 HiSec Insight 安全态势感知系统 ........................................................................ 96 6.2 FireHunter 6000 沙箱 ............................................................................................ 97 6.3 SecoManager 安全控制器 .................................................................................... 98 6.4 HiSecEngine USG 系列防火墙 ............................................................................ 99 6.5 HiSecEngine AntiDDoS 防御系统 .................................................................... 101 第 7 章 总结与展望 ......................................................................................................... 103 1 网络安全等级保护发展历程 第1章 网络安全等级保护发展历程 摘要 本章主要介绍网络安全等级保护产生的背景以及等级保护的发展历程。 通过对网络安全的发展趋势和挑战分析，明确网络安全等级保护的必要性。 随着2017年国家网络安全法的出台，加速推动网络安全等级保护制度的落 地，对网络安全等级保护要求也从原来的1.0升级到现在的2.0，从之前作为 部门规范性文件演变到行政法规要求。 1.1 网络安全的发展趋势与挑战 在全球信息化的今天，信息化技术日新月异，移动办公、云计算、大数据等新技 术不断涌现并由此催生了诸多新的商业模式，极大地提高了企业办公的效率，有力地 支撑了企业业务的持续性运营。同时信息安全问题和挑战也一直如影随行并日趋严 重。每年各行业都会出现大量的信息安全事件，包括企业遭受网络攻击、核心信息资 产被泄密等，这些网络安全事件给企业造成了较大的经济损失及负面影响，并对企业 的核心竞争力和业务的持续性运营带来巨大的挑战。 2 网络安全等级保护发展历程  供应链攻击成为 APT（Advanced Persistent Threat，高级持续性威胁）组织常 用攻击手法 2020 年底，美国爆发 SolarWinds 供应链攻击事件，包括美国有关政府机构及多 家大型公司在内的大量机构受到影响。  历史重大漏洞被利用的风险依然较为严重，漏洞修复工作尤为重要和紧迫 国家计算机网络应急技术处理协调中心编写的《2020 年中国互联网网络安全报 告》显示，利用安全漏洞针对境内主机进行扫描探测、代码执行等的远程攻击行 为日均超过 2176.4 万次。根据攻击来源 IP 地址进行统计，攻击主要来自境外， 占比超过 75%。  网络安全产品自身漏洞风险上升 2020 年 CNVD（China National Vulnerability Database，国家信息安全漏洞共 享平台） 收录的通用型漏洞中，网络安全产品类漏洞数量达 424 个，同比增长 110.9%，网络安全产品自身存在的安全漏洞需获得更多关注。  勒索病毒的勒索方式和技术手段不断升级 勒索病毒持续活跃，全年捕获勒索病毒软件 78.1 万余个，较 2019 年同比增长 6.8%。  利用社会热点信息投递钓鱼邮件的 APT 攻击行动高发 境外“白象”“海莲花”“毒云藤”等 APT 攻击组织以“新冠肺炎疫情”“基金项 目申请”等相关社会热点及工作文件为诱饵，向我国重要单位邮箱账户投递钓鱼 邮件，诱导受害人点击仿冒该单位邮件服务提供商或邮件服务系统的虚假页面链 接，从而盗取受害人的邮箱账号密码。 为了应对各行业日益严重的网络安全威胁，提高信息安全的保障能力和防护水 平，中央办公厅、国务院办公厅指定由公安部协同其它几个相关部门（如国家保密 局、国家密码管理局、国务院信息化工作办公室等）制定《安全等级的划分标准和安 全等级保护的具体办法》，指导各行各业开展网络安全工作，自此我国网络安全等级 保护工作陆续开展。 3 网络安全等级保护发展历程 1.2 网络安全等级保护发展历程 等级保护是我国信息安全保障的基本制度，开展网络安全等级保护工作是保护信 息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的体现。 网络安全等级保护从 1994 年首次提出至今经历了二十几年的时间，在这二十几 年的发展中不断地出台各种条例、办法等相关要求，不断地推动等级保护工作的开 展： 1. 政策驱动 1994 年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计 算机信息系统实行安全等级保护。 2003 年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息 安全保障工作的意见》（中办发[2003]27 号）明确指出“实行信息安全等级保 护”。 2. 前期准备 2004-2006 年，四部门（公安部、国家保密局、国家密码管理局、国务院信息化 工作办公室）开展涉及 65117 家单位，共 115319 个信息系统的等级保护基础调 查和等级保护试点工作，为全面开展等级保护工作奠定基础。 3. 正式启动 2007 年 6 月，四部门联合出台《信息安全等级保护管理办法》，规定了等级保护 制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级 测评等实施与管理办法，以及信息安全产品和测评机构的选择等，为开展信息安 全等级保护工作提供了规范保障。 2007 年 7 月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级 工作的通知》（公信安[2007]861 号），定于 2007 年 7 月至 10 月在全国范围内 组织开展重要信息系统安全等级保护定级工作，拉开了全国等保定级工作的大 幕。 2008 年，公安部信息安全等级保护评估中心起草并发布了《信息安全技术 信息 系统安全等级保护基本要求(GB/T 22239-2008)》及配套的相关标准，等级保护 的施行有了技术支撑。 4. 规模推进 4 网络安全等级保护发展历程 2010 年 4 月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等 级测评工作的通知》，提出等级保护工作的阶段性目标。 2010 年 12 月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步 推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护 工作。 至此，信息安全等级保护在国内正式开始施行、推广。 5. 进入等保 2.0 2013 年，全国信息安全标准化技术委员会授权信息安全评估工作组开始启动等 级保护新标准的研究。 2016 年 10 月 10 日，第五届全国信息安全等级保护技术大会召开，公安部网络 安全保卫局指出“国家对网络安全等级保护制度提出了新的要求，等级保护制度 已进入 2.0 时代”。 2016 年 11 月 7 日，《中华人民共和国网络安全法》正式颁布，“第二十一条 国 家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要 求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防 止网络数据泄露或者被窃取、篡改”。网络安全法的颁布标志着等级保护进入新 的时代，也有了我们常听到的口号“不做等保，就是违法”。 6. 等保 2.0 时代 2017 年，1-2 月信安标委会发布网络安全等级保护技术要求系列标准及测评要求 系列标准；5 月公安部发布《网络安全等级保护定级指南》；6 月 1 日《中华人民 共和国网络安全法》正式施行。 2019 年 5 月 13 日《信息安全技术网络安全等级保护基本要求》(GB／T22239－ 2019)正式发布，习惯称为等保 2.0 标准，同年 12 月 1 日正式实施，配套标准也 在同年发布。 为适应新技术新应用的发展，信息安全向网络安全转变势在必行，现在各个行业 均以等保为依据进行网络安全等级保护体系建设。 5 网络安全等级保护概述 第2章 网络安全等级保护概述 摘要 本章主要从等级保护对象、等级划分、等级保护流程、等级保护评分标 准等几个维度介绍网络安全等级保护的基本概念，然后从等级保护整体框架 进一步介绍网络安全等级保护的体系结构以及相关要求，让读者对网络安全 等级保护有个整体的了解。 2.1 等级保护简介 等级保护经历了两个重要阶段：等保 1.0 和等保 2.0。结合当前技术演进方向、 业务发展趋势和威胁变化态势等因素，等保 2.0 在等保 1.0 的基础上从多维度对等保 1.0 进行了如下优化和调整：  执行更严：等级保护条款上升为法律层面，合规需求上升为法律强制。  标准更高：定级流程方面，等保 1.0 自主定级成为过去式，等保 2.0 要求系统定 级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严 格。测评周期方面，等保 2.0 要求三级以上系统每年开展一次测评，修改了等保 6 网络安全等级保护概述 1.0 四级系统每半年进行一次等保测评的要求。测评结果则要求达到 75 分以上 才算基本符合。  范围更广：等保 1.0 信息安全等级保护工作直接作用的具体信息和信息系统。随 着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现，原定 义内涵局限性日益显现。等保 2.0 网络安全等级保护工作由信息系统变更为网 络，保护对象全覆盖，领域全覆盖。包括基础信息网络、云计算平台/系统、大 数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。  要求更多：基本要求的内容，由 1.0 的安全要求变革为 2.0 的安全通用要求与安 全扩展要求(含云计算、移动互联、物联网、工业控制)。  流程更全：等保 1.0 有五个规定性动作，包括定级、备案、建设整改、等级测评 和监督检查。而等保 2.0 除了定级、备案、建设整改、等级测评和监督检查之 外，又增加了风险评估、安全监测、通报预警、案件调查、数据防护、灾难备 份、应急处置等，使流程更加细致全面。 从上面的变化可以看出，等保 2.0 比等保 1.0 从执行上更加严格，从实施上更便 于落地。下面将从通用要求维度分析等保 1.0 和 2.0 在基本结构以及要求项上的变 化，如表 2-1 所示。从通用要求上看，等保 2.0 所要求实现的防护更加体系化，通过 集中管理中心协同多种安全技术实现安全防护能力从等保 1.0 被动防护、单点防护