网络安全信息安全等保2.0通用安全架构设计解决方案（68页 PPT）

微信扫码，打开到小程序

等保 2.0 通用安全架构 设计解决方案 2 从框架与架构说起 十工五任 解决方案 合规 / 产 品 战 略 聚 焦 技术聚 焦 规划视角（ EA 架构分析） 设计视角 （ EA 场景分 析） 覆盖 技术视角 （可运行性分析） 实例化 理 论 化 支撑 图 1. 解决方案架构 十工五任 • 政企网络安全防御全景模型 • 政企网络安全协同联动模型 • 政企网络安全防御建设项目规划纲要 解决方案： • 标准解决方案（行业 / 产品） • 综合型解决方案（会战 ） • 孵化型解决方案 产研 / 交付： • 产品能力化 • 原子能力（技术能力、安全能力、产品能力） • 部署实施 • 安全运行 目录 1 等保合规 2 内生安全框架 3 会战 框架 4 架构营销 等保合规与产品框架 5 等保政策法律地位的提升 计算机信息系统安全保护条例 （国务院令 第 147 号） 商用密码管理条例 （国务院令 第 273 号） 信息安全等级保护管理办法 （公通字 [2007]43 号 ) 电子政务等级保护相关制度 （发改委） ... 地方人民政府 地方人大及常委会 国务院 全国人大及其常委会 法律 行政 法规 地方性 法规 地方政 府规章 规 范 性 文 部 件 门 规 章 国 务 院 各 部 委 宪法、刑法（部分条款） 国家安全法（部分条款） 保守国家秘密法 电子签名法 ... 等级保护 1.0 等级保护 2.0 计算机信息系统安全保护条例 （国务院令 第 147 号） 商用密码管理条例 （国务院令 第 273 号） 网络安全等级保护条例 关键信息基础设施安全保护条例 电子政务等级保护相关制度（发改委） 关键信息基础设施相关制度 （国家互联网信息办公室） ... 宪法、刑法（部分条款） 国家安全法（部分条款） 保守国家秘密法 电子签名法 网络安全法 ... 6 等级保护制度发展 1994 国务院令第 147 号 1999 GB17859 2003 2004 2007 2017 2019 中办发 [2003]27 号 公通字 [2007]43 号 公通字 [2004]66 号 网络安全法 等保 2.0 核心标准 强制性标准：本标 准规定了我国计算 机信息系统安全保 护能力的五个等级 第二十一条“国家实 行网络安全等级保 护制度”，从法规上 升到法律层面 《基本要求》 《安全设计技术要 求》 《测评要求》 正式发布 第九条“计算机信息 系统实行安全等级 保护”首次提出了等 级保护的概念 信息安全保障纲领 性文 件 ，明确指出 “实行信息安全等级 保护“主要任务 进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容 明确了信息安全等 级保护的五个动作， 为开展等级保护工 作提供了规范 保障 政策环境营造 工作开展准备 1.0 全面推进 2.0 时代 公网安 1960 号文 ； 行标 2.0 标准陆 续发布与实施 （如金融等） 2020 至今 公网安 1960 号文 7 等保 2.0 主要变化 等级保护范 围 进一步扩大 安全防护要求不断提高 网络安全法确立等级保护制度地位 等级保护政策体系进一步细化完善 21 条规定：国家实行等级保护制 度； 31 条规定：国家对关键信息基础 设施，在网络安全等级保护制度的 基础上，实行重点保护。  等级保护范 围扩大（除了个人及家庭自建网络 之外的领域全覆盖）  等级保护对象扩展（云计算、工业控制、物联 网、移动安全）； 保护要求更高（针对高级威胁检测、供 应链安全、邮件 安全、通 报预警等） 增加对可信计算的相关要求。 等级保护管理条例 / 关键信息基础 设施保护条例发布征求意见稿； 配套管理规范 、实施细 则正在陆续 出台。 等保 2.0 8 等保定级对象 基础信息网络 工业控制系统 云计算平台 物联网 大数据  大数据、大数据应用、大数据平台、基础设施单独或组合可以构成定级对象，当涉及不同责任主体时，应当分别定级 。  安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。  现场采集 / 执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素宜单独定级。  对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。  应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。  对于大型云计算平台，应将云计算基础设施和有关辅助服务系统化为不同的定级对象。  物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要素作为一个整体对象定级，各要素不单独定级。 移动互联网  采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素，应与相关有线网络业务系统作为一个整体对 象定级。  对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为 不同的定级对象。  跨省的行业或者单位的专用通信网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。 9 等保安全体系框架 10 等级保护 2.0 安全框架 国 家 网 络 安 全 法 律 法 规 政 策 体 系 国 家 网 络 安 全 等 级 保 护 政 策 标 准 体 系 网络安全战 略 规划目标 等级保护对象 通信网络 安全管理中心 区域边界 计算环境 风险管理体系 安全管理体系 安全技术体系 网络信任体系 网络安全综合防御体系 组织 管理 网络基础设施 信息系统 大数据 物联网 云平台 总体安全策略 国家网络安全等级保护制度 定级备案 安全建设 等级测评 安全整改 监督检查 工控系统 移动互联网 智能设备 …… 机制 建设 安全 规划 安全 监测 通报 预警 应急 处置 态势 感知 能力 建设 技术 检测 安全 可控 队伍 建设 教育 培训 经费 保障 11 安全体系设计思路 设计思路说明 以基础信息网络与承载的信息系统、数据为保护对象； 以一个中心、三重防护的要求，构建满足等级保护 2.0 要求的技术能力； 以体系化设计思路，按照基础架构安全、动态身份安全、 纵深防御体系、全生命周期防护等实际安全需求，进行 安全技术体系规划设计； 以自适应的安全架构为目标，构建持续改进的安全运营 体系，在安全运营过程中实现安全技术体系的持续优化 完善； 以安全管理体系的落地实践为导向，提升安全运营能力， 更好地落实等级保护制度。 安全防护对象 设备 应用 数据 通信网络 技术融合运营，运营提升管理，管理巩固安全 12 等级保护基本要求项 《基本要求》 2.0 （二级通用要求） 《基本要求》 2.0 （三级通用要求） 序号 安全控制类 安全控制点 安全要求项 序号 安全控制类 安全控制点 安全要求项 1 安全物理环境 10 15 1 安全物理环境 10 22 2 安全通信网络 3 4 2 安全通信网络 3 8 3 安全区域边界 6 11 3 安全区域边界 6 20 4 安全计算环境 9 23 4 安全计算环境 11 34 5 安全管理中心 2 4 5 安全管理中心 4 12 6 安全管理制度 4 6 6 安全管理制度 4 7 7 安全管理机构 5 9 7 安全管理机构 5 14 8 安全管理人员 4 7 8 安全管理人员 4 12 9 安全建设管理 10 25 9 安全建设管理 10 34 10 安全运维管理 14 31 10 安全运维管理 14 48 合计 67 135 合计 71 211 13 等级保护 2.0 能力要求（通用要求） 一级 二级 三级 四级 安全分类 通用要求 技 术 管 理 安全运维管理 安全建设管理 安全管理人员 安全管理机构 安全管理制度 安全管理中心 安全计算环境 安全区域边界 安全通信网络 安全物理环境 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 物理位置选择 防静电 电磁防护 通信传输 可信验证 网络架构 边界防护 可信验证 访问控制 安全审计 入侵防范 恶意代码和垃圾邮件 防范 入侵防范 数据完整性 身份鉴别 恶意代码防范 数据备份恢复 可信验证 访问控制 个人信息保护 剩余信息保护 安全审计 数据保密性 系统管理 审计管理 安全管理 集中管控 安全策略 制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和协作 审核和检查 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理 定级和备案 产品采购和使用 测试验收 安全方案设计 工程实施 系统交付 服务供应商选择 自行软件 开发 外包软件 开发 等级测评 环境管理 设备维护管理 网络和系统安全管理 介质管理 备份与恢复管理 恶意代码防范 管理 漏洞和风险管理 安全事件处置 资产管理 密码管理 配置管理 变更管理 应急预案管理 外包运维管理 安全管理制度 14 安全要求项 第一级 第二级 第三级 第四级 增加内容说明 云计算安全扩展要求 11 29 46 49 主要增加的内容包括 “基础设施的位置”、“虚拟 化安全保护”、“镜像和快照保护”、“云服务商选 择” 和 “云计算环境管理” 等方面。 移动互联安全扩展要求 5 14 19 21 主要增加的内容包括 “无线接入点的物理位置”、 “移动终端管控”、“移动应用管控”、“移动应用软 件采购” 和 “移动应用软件 开发” 等方面。 物联网安全扩展要求 4 7 20 21 主要增加的内容包括 “感知节点的物理防护”、 “感知节点设备安全”、“感知网关节点设备安全”、 “感知节点的管理” 和 “数据融合处理” 等方面。 工业控制系统安全扩展要求 9 15 21 11 主要增加的内容包括 “室外控制设备防护”、“工 业控制系统网络架构安全”、“拨号使用控制”、 “无线使用控制” 和 “控制设备安全”等方面，针对 工业控制系统实时性要求高的特点调整了 “漏洞 和风险管理” 和“恶意代码防范 管理” 方面的要求。 等级保护扩展要求项 15 等级保护 2.0 能力要求（扩展要求） 技 术 管 理 安全运维管理 安全建设管理 安全管理中心 安全计算环境 安全区域边界 安全通信网络 访问控制 入侵防范 访问控制 云服务商选择 配置管理 一级 二级 三级 四级 分类 安全物理环境 基础设施位置 云 计 算 网络架构 安全审计 数据完整性和保密性 镜像和快照保护 数据备份恢复 安全审计 集中管控 供应链管理 云计算环境管理 技 术 管 理 安全运维管理 安全建设管理 安全管理中心 安全计算环境 安全区域边界 安全通信网络 边界防护 入侵防范 移动应用管控 移动应用软件采购 配置管理 一级 二级 三级 四级 分类 安全物理环境 无线接入点的物理位置 移 动 互 联 访问控制 移动终端管控 移动应用软件 开发控 技 术 管 理 安全运维管理 安全建设管理 安全管理中心 安全计算环境 安全区域边界 安全通信网络 接入控制 入侵防范 云服务商选择 一级 二级 三级 四级 分类 安全物理环境 感知节点设备物理防护 物 联 网 感知节点设备安全 网关节点设备安全 抗数据重放 数据融合处理 供应链管理 感知节点管理 技 术 管 理 安全运维管理 安全建设管理 安全管理中心 安全计算环境 安全区域边界 安全通信网络 访问控制 拨号使用控制 控制设备安全 云服务商选择 一级 二级 三级 四级 分类 安全物理环境 室外控制设备物理防护 工 业 控 制 系 统 网络架构 镜像和快照保护 数据备份恢复 安全审计 供应链管理 入侵防范 无线使用控制 产品采购和使用 外包软件 开发 16 新合规时代：网络安全法律法规框架 关键信息基础设施安全保护 条例 （ 2021 年 09 月 1 日） 网络安全等级保护条例 （征求意见稿） 信息安全等级保护管理办法 网络安全审查办法 （ 2020 年 06 月 1 日） 个人信息保护法 关键信息基础设施的运 营者 网络运营者 数据 计算机信息系统运营者 1. 《计算机信息系统安全保护等级划分准 则》（ GB17859-1999 ） 2. 《信息系统安全等级保护基本要求》 3. 《信息安全技术 信息系统通用安全技术要 求》（ GB/T20271-2006 ） 4. 《信息安全技术 网络基础安全技术要求》 （ GB/T20270-2006 ） 5. 《信息安全技术 操作系统安全技术要求》 （ GB/T20272-2006 ） 6. 《信息安全技术 数据库管理系统安全技术 要求》（ GB/T20273-2006 ） 7. 《信息安全技术 服务器技术要求》 8. 《信息安全技术 终端计算机系统安全等级 技术要求》（ GA/T671-2006 ） 9. 《信息安全技术 信息系统安全管理要求》 （ GB/T20269-2006 ） 10. 《信息安全技术 信息系统安全工程管理要 求》（ GB/T20282-2006 ） 11. 《信息系统安全等级保护测评要求》 12. BMB22-2007 《涉及国家秘密的计算机信 息系统分级保护测评指南》 13. 《涉及国家秘密的信息系统审批管理规 定》 14. BMB20-2007 《涉及国家秘密的信息系统 分级保护管理规范 》 1. 计算机信息系统安全保护等级 划分准则（ GB 17859- 1999 ） 2. 网络安全等级保护实施指南 （ GB/T25058-2020 ） 3. 网络安全等级保护定级指南 （ GB/T22240-2020 ） 4. 网络安全等级保护基本要求 （ GB/T22239-2019 ） 5. 网络安全等级保护设计技术要 求（ GB/T25070-2019 ） 6. 网络安全等级保护测评要求 （ GB/T28448-2019 ） 7. 网络安全等级保护测评过程指 南（ GB/T28449-2018 ） 1. 2. 3. 4. 5. 6. 7. 漏洞 网络产品安全漏洞管理规定 中华人民共和国境内的 网络产品（含硬件 、 软 件 ）提供 者和网络运营 者，以及从事网络产品 安全漏洞发现、收集、 发布等活动的组织或者 个人，应当遵守本规定 密码 1. 2. 3. 1. 信息安全技术 关键信息基础设 施安全保护要求 2. 信息安全技术 关键信息基础设 施安全控制措施 3. 信息安全技术 关键信息基础设 施安全防护能力评价方法信息 安全技术 关键信息基础设施安 全保障指标体系 4. 信息安全技术 关键信息基础设 施认定指南 5. 信息安全技术 关键信息基础设 施边界确定方法 6. 信息安全技术 关键信息基础设 施安全测评要求 7. 信息安全技术 关键信息基础设 施安全监测预警要求 网络安全法 （ 2017 年 06 月 1 日） 计算机信息系统安全保护条例 数据安全法 2021 年 09 月 1 日 密码法 2020 年 01 月 1 日 17 举例：产品框架最大的问题是产品框架 集 中 投 入 构 建 核 心 能 力 平 台 核 心 能 力 持续监测 态势感知 可视化 日志 攻击 资产 脆弱性 预警 威胁预警 脆弱性管理 风险评估 防御 防火墙 服务器加固 响应 工单系统 处置响应 日志检索 检测 威胁情报 关联分析 流量分析 IT 运 维 网管与 IT 运维管理 网络拓扑 设备监控 应用监控 工单 配置管理数据库 （ CMDB ） 开放生态，协同合作伙伴来构建完整能力 终端安全 1. 态势感知与安全运营（ NGSOC ） • BD 版、 LV 版、流量探针、行业态势 感知、定位安全运营管理、行业化定制 版本 2. 安全分析与管理（ SNI+SOAR ） • 简版，产品的服务编排与策略下发 • 定制，定制对接产品服务编排与策略 下发 3. 日志审计平台（ LAS ） • 集中审计、日志支持多，关联分析，可 以作为 NGSOC 的日志节点 4. 安全运营服务 ( 基于 NGSOC) • 本地运营：驻场工程师 + 项目经理 + 后台专家 • 远程运营：服务中心、城市 / 行业安 全运营中心 5. 漏洞扫描 • 硬件版本，合规漏扫 + 配置核查 +Web 扫描 试图用一个产品代替一个体系 18 安全攻防 BG- 威胁检测与响应 1. 威胁感知 1. 威胁感知（天眼） 2. 网神攻击诱捕系统（蜜罐） 3. 邮件 威 胁检测系统 4. 自动化渗透测试系统 5. 应急响应分析处置系统 6. 安全 DNS 检测防御系统 7. 权威 DNS 防护与备份服务平台 2. 实战攻防演习平台 1. 网神实战攻防演习平台 2. 实战 化威 胁运营平台 3. 补天 ( 漏洞平台运营 ) 1. 众测服务：渗透测试 + 红队评估 2. SRC 服务 ( 包年众测 ) 3. 漏洞感知 ( 补天漏洞情报 SaaS 服务 ) 4. 全球鹰 1. 网络空间资产测绘（ SaaS 服务） 2. 网站云检测 ( 不是云防护，主要是监测 ) 3. 小鹰盒子（本地资产测绘） 资产感知 响应处置 攻 击 者 视 角 威 胁 告 警 威 胁 视 角 威胁感知 态势感知（大屏） 资产风险态势 外部威胁态势 威胁事件态势 资 产 视 角 TA 模块 情报数据 资产数据 规则库 流量传 感器 业务层 服务层 数据层 采集层 文 件 威 胁 鉴定器 终端安全响 应系统 网神云 锁 接入层 分析中心 全 包 取 证 分 析 威 胁 狩 猎 行 为 分 析 日 志 检 索 异常行为场景分析引擎 威胁情报 APT 分析引 擎 BI RT 报表引擎 分析层 SPL 大数据分析引擎 网络管 理 运营配 置 威胁情报 配置 本地操作 审计 白名单配 置 本地账号 配置 云端操作 审计 SNMP 告警 联动 证书管 理 升级配 置 第三方账 号管理 访问白名 单配置 流量访问态势 邮件 威 胁检 测系统 智慧防 火墙 配 置 核 查 资 产 管 理 脆 弱 性 补 天 漏 洞 任 务 脚 本 流 程 编 排 联 动 服 务 策 略 管 理 SYSLOG 告 警联动 处置联动配 置 邮件告警联 动 短信告警联 动 账号访问 配置 时间配 置 界面配 置 弱口令字 典配置 暴力破解规则配置 漏洞知识 库配置 设备配 置 设备监 控 日志配 置 报表报告 自 定 义 报 告 快 速 报 告 周 期 报 告 报 表 模