返回知识库
一、等保2.0概述
《网络安全等级保护基本要求》(GB/T 22239-2019)于2019年12月1日正式实施,标志着我国网络安全等级保护工作正式进入2.0时代。等保2.0在1.0的基础上,增加了云计算、移动互联、物联网、工业控制系统等新技术新应用的扩展要求。
等保2.0核心变化:
• 名称变化:"信息系统安全等级保护"改为"网络安全等级保护"
• 对象扩展:新增云计算、移动互联、物联网、工业控制
• 结构变化:通用要求+扩展要求
• 强化可信:强化可信计算技术要求
二、等级保护定级
2.1 定级标准
| 等级 |
定义 |
适用对象 |
| 第一级 |
自主保护级 |
一般信息系统 |
| 第二级 |
指导保护级 |
一般企业信息系统 |
| 第三级 |
监督保护级 |
重要信息系统 |
| 第四级 |
强制保护级 |
非常重要信息系统 |
| 第五级 |
专控保护级 |
极端重要信息系统 |
2.2 定级要素
信息系统安全保护等级由两个定级要素决定:
- 受侵害的客体:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全
- 对客体的侵害程度:一般损害;严重损害;特别严重损害
三、等保2.0基本要求
3.1 安全通用要求
等保2.0通用要求涵盖以下十个方面:
安全物理环境
物理位置选择:机房选择在具有防震、防风和防雨等能力的建筑内
物理访问控制:机房出入口配置电子门禁系统,控制、鉴别和记录进入的人员
防盗窃和防破坏:机房设置防盗报警系统或视频监控系统
防雷击:设置防雷保安器或过压保护装置
防火:设置火灾自动消防系统,自动检测火情、自动报警、自动灭火
防水和防潮:采取措施防止雨水、机房内水蒸气结露和地下积水的转移与渗透
防静电:采用防静电地板或地面,采取措施防止静电的产生
温湿度控制:设置温湿度自动调节设施
电力供应:配置UPS或备用供电系统,供电线路铺设隐蔽
电磁防护:电源线和通信线缆隔离铺设,关键设备电磁屏蔽
安全通信网络
网络架构:避免单点故障,关键网络设备冗余部署
通信传输:采用校验技术或密码技术保证通信过程的完整性、保密性
可信验证:基于可信根对通信设备系统引导程序、系统程序等进行可信验证
安全区域边界
边界防护:保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
访问控制:在边界或区域间根据访问控制策略设置访问控制规则
入侵防范:在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
恶意代码防范:在关键网络节点处对恶意代码进行检测和清除
安全审计:在边界和重要节点进行安全审计,审计记录保存不少于180天
可信验证:基于可信根对边界设备系统引导程序等进行可信验证
安全计算环境
身份鉴别:对用户进行身份标识和鉴别,身份标识具有唯一性
访问控制:对登录用户分配账户和权限,重命名或删除默认账户
安全审计:启用安全审计功能,审计记录保存不少于180天
入侵防范:遵循最小安装原则,关闭不需要的系统服务、默认共享和高危端口
恶意代码防范:安装防恶意代码软件,并及时更新
数据完整性:采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性
数据保密性:采用密码技术保证重要数据在传输和存储过程中的保密性
数据备份恢复:提供重要数据的本地数据备份与恢复功能,提供异地实时备份功能
剩余信息保护:保证鉴别信息、敏感数据所在的存储空间被释放或重新分配前得到完全清除
个人信息保护:仅采集和保存业务必需的用户个人信息,禁止未授权访问和泄露
安全管理中心
系统管理:对系统管理员进行身份鉴别,仅允许其通过特定命令或操作界面进行系统管理操作
审计管理:对审计管理员进行身份鉴别,审计记录仅允许审计管理员访问
安全管理:对安全管理员进行身份鉴别,仅允许其通过特定命令或操作界面进行安全管理操作
集中管控:划分网络安全管理区域,对网络链路、安全设备、网络设备等进行集中管理
3.2 安全管理制度
- 安全策略:制定网络安全工作的总体方针和安全策略
- 管理制度:建立日常管理活动的管理制度,如机房管理、介质管理、设备管理等
- 制定和发布:指定或授权专门的部门或人员负责安全管理制度的制定
- 评审和修订:定期对安全管理制度的合理性和适用性进行论证和审定
3.3 安全管理机构
- 岗位设置:设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位
- 人员配备:配备一定数量的系统管理员、审计管理员和安全管理员
- 授权和审批:根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人
- 沟通和合作:加强各类管理人员之间、组织内部机构之间以及网络安全职能部门内部的合作与沟通
- 审核和检查:定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况
3.4 安全管理人员
- 人员录用:指定或授权专门的部门或人员负责人员录用
- 人员离岗:及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、软硬件等
- 安全意识教育和培训:对各类人员进行安全意识教育和岗位技能培训
- 外部人员访问管理:确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督
3.5 安全建设管理
- 定级和备案:明确保护对象的边界和等级,组织专家评审,到公安机关备案
- 安全方案设计:根据安全等级进行安全方案设计,组织专家评审
- 产品采购和使用:确保网络安全产品采购和使用符合国家的有关规定
- 自行软件开发:制定代码编写安全规范,对程序资源库的修改、更新、发布进行授权和批准
- 外包软件开发:在软件交付前检测其中可能存在的恶意代码
- 工程实施:指定或授权专门的部门或人员负责工程实施过程的管理
- 测试验收:在测试验收前根据设计方案或合同要求等制定测试验收方案
- 系统交付:制定交付清单,根据交付清单对所交接的设备、软件和文档等进行清点
- 等级测评:定期进行等级测评,第三级每年至少一次,第四级每半年至少一次
- 服务供应商管理:确保服务供应商的选择符合国家的有关规定
3.6 安全运维管理
- 环境管理:指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理
- 资产管理:编制并保存与保护对象相关的资产清单
- 介质管理:建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等进行管理
- 设备维护管理:建立设备维护管理制度,对设备进行维护管理
- 漏洞和风险管理:采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补
- 网络和系统安全管理:划分管理员角色,实现管理用户的权限分离,仅授予管理用户所需的最小权限
- 恶意代码防范管理:提高所有用户的防恶意代码安全意识,对外来计算机或存储介质接入系统前进行恶意代码检查
- 配置管理:记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件等
- 密码管理:遵循密码相关国家标准和行业标准,使用国家密码管理主管部门认证核准的密码技术和产品
- 变更管理:明确变更需求,变更前向主管领导申请,变更后向相关人员通告
- 备份与恢复管理:识别需要定期备份的重要业务信息、系统数据及软件系统等
- 安全事件处置:及时向安全管理部门报告所发现的安全弱点和可疑事件
- 应急预案管理:制定重要事件的应急预案,包括应急处置流程、系统恢复流程等
四、等保建设流程
4.1 定级备案阶段
- 系统识别:识别需要定级的信息系统
- 初步定级:根据定级指南初步确定安全保护等级
- 专家评审:组织专家对初步定级结果进行评审
- 主管部门审核:报主管部门审核定级结果
- 公安机关备案:到属地公安机关网安部门办理备案手续
4.2 差距分析阶段
- 现状调研:了解信息系统现状
- 差距分析:对照等保要求进行差距分析
- 风险评估:识别安全风险
- 整改建议:制定整改方案
4.3 整改建设阶段
- 方案设计:设计安全建设方案
- 产品选型:选择符合要求的安全产品
- 工程实施:部署安全设备和系统
- 制度建设:建立安全管理制度
- 人员培训:开展安全意识培训
4.4 测评阶段
- 测评准备:准备测评所需材料
- 现场测评:测评机构现场测评
- 整改复测:对不符合项进行整改
- 出具报告:测评机构出具测评报告
五、三级等保技术要求详解
5.1 关键安全产品要求
| 安全层面 |
所需产品/措施 |
等保要求 |
| 边界防护 |
下一代防火墙 |
访问控制、入侵防范 |
| 入侵防范 |
IPS入侵防御系统 |
检测、防止或限制网络攻击 |
| 恶意代码防范 |
防病毒网关、EDR |
检测和清除恶意代码 |
| 安全审计 |
日志审计系统 |
记录保存不少于180天 |
| 身份鉴别 |
堡垒机、IAM |
双因素认证、权限分离 |
| 数据安全 |
数据库审计、DLP |
数据完整性、保密性保护 |
| 备份恢复 |
备份系统 |
本地备份+异地备份 |
六、常见问题解答
6.1 等保测评周期
- 二级系统:每两年测评一次
- 三级系统:每年测评一次
- 四级系统:每半年测评一次
6.2 等保测评费用
测评费用根据系统规模、复杂程度、测评机构等因素有所不同,一般参考范围:
- 二级系统:3-8万元
- 三级系统:8-20万元
- 四级系统:20万元以上
6.3 等保整改周期
整改周期取决于系统现状和差距大小:
- 简单整改:1-2个月
- 中等整改:3-6个月
- 复杂整改:6-12个月
七、合规建设建议
7.1 规划建议
- 将等保合规纳入信息化整体规划,同步规划、同步建设、同步运行
- 选择有资质的测评机构和安全服务商
- 建立长效的安全运营机制,持续改进
7.2 实施建议
- 优先解决高风险问题,如边界防护、身份鉴别、数据备份等
- 充分利用现有安全设备,避免重复投资
- 重视安全管理制度建设和人员培训
- 保留完整的建设过程文档,便于测评
等保咨询服务:如需等保合规咨询或测评协助,请联系世纪云峰科技
电话:156-2522-0012 | 邮箱:Roy.zhou@cloud-peak.com.cn
八、相关文档