2020-05-11 15:10:53
來源:深信服科技
那么,行業(yè)用戶需要關注哪些等保相關的國家標準與行業(yè)政策?在國家標準和行業(yè)政策的雙重要求下,行業(yè)用戶如何結合業(yè)務自身安全需求進行有效的等級保護整改建設?
等保相關國家標準與行業(yè)政策
首先盤點一下等級保護2.0的國家標準:
2019年5月10日
《基本要求》、《測評要求》、《安全設計技術要求》國家標準正式發(fā)布,并于2019年12月1日起實施。
2019年8月30日
緊隨其后,《實施指南》正式發(fā)布,并已于2020年3月1日實施。
2020年4月28日
《定級指南》正式發(fā)布,至此等級保護2.0全套核心標準均已齊備,等級保護全流程均有了可以遵循的國標指引。
各行各業(yè)自等級保護1.0時代起便相繼出臺了諸多相關的政策文件和標準規(guī)范,明確提出了行業(yè)等級保護建設的要求和規(guī)范。其中,下圖列舉了幾個典型行業(yè)現(xiàn)行的等級保護相關的政策、標準:
行業(yè)等保整改建設新思路
為了兼顧國家標準和行業(yè)特性要求,各行業(yè)等級保護建設不能脫離業(yè)務需求來空談網(wǎng)絡安全,必須緊密結合核心業(yè)務、重要數(shù)據(jù)、關鍵網(wǎng)絡的實際安全需求,并結合用戶當前所處的建設階段,有序地推進等級保護整改建設工作。
按照等級保護建設的幾個階段,各行業(yè)可以按照高風險加固、完整規(guī)劃、等保+的整改建設思路逐步推進等保整改建設:
1、高風險加固
高風險項是安全建設、等級測評、執(zhí)法檢查關注的重點,消減高風險項則是合規(guī)的基線,因此高風險加固是行業(yè)等保建設首當其沖的任務。
等級保護2.0標準除通用要求調整外,對于測評結果也調整為優(yōu)、良、中、差的評定方式,根據(jù)分值計算公式結合權重得出最終得分。70以下為差,即不合格。而《等級測評報告模板2019版》中則明確指出:“如果存在高風險安全問題則直接判定等級測評結論為‘差’”,即不合格。
《網(wǎng)絡安全等級保護測評高風險判定指引》中規(guī)定了80個高風險,分布于等級保護9個控制類37個控制點,基本涵蓋了等級保護要求中所有重要要求項。通過技術和管理措施進行高風險項的安全加固,是等級保護測評通過的基礎,同時消減高風險有利于保障業(yè)務的可用性、有利于應對主管部門檢查。
具體80個高風險清單如下:
以安全通信網(wǎng)絡控制類為例,其高危風險判例及整改建議如下:
2、完整規(guī)劃
等級保護2.0相對于1.0新增和加強了許多安全要求,結合新要求,各行業(yè)應當健全技術、管理體系,全面重構和強化網(wǎng)絡安全整體架構。
其中等級保護2.0在對抗外部威脅和風險、標準適用性、時效性、易用性、可操作性等方面較等級保護1.0做了很多擴展和增強。充分體現(xiàn)“一個中心、三重防護”的思想,完成了從等級保護1.0標準被動防御的安全體系向事前預防、事中響應、事后審計的動態(tài)保障體系轉變。等級保護2.0新增或增強的安全控制點,從本質上也反映了近年來勒索軟件攻擊事件頻發(fā)、APT攻擊組織和影響增多的趨勢。
從技術和管理方面梳理等級保護2.0新增或增強要求,完整規(guī)劃技術和管理體系建設的內(nèi)容,有利于契合國家標準的基本要求,重構和強化整體安全架構,增強網(wǎng)絡安全整體防護水平和能力。
匯總等級保護2.0技術新增或增強技術和管理要求如下表所示:
3、“等保+”建設
脫離業(yè)務談安全和脫離安全談業(yè)務都是不現(xiàn)實的。各行業(yè)業(yè)務、數(shù)據(jù)、網(wǎng)絡均具有特殊性,針對核心業(yè)務、重要數(shù)據(jù)、關鍵網(wǎng)絡需要進行重點保護,并通過運營推動安全效果的有效落地。
以教育行業(yè)為例,校園網(wǎng)站作為核心業(yè)務需實現(xiàn)7*24H持續(xù)監(jiān)測、并對網(wǎng)站集群進行整體安全動態(tài)防護,出現(xiàn)安全事件需要能夠實現(xiàn)及時告警、處置及響應。
針對校園網(wǎng)絡核心數(shù)據(jù)的保護,進行重要業(yè)務數(shù)據(jù)全生命周期的操作審計、設備和網(wǎng)絡傳播途徑的審計,并實現(xiàn)數(shù)據(jù)流轉軌跡可視,業(yè)務內(nèi)部威脅全局分析, 做到敏感數(shù)據(jù)外泄風險可及時發(fā)現(xiàn),泄密事件追溯取證。
校園統(tǒng)一安全接入(含校園APP接入)作為其關鍵接入網(wǎng)絡之一,除需滿足等級保護2.0安全通用要求中各安全層面的控制點、要求項以外,還需滿足校園APP接入的移動互聯(lián)安全要求,統(tǒng)一安全接入平臺為教師、學生在外網(wǎng)環(huán)境訪問業(yè)務系統(tǒng)提供單點登錄、一站式體驗等功能。
最后,通過持續(xù)的安全運營,實現(xiàn)資產(chǎn)、脆弱性、威脅和事件的全面監(jiān)測與感知,并保障技術設備、技術措施和人員、流程及制度的落地。
深信服等級保護2.0解決方案從用戶自身核心業(yè)務、重要數(shù)據(jù)、關鍵網(wǎng)絡的防護需求出發(fā),以消減高風險為基礎,全面重構和強化等級保護2.0安全技術和管理體系建設,并通過“等保+”建設,為行業(yè)用戶帶來“持續(xù)保護、不止合規(guī)”的安全價值。
