安全資訊

    01前言
        2018年12月25日，由中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟主辦的等級保護新標準解讀培訓班在北京裕龍國際酒店舉行。沈昌祥院士做了《用可信計算筑牢網(wǎng)絡(luò )安全防線(xiàn)》的主題演講，公安部范春玲、李秋香和陳廣勇三位專(zhuān)家老師對最新的網(wǎng)絡(luò )安全等級保護制度進(jìn)行了細致的解讀，新華三作為可信計算聯(lián)盟的理事成員單位，有幸受邀參加了此次培訓。同時(shí)作為等級保護的參編單位，為了更好的學(xué)習貫徹和落實(shí)國家網(wǎng)絡(luò )安全等級保護制度，新華三再次對會(huì )上專(zhuān)家的培訓內容做個(gè)總結。
        02等級保護標準變化
        等級保護新標準在編制過(guò)程中總共經(jīng)歷了兩次大的變化，第一次是2017年8月根據網(wǎng)信辦和公安部的意見(jiàn)將5個(gè)分冊進(jìn)行了合并，形成一個(gè)標準，并在2017年10月參加信安標委WG5工作組在研標準推進(jìn)會(huì )，介紹合并后的標準送審稿，征求127家成員單位意見(jiàn)，修訂完成報批稿；第二次大的變化是2018年7月根據沈昌祥院士的意見(jiàn)再次調整分類(lèi)結構和強化可信計算，充分體現一個(gè)中心、三重防御的思想并強化可信計算安全技術(shù)要求的使用。
        經(jīng)過(guò)這兩次大變化后的《網(wǎng)絡(luò )安全等級保護基本要求》有10個(gè)章節8個(gè)附錄，其中第6、7、8、9、10章為五個(gè)安全等級的安全要求章節，8個(gè)附錄分別為：安全要求的選擇和使用、關(guān)于等級保護對象整體安全保護能力的要求、等級保護安全框架和關(guān)鍵技術(shù)使用要求、云計算應用場(chǎng)景說(shuō)明、移動(dòng)互聯(lián)應用場(chǎng)景說(shuō)明、物聯(lián)網(wǎng)應用場(chǎng)景說(shuō)明、工業(yè)控制系統應用場(chǎng)景說(shuō)明和大數據應用場(chǎng)景說(shuō)明。
        標準名稱(chēng)由原來(lái)的《信息安全技術(shù) 信息系統安全等級保護基本要求》變更為《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》，與《中華人民共和國網(wǎng)絡(luò )安全法》保持一致。等級保護對象由原來(lái)的“信息系統”改為“等級保護對象（網(wǎng)絡(luò )和信息系統）”，安全等級保護對象包括基礎信息網(wǎng)絡(luò )（廣電網(wǎng)、電信網(wǎng)等）、信息系統（采用傳統技術(shù)的系統）、云計算平臺、大數據平臺、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統等。新版安全要求在原有通用安全要求的基礎上新增安全擴展要求，安全擴展要求主要針對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統提出了特殊安全要求。
        03等級保護章節結構
        調整后每一級的安全要求均包括安全通用要求、云計算安全擴展要求、移動(dòng)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統安全擴展要求這幾個(gè)部分：
        安全通用要求規定了不管等級保護對象形態(tài)如何必須滿(mǎn)足的要求。
        云計算安全擴展要求章節針對云計算的特點(diǎn)提出特殊保護要求。對云計算環(huán)境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。這里需要注意云計算環(huán)境的定級，對于云租戶(hù)的定級仍按照傳統的定級思路，而對于云計算平臺的定級則分兩種情況，一種是中小型云計算平臺，可將整個(gè)云計算平臺作為整體定級對象；另一種是針對大型云計算平臺，應將云計算基礎設施和有關(guān)輔助服務(wù)系統劃分為不同的定級對象（比如大型云計算平臺的計費系統可單獨作為一個(gè)定級對象）。
        移動(dòng)互聯(lián)安全擴展要求章節針對移動(dòng)互聯(lián)的特點(diǎn)提出特殊保護要求。對移動(dòng)互聯(lián)環(huán)境主要增加的內容包括“無(wú)線(xiàn)接入點(diǎn)的物理位置”、“移動(dòng)終端管控”、“移動(dòng)應用管控”、“移動(dòng)應用軟件采購”和“移動(dòng)應用軟件開(kāi)發(fā)”等方面。
        物聯(lián)網(wǎng)安全擴展要求章節針對物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內容包括“感知節點(diǎn)的物理防護”、“感知節點(diǎn)設備安全”、“感知網(wǎng)關(guān)節點(diǎn)設備安全”、“感知節點(diǎn)的管理”和“數據融合處理”等方面。
        工業(yè)控制系統安全擴展要求章節針對工業(yè)控制系統的特點(diǎn)提出特殊保護要求。對工業(yè)控制系統主要增加的內容包括“室外控制設備防護”、“工業(yè)控制系統網(wǎng)絡(luò )架構安全”、“撥號使用控制”、“無(wú)線(xiàn)使用控制”和“控制設備安全”等方面，針對工業(yè)控制系統實(shí)時(shí)性要求高的特點(diǎn)調整了“漏洞和風(fēng)險管理”和“惡意代碼防范管理”方面的要求。
        04控制措施分類(lèi)結構
        調整后的控制措施分類(lèi)結構如下：
        技術(shù)要求“從面到點(diǎn)”提出安全要求，“安全物理環(huán)境”主要對機房設施提出要求，“安全通信網(wǎng)絡(luò )”和“安全區域邊界”主要對網(wǎng)絡(luò )整體提出要求，“安全計算環(huán)境”主要對構成節點(diǎn)（包括業(yè)務(wù)應用和數據）提出要求，“安全管理中心”主要對系統管理、集中管控等提出要求。
        管理要求“從元素到活動(dòng)”提出安全要求，“安全管理制度”、“安全管理機構”和“安全管理人員”主要提出了管理不可缺少的制度、機構和人員三要素，“安全建設管理”及“安全運維管理”主要提出了建設過(guò)程和運維過(guò)程的安全活動(dòng)管理要求。
        安全通信網(wǎng)絡(luò )+安全區域邊界+安全管理中心的第四級在第三級的基礎上增加了7個(gè)條款：
        1)應按照業(yè)務(wù)服務(wù)的重要程度分配帶寬，優(yōu)先保障重要業(yè)務(wù)；
        2)應在通信前基于密碼技術(shù)對通信的雙方進(jìn)行驗證或認證；
        3)應基于硬件密碼模塊對重要通信過(guò)程進(jìn)行密碼運算和密鑰管理；
        4)應能夠在發(fā)現非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為或內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為時(shí)，對其進(jìn)行有效阻斷；
        5)應采用可信驗證機制對接入到網(wǎng)絡(luò )中的設備進(jìn)行可信驗證，保證接入的網(wǎng)絡(luò )設備真實(shí)可信；
        6)應在網(wǎng)絡(luò )邊界通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據交換；
        7)應保證系統范圍內的時(shí)間由唯一確定的時(shí)鐘產(chǎn)生，以保證各種數據的管理和分析在時(shí)間上的一致性。
        安全計算環(huán)境的第四級在第三級的基礎上增加了5個(gè)條款：
        1)登錄用戶(hù)執行重要操作時(shí)應再次進(jìn)行身份鑒別；
        2)應對主體、客體設置安全標記，并依據安全標記和強制訪(fǎng)問(wèn)控制規則確定主體對客體的訪(fǎng)問(wèn)；
        3)應采用主動(dòng)免疫可信驗證機制及時(shí)識別入侵和病毒行為，并將其有效阻斷；
        4)在可能涉及法律責任認定的應用中，應采用密碼技術(shù)提供數據原發(fā)證據和數據接收證據，實(shí)現數據原發(fā)行為的抗抵賴(lài)和數據接收行為的抗抵賴(lài)；
        5)應建立異地災難備份中心，提供業(yè)務(wù)應用的實(shí)時(shí)切換。
        惡意代碼防范，從一級到四級主要做了如下要求：
        第一級：應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進(jìn)行升級和更新防惡意代碼庫。
        第二級：應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進(jìn)行升級和更新防惡意代碼庫。
        第三級：應采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗證機制及時(shí)識別入侵和病毒行為，并將其有效阻斷。
        第四級：應采用主動(dòng)免疫可信驗證機制及時(shí)識別入侵和病毒行為，并將其有效阻斷。
        從標準控制措施整體看，對可信控制點(diǎn)有所增加，各個(gè)級別和層面均增加了可信驗證控制點(diǎn)，從第一級到第四級均在“安全通信網(wǎng)絡(luò )”、“安全區域邊界”和“安全計算環(huán)境”中增加了“可信驗證”控制點(diǎn)，并且從第二級開(kāi)始，增加了安全管理中心技術(shù)要求。
        最后，等級保護測評方面，對等級保護符合性評價(jià)方法較之前有了很大不同，新的測評要求增加了“重點(diǎn)測評項”和“常規測評項”（由于當天培訓內容較多，已經(jīng)記不清專(zhuān)家老師怎么描述的了，我在這里暫且將此劃分稱(chēng)為“重點(diǎn)測評項”和“常規測評項” ）的劃分，“重點(diǎn)測評項”實(shí)行“一票否決制”。也就是說(shuō)，測評要求中列出的對應級別的“重點(diǎn)測評項”中任意一項不符合，整體將判定為不符合，無(wú)需再進(jìn)行“常規測評項”的測評，“重點(diǎn)測評項”優(yōu)先通過(guò)測評后，才進(jìn)行“常規測評項”的測評。目前公安部正研究并整理各保護級別的“重點(diǎn)測評項”列表。
        05結束語(yǔ)
        網(wǎng)絡(luò )安全等級保護是我國信息安全保障的基本制度性工作，是網(wǎng)絡(luò )空間安全保障體系的重要支撐，也是應對強敵APT攻擊的有效措施。在法律支撐層面，我國的計算機系統等級保護條例提升為國家基礎性法律制度，即“網(wǎng)絡(luò )安全法”中的網(wǎng)絡(luò )安全等級保護制度；在科學(xué)技術(shù)層面，由分層被動(dòng)防護發(fā)展到了科學(xué)安全框架下的主動(dòng)免疫防護；在工程應用層面，由傳統的計算機信息系統防護轉向了新型計算環(huán)境下的網(wǎng)絡(luò )空間主動(dòng)防御體系建設。等保2時(shí)代重點(diǎn)對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數據安全等進(jìn)行全面安全防護，確保關(guān)鍵信息基礎設施安全。