下载文档原格式
等保2.0基本要求标题:等保2.0基本要求及其重要性随着信息化的快速发展,网络安全已经成为国家和社会关注的重要问题。
在此背景下,中国制定了等保2.0基本要求,以期提高我国的信息安全防护水平。
本文将详细介绍等保2.0的基本要求,并阐述其重要性。
一、等保2.0基本要求概述等保2.0是《信息安全等级保护基本要求》的简称,是我国在信息安全管理领域的一项重要政策。
等保2.0于2019年正式发布并实施,是对原有等保1.0的一次全面升级和改革。
等保2.0从原来的五个级别扩展到三个级别,即基础级、增强级和高级,每个级别都有相应的技术要求和管理要求。
二、等保2.0基本要求的具体内容1. 技术要求:主要包括物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面。
这些技术要求旨在保证信息系统的稳定运行和数据的安全存储。
2. 管理要求:主要包括安全策略和制度、人员安全管理、资产管理、安全运维管理和应急响应等方面。
这些管理要求旨在规范信息系统的日常管理和维护,防止人为因素导致的信息安全事件。
三、等保2.0的重要性等保2.0的实施对于提升我国的信息安全防护能力具有重要意义。
首先,等保2.0能够指导各组织机构进行信息系统建设,确保信息系统的安全性、稳定性。
其次,等保2.0能够提高公众对信息安全的认识,推动全社会形成良好的信息安全氛围。
最后,等保2.0也体现了我国对国际信息安全标准的接轨,有助于提升我国在国际信息安全领域的影响力。
四、结论综上所述,等保2.0基本要求是我国信息安全工作的重要指南。
只有严格按照等保2.0的要求进行信息系统建设和维护,才能有效保障我国的信息安全。
因此,我们需要进一步加强等保2.0的宣传和培训,让更多的人了解和掌握等保2.0的基本要求,共同构建一个安全、可靠的信息环境。
以上只是对等保2.0基本要求的简单介绍,实际上,等保2.0的内容非常丰富,涵盖了信息安全的各个方面。
希望这篇文章能帮助大家对等保2.0有一个初步的了解,如果想要深入了解等保2.0,还需要阅读相关的法规和标准,以及参加专业的培训。
等保2.0整改方案等保2.0整改方案是指在信息安全等级保护2.0标准下,针对企业或组织的信息系统进行安全风险评估、安全防护措施制定和实施的过程。
以下是一些建议的整改方案:1. 建立完善的信息安全管理体系:包括制定信息安全政策、流程和规范,明确各部门和员工的职责,确保信息安全工作的顺利进行。
2. 进行安全风险评估:根据等保2.0的要求,对企业的信息系统进行全面的安全风险评估,识别潜在的安全威胁和漏洞,为制定整改措施提供依据。
3. 制定安全防护措施:根据安全风险评估的结果,制定相应的安全防护措施,包括技术防护和管理防护。
技术防护主要包括加密、访问控制、入侵检测等;管理防护主要包括安全培训、安全审计、应急响应等。
4. 加强网络安全防护:部署防火墙、入侵检测系统、安全管理系统等设备,加强对外部攻击的防范;同时,对内部网络进行划分,实现网络隔离,降低内部安全风险。
5. 数据安全保护:对敏感数据进行加密存储和传输,防止数据泄露;定期进行数据备份,确保数据的完整性和可用性。
6. 应用系统安全:对关键应用系统进行安全加固,修复已知的安全漏洞;定期进行安全检查和漏洞扫描,确保应用系统的安全性。
7. 加强终端安全管理:对企业内部的计算机、移动设备等终端进行安全管理,包括安装杀毒软件、设置访问控制策略等。
8. 提高员工的安全意识:定期进行安全培训,提高员工对信息安全的认识和重视程度;建立安全奖惩制度,激励员工积极参与信息安全工作。
9. 建立应急响应机制:制定应急预案,明确应急响应流程和责任人;定期进行应急演练,提高应对突发事件的能力。
10. 持续改进:定期对信息安全管理体系进行审查和改进,确保其有效性和适用性。
通过以上整改方案的实施,企业或组织可以有效提高信息系统的安全性,满足等保2.0的要求。
等保2.0安全架构介绍+建设要点
一、概述
基于“动态安全”体系架构设计,构筑“网络+安全”稳固防线“等级保护2.0解决方案”,基于“动态安全”架构,将网络与安全进行融合,以合规为基础,面对用户合规和实际遇到的安全挑战,将场景化安全理念融入其中,为用户提供“一站式”的安全进化。
国家网络安全等级保护工作进入2.0时代
国家《网络安全法》于2017年6月1日正式施行,所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。
随着2019年5月13日《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》标准的正式发布,国家网络安全等级保护工作正式进入2.0时代。
二、等级保护2.0关键变化
“信息安全”→“网络安全”
引入移动互联、工控、物联网等新领域
等保2.0充分体现了“一个中心三重防御“的思想。
一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。
被动防御→主动防御
等级保护2.0解决方案拓扑结构设计
1、安全管理中心
•大数据安全
(流量+日志)
•IT运维管理
•堡垒机
•漏洞扫描
•WMS
•等保建设咨询服务建设要点
对安全进行统一管理与把控集中分析与审计
定期识别漏洞与隐患
2、安全通信网络
•下一代防火墙•VPN
•路由器
•交换机
建设要点
构建安全的网络通信架构保障信息传输安全
3、安全区域边界。
等保2.0下工业控制系统安全防护★安成飞 杭州安恒信息技术股份有限公司1 引言在“两化”融合的行业发展需求下,现代工业控制系统的技术进步主要表现在两大方面:信息化与工业化的深度融合,为了提高生产高效运行、生产管理效率,国内众多行业大力推进工业控制系统自身的集成化,集中化管理。
系统的互联互通性逐步加强,工控网络与办公网、互联网也存在千丝万缕的联系。
德国的工业4.0标准、美国的“工业互联网”以及“先进制造业国家战略计划”、日本的“科技工业联盟”、英国的“工业2050战略”、中国“互联网+” “中国制造2025”等相继出台,对工业控制系统的通用性与开放性提出了更高的要求。
未来工业控制系统将会有一个长足发展,工业趋向于自动化、智能化,系统之间的互联互通也更加紧密,面临的安全威胁也摘要:本文通过介绍《GBT22239-2019信息安全技术网络安全等级保护基本要求》(简称等保2.0)中工业控制系统安全的要求,提出了基于等保2.0要求的工业控制系统安全防护方案。
关键词:工业控制系统;工业控制系统安全;等级保护Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.Key words: Industrial control system; Security of industrial control system; Classified protection of cybersecuritySecurity Protection of Industrial Control System under Classified Protection of Cybersecurity 2.0会越来越多。
等保2.0标准的安全扩展要求
等保2.0标准的安全扩展要求包括移动互联安全扩展要求、物联网安
全扩展要求和工业控制系统安全扩展要求。
1. 移动互联安全扩展要求:针对移动终端、移动应用和无线网络提出
的安全要求,与安全通用要求一起构成针对采用移动互联技术的等级
保护对象的完整安全要求。
主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和
“移动应用软件开发”等。
2. 物联网安全扩展要求:针对感知层提出的特殊安全要求,与安全通
用要求一起构成针对物联网的完整安全要求。
主要内容包括“感知节
点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
3. 工业控制系统安全扩展要求:主要是针对现场控制层和现场设备层
提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系
统的完整安全要求。
等级保护新标准(2.0)介绍1 2等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析等保1.0时代等保2.0工作展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进•1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。
•2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
•2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
•2007年6月,四部门联合出台《信息安全等级保护管理办法》。
•2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。
•2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
•2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
•2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
等保1.0时代等保2.0工作展望•2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
•2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”•以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
等级保护2.0的技术要求等级保护2.0的技术要求包括以下方面:1 .结构安全:要求企业或集成商进行网络基础建设时,必须要对通信线路、关键网络设备和关键计算设备进行冗余配置。
例如,关键网络设备应采用主备或负载均衡的部署方式。
2 .安全通信网络:这是原等级保护LO中的“网络安全”在等级保护2.0中的新表述。
它要求保障信息传输的完整性、保密性和可用性,防止未经授权的访问和数据泄露。
3 .安全区域边界:要求设立安全区域边界,并保护其完整性。
这是通过部署防火墙、入侵检测系统等安全设备来实现的。
4 .安全计算环境:这是对计算机系统安全的基本要求,包括防病毒、防黑客攻击、防木马等措施,以及控制对系统的访问权限。
5 .安全管理中心:这是等级保护2.0的新增要求,它强调了对安全管理的集中性和自动化。
安全管理中心应能够进行统一的身份管理、访问控制和安全审计,以提高安全管理效率。
6 .安全运维:等级保护2.0还强调了安全运维的重要性,要求企业或集成商采取有效的措施,确保安全运维的规范化和自动化。
这包括定期进行安全审计、漏洞扫描、安全配置等,以确保系统的安全性。
7 .数据安全:数据是企业的核心资产之一,因此等级保护2.0要求企业或集成商采取严格的数据保护措施,确保数据的完整性、可用性和保密性。
这包括对数据进行加密、备份、恢复等操作,以防止数据泄露或损坏。
8.物理安全:虽然物理安全不属于技术要求,但等级保护2.O仍然强调了物理安全的重要性。
这包括对关键设施进行物理保护、对进出关键区域进行监控和管理等,以确保系统的安全性。
在等级保护2.O中,技术要求被统一在安全管理中心支持下的三重防护结构框架内,这体现了等级保护的基本要求、测评要求和安全设计技术要求的框架统一。
此外,通用安全要求与新型应用安全扩展要求也被整合在一起,例如将云计算、移动互联、物联网、工业控制系统等新型应用列入标准规范,并将可信验证列入各级别和各环节的主要功能要求。
等保2.0时代下工控安全技术革新摘要:等保2.0版本的更迭意味着等级保护制度已进入全新的时代,原有的制度已无法满足当下工控环境安全的要求,政策依据工控环境安全需求而制定,而工控环境的安全亦需将制度切实落地,两者相互依赖,新的政策带来新的挑战。
对工控安全提出了更高的标准和指导方向,文章将详细分析等保2.0的变革之处,并结合实际工控环境进行分析,关键词:等保2.0,工控扩展要求,变革,工控环境目录1. 引言 (3)2. 等保概念由来 (3)3. 等保2.0 分析 (4)3.1. 等保2.0与1.0对比 (7)3.2. 等保2.0工控要求 (7)3.3. 等保2.0工控扩展重点 (8)3.4. 等保2.0下工控安全技术趋势 (9)4. 工控现场安全分析 (10)5. 结论 (11)1.引言新发布的等保2.0 在原有标准基础上进行了细化、分类和加强,使之更加契合如今的工控环境与技术,如何应对等保2.0 时代,把控工控技术的发展方向,如何将现场环境与政策完美结合,形成更加完善、健全、有效的工控安全体系,以应对未知威胁,是每一个工控行业企业都应思考的问题。
2.等保概念由来20世纪60年代,美军文件保密制度提出了等级保护概念,1985年发布的« 可信计算机系统评估准则»,TCSEC是第一个相对成熟且影响深远的准则。
1991年,« 信息技术安全评估准则» ( ITSEC) 出台并应用于欧共体,1993年加拿大公布« 可信计算机产品评估准则» ( CTCPEC) 3. 0版本,CTCPEC将安全分为功能性要求和保证性要求两部分,功能性要求分为机密性、完整性、可用性、可控性等四个大类。
1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体,形成通用评估准则( Common Criteria) ,CC 2.1 版本于1999 年出台,在CC中定义了评估信息技术产品和系统安全性所需要的基础准则,是度量信息技术安全性的基准。
我国的等级保护工作其发展主要经历了四个阶段。
国务院于1994年颁布« 中华人民共和国计算机信息系统安全保护条例» ,2003年,中央办公厅、国务院办公厅颁发« 国家信息化领导小组关于加强信息安全保障工作的意见» ( 中办发[2003] 27号) 明确指出“ 实行信息安全等级保护” ,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度,2004年至2006年期间,公安部联合四部委开展了涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作。
2007年6月,四部门联合出台了« 信息安全等级保护管理办法» ,7月四部门联合颁布了« 关于开展全国重要信息系统安全等级保护定级工作的通知»,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度正式开始实施。
2010年4月,公安部出台了« 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知» ,提出等级保护工作的阶段性目标,2010年12月,公安部和国务院国有资产监督管理委员会联合出台了« 关于进一步推进中央企业信息安全等级保护工作的通知» ,要求中央企业贯彻执行等级保护工作,至此我国信息安全等级保护工作全面展开,等保工作进入规模化推进阶段。
3.等保2.0 分析在等保2.0 中,对各个级别系统应达到的安全水平给出了更加精细化的标准,如何达到、贯彻这个标准,是每一个企业应该思考的问题,而通过使用网络安全产品及工控专用安全产品则是目前最低成本也是最高效的途径。
安全产品可以通过技术手段节约大量的人力以及时间成本,同时具备人力所不能达到的精细化颗粒级别等优势,工控安全产品的进步、专精,加上与管理的并重,组成了全新的等保2.0 时代,在等保2.0 中,除去对内容的整合修改外,也对标准名称进行了修改,由« 信息安全技术术信息系统安全等级保护基本要求» 改为« 信息安全技术网络安全等级保护基本要求» ,这样的修改是为了与« 中华人民共和国网络安全法» 中的相关法律条文保持一致,与法律相呼应,3.1.等保2.0与1.0对比等保2.0 相比于1.0更加契合了如今安全形势,针对全新技术( 如云计算、大数据) ,以及国家重点领域安全( 如工业控制系统) 等提出了更全面,深入,细化的要求准则,本文以大部分工控系统所在的第三级为例,列举等保2.0与1.0差异。
3.2.等保2.0工控要求区别于等保1. 0的是,等保2.0 中专门提出了包括工控安全扩展要求在内的四大扩展要求,其中包括:室外控制设备放置应远离强电磁干扰、热源和应远离极端天气环境等,如无法避免,在遇到极端天气时应及时做好应急处置及检修确保设备正常运行。
工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段。
工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。
涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离,在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输,工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务,应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警,工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量ꎻ并采取用户身份鉴别和访问控制等措施,拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施,对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统行为,控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等设备和计算方面的安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制,应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作,应关闭或拆除控制设备的软盘驱动、光盘驱动、接口、串行口等,确需保留的必须通过相关的技术措施实施严格的监控管理,应保证控制设备在上线前经过安全性检测,确保控制设备固件中不存在恶意代码程序。
3.3.等保2.0工控扩展重点面对日益猖獗的安全威胁,以及更加具有针对性的攻击手段,传统信息安全产品已经力有不逮,工控系统不同于其他组织系统,遭遇破坏的后果更加严重且具有典型工控特色,在此此基础上,等保2.0 文件中提出了工业控制系统安全扩展要求,其中包括要求室外控制设备物物理防护,组网时要求在物理层面实现其他数据网与外部公共信息网的安全隔离,对上机人员进行更加严格的访问控制以及操作系统加固,数字证书认证,其中一个重点在于控制设备安全,等保2.0 工控扩展要求中明确提出,控制设备自身实现相应级别要求所提出的身份鉴别、访问控制以及安全审计,若受条件限制无法实现,应由其上位控制或管理设备实现同等功能或通过管理手段控制,且关闭,拆除控制设备的软盘驱动,光盘驱动,USB接口,串行口等,确需保留则必须通过相关技术措施实施严格的监控管理,从等保2.0 中可以发现,相比于等保 1.0,它更加注重了监控,以及明确提出了工业控制设备的层层细化标准,这符合信息安全中的P2DR模型( 如图1所示) ,也就是Pt( 防护时间) 与检测时间( Dt) 、响应时间( Rt) 的关系[3] ,即:Pt > Dt+Rt(1)该模型给出了定义,及时的检测和响应就是安全,这在工业控制系统中更为适用,因为工业控制系统安全对实时性要求极高,稍有延误便有可能造成严重后果,同时要求重点提高防护时间,这需要更加具有针对性,且更加高效的技术革新,3.4.等保2.0下工控安全技术趋势经过分析,可以发现等保2.0 已经给出了一个未来安全技术发展的趋势,即针对工控系统特性,可用性大于机密性、完整性ꎻ且要求工控安全产品区别于普通安全产品,需贴切工控现场环境,如满足温度,湿度等工业标准,无风扇设计等ꎻ且性能应更加稳定,延长有效防护时间,满足实时性与准确性双向需求,其中尤其强调了对于工控系统安全的针对性,因为工业控制系统基于工业控制协议( 例如,OPC、Modb-us、DNP3、S7) ,而IT信息系统基于IT通信协议( 例如,(HTTP、FTP、SMTP、TELNET) ,虽然,现在主流工业控制系统已经广广泛采用工业以太技术,基于IP / TCP / UDP通信,但是应用层协议是不同的,这就就要求信息安全产品必须支持工业控制协议( 例如,OPC、Modbus、DNP3、SS7) ,否则就会出现如为了支持OPCClassic服务而放开大量TCP端口的问题,4.工控现场安全分析以发电企业电力监控安全为例,引申等保2.0 政策,并结合现场情况进行案例分析,从2004年,电力行业原电监会颁布的第5号令« 电力工控系统安全防护规定»及34号文« 电力工控系统安全防护总体方案» 至今的发改委14号令和能源局36号文及配套文件,发电企业在业务实际和工作场景中,不断深化安全防护概念及措施,紧跟“ 十六字方针” 原则[4] 做好边界防护,确保边界的安全可靠,主要采用的技术和手段是通过合理规划业务分区,将不同风险等级的业务及控制系统进行“ 安全分区” ꎻ并根据业务设计规划网络架构,实现“ 网络专用” ꎻ生产大区的控制和非控制区之间,通过部署防火墙进行“ 逻辑隔离” ,生产大区和管理大区间,通过部署单向隔离装置进行“ 物理隔离” ꎻ发电企业使用及涉网的网络线路,通过部署采用加密技术的装置,实现“ 纵向认证” ,按照等级保护三级的要求,通过加强物理安全及管理、主机及网络设备安全配置,采用结构安全、身份认证、通讯加密、访问控制等方面进行安全加固及防护,随着信息化技术的发展和“ IT” 与“ OT” 的不断深化融合,如今虚拟化、云平台台/ 计算、大数据、无线接入、移动应用技术的大面积采用及推广,在等保1. 0时代,这些技术尚未足够成熟亦或没有广泛采用,故等保1. 0的相关要求也并为对上述技术和应用进行安全防护的规定和具体要求,技术的变革促使着管理方式和方法的变革,等保2.0 将从云平台的搭建结构,及搭载虚拟机的边界安全防护采用对流量及边界的入侵检测情况分析安全风险ꎻ对无线接入的管理也更注重所属区域划分及同不同业务分区的隔离及数据交换,从资源管控、移动应用开发和安全运维等多维度做出更详细要求,目前广泛应用的技术包括身份鉴别、访问抗抵赖、白名单、隔离网闸、入侵检测、流量及日志分析设计技术,从而确保保物理网整体性安全,实现电力监控的中的工业控制系统安全运行,5.结论等保2.0 意味着工控安全日益受到重视,同时也为工控安全带来了新的标准和挑战,在这样的大环境下,工控技术的革新是必然的,不可逆转的,新时代的工控安全产品应以工控环境为参考标准,参考等保2.0 中物理与环境要求规范,全面适应工控特殊性如温度、湿度等相关要求,且区别于普通信息安全产品,更加注重可用性,国内自主研发、自主可控必将是大势所趋,参考文献[1] 张伟丽. 信息安全等保护现状浅析[ J] . 信息安全与技术,2014(9) :9 ̄13.[2] 信息安全等级保护管理办法(公通字[2007]43号)[Z]. 2007.[3] 动态网络安全体系的代表模型1[ M] . 1995.[4] 国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规施的通知( 国能安全[ 2015 ] 36号) [ Z] . 2015.( 收稿日期:2018 ̄03 ̄20)作者简介:谢云龙(1987- ) ,男,本科,主要研究方向:企业信息化、信息安全,工控安全,吴得清(1991- ) ,男,本科,信息安全工程师,主要研究方向:信息安全,网络安全,姜红勇(1976- ) ,男,研究生,主要研究方向:信息安全,网络安全,。
