信创领域下的等保合规及解读新标准对标信创介绍新标准体系的总体变化新标准中主要条款的解读213目录新标准体系的总体1等级保护2.0标准名称变化：GB/T22239-2008信息安全技术信息系统安全等级保护基本要求改为过渡期：信息安全过渡期：信息安全 上升到了网络空间安全的层面GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术网络安全等级保护测评要求与中华人民共和国网络安全法中的第二十一条保持一致，网络安全等级保护上升为法律，正制定网络安全等级保护条例(征求意见稿)整体变化-名称变化安全通用要求+安全扩展要求 安全通用要求不管等级保护对象的形态如何必须满足的要求。安全扩展要求针对云计算、移动互联、物联网和工业 控制系统提出了特殊安全要求。安全通用要求网络安全等级保护基本要求网络安全等级保护安全设计技术要求网络安全等级保护测评要求整体变化-安全要求变化涉及标准：信息安全技术 信息安全技术 信息安全技术安全通用要求物联网安全扩展要求云计算安全扩展要求新标准某级安全要求工业控制系统安全扩展要求移动互联安全扩展要求新版标准旧版标准安全技术要求体系结构安全管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理整体变化-控制措施分类变化与GB/T 25070网络安全等级保护安全设计技术要求的体系结构保持一致.整体变化-整体架构基本要求1.0（三级通用要求）基本要求2.0（三级通用要求）序号安全控制类安全控制点安全要求项序号安全控制类安全控制点安全要求项1物理安全10321安全物理环境10222网络安全7332安全通信网络383主机安全8323安全区域边界6204应用安全8314安全计算环境11345数据安全385安全管理中心4126安全管理制度3116安全管理制度477安全管理机构5207安全管理机构5148人员安全管理5168安全管理人员4129系统建设管理11459安全建设管理103410系统运维管理136210安全运维管理1448合计73290合计71211整体变化-保护要求精简新标准中主要条款的解读2符合GB50174电子信息系统机房设计规范的要求通信安全设计可信验证基于可信根对通信设备的可信验证通信传输核心应用与外部安全隔离核心链路双冗余通信传输加密恶意代码和垃圾邮件防范安全审计边界安全设计入侵防范访问控制可信验证垃圾邮件防范基于可信根对边界设基于可信根对边界设 备的可信验证备的可信验证边界访问控制边界防护入侵防范安全审计运维审计恶意代码防范可信验证身份鉴别访问控制安全审计计算环境安全设计基于可信根对计算设备的可信验证身份鉴别、访问控制入侵防范安全审计恶意代码防护入侵防范安全审计数据定期备份（本地、异地）剩余信息保护个人信息保护计算环境安全设计应用系统实现个人信息采集保护机制数据防泄密系统（DLP）应用系统采用密码技术安全管理中心设计集中管控集中管控系统运维管理、系统运维管理、三员分离三员分离集中管控集中管控3.制定和发布：专门发布部门或人员，正式发布，版本控制。4.评审和修订：定期评审和修订。1.安全策略：制定总体方针与安全策略，包括总体目标、范围、原则与框架等。2.管理制度：日常工作有安全管理制度；为主要（各类）管理内容建立安全制度，日常管理有操作规程；形成安全管理体系(四级体系：安全策略、管理制度、操作规程、记录表单等)。安全管理制度1.岗位设置：成立安全管理委员会或领导小组，最高领导由单位主管领导担任或授权；定义安全部门与安全主管等的职责；设立三员，定义部门及岗位职责。2.人员配备：一定数量的三员配置；专职安全管理员，不可兼任；关键岗位多人共同管理。3.授权和审批：明确审批事项与流程；重要事项包括系统变更、重要操作、物理访问、系统接入等，重要活动建立逐级审批制度；定期审查审批事项，更新审批相关信息。4.沟通和合作：内部沟通会，外部沟通通信录(网络安全职能部门、供应商、专家、组织等)。5.审核和检查：定期常规检查(日常运行、系统漏洞、数据备份等)；定期全面检查，如策略与配置的一致，安全措施的有效性等，制定检查表格，形成检查报告，结果进行通报。安全管理机构1.人员录用：专人负责录用；人员背景审查；技能考核，人员签保密协议，关键岗位签岗位责任协议；关键岗位人员内部选拔。2.人员离岗：及时终止权限，收回设备；承诺调离保密义务。3.安全意识教育和培训：对各类人员进行安全意识教育和岗位技能培训，告知安全责任与惩戒措施；不同岗位制定不同培训计划；定期对不同岗位人员进行技能考核。4.外部人员访问管理：访问受控区域书面申请，需授权或审批，专人全程陪同，登记备案；访问受控网络书面申请，专人开设账户，分配权限，登记备案；离场后及时清除来访者权限；与外部授权人员签保密协议，不得复制和泄露敏感信息；关键区域与关键应用不允许外部人员访问。安全管理人员整体变化-安全建设管理安全运维管理安全要求项第一级第二级第三级第四级增加内容说明云计算安全扩展要求11294649主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。移动互联安全扩展要求5141921主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。物联网安全扩展要求472021主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。工业控制系统安全扩展要求9152111主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。基本要求扩展要求的增加基础设施位置网络架构访问控制入侵防范安全审计集中管控身份鉴别访问控制入侵防范镜像和快照保护数据完整性和保密性数据备份恢复剩余信息保护安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心云计算环境管理云服务商选择供应链管理云计算安全扩展要求 管理体系安全运维管理安全建设管理云计算安全扩展要求边界防护访问控制入侵防范移动终端管控移动应用管控无线接入点的物理位置配置管理移动应用软件采购移动应用软件开发移动互联安全扩展要求 管理体系移动互联安全扩展要求安全计算环境安全运维管理安全建设管理安全物理环境安全区域边界网络架构通信传输访问控制拨号使用控制无线使用控制室外控制设备物理防护产品采购和使用外包软件开发控制设备安全 技术体系管理体系工控系统安全扩展要求安全通信网络安全区域边界安全物理环境安全计算环境安全建设管理感知节点设备物理防护接入控制入侵防范感知节点设备安全网关节点设备安全抗数据重放数据融合处理感知节点管理安全物理环境安全区域边界管理体系物联网安全扩展要求技术体系 安全计算环境物联网安全扩展要求安全运维管理新标准对标信创介绍3产品家族控制类控制类控制点控制点安全要求项安全要求项对应奇安信产品对应奇安信产品/服务服务安全通信网络安全通信网络网络架构b)应保证网络各个部分的带宽满足业务高峰期需要；智能流量管理系统c)应划分不同的网络区域，并按照方便管理和控制 的原则为各网络区域分配地址；智慧防火墙d)应避免将重要网络区域部署在边界处，重要网络 区域与其他网络区域之间应采取可靠的技术隔离手段；智慧防火墙、网闸通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性；安全接入网关（SSL VPN）SD-WANb)应采用密码技术保证通信过程中数据的保密性。安全接入网关（SSL VPN）SD-WAN安全通用设计-安全通信网络控制类控制类控制点控制点安全要求项安全要求项对应奇安信产品对应奇安信产品/服务服务安全区域边界安全区域边界边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。智慧防火墙安全隔离与信息交换系统、WAF、入侵防御终端安全管理系统/终端准入NAC天巡无线入侵防御系统b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下 除允许通信外受控接口拒绝所有通信；智慧防火墙安全隔离与信息交换系统、WAF、天巡无线入侵防御系统、数据交换平台、安全隔离视频交换系统、光单向安全隔离数据自动导入系统、服务调用平台、业务安全网关(SSG)b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规 则数量最小化；c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝 数据包进出；d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；入侵防御系统、天眼新一代威胁感知系统、网络安全审计、抗拒绝服务系统、安域网站安全云防护系统、安全运维与运营服务用户行为分析系统b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击 行为的分析；d)检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发 生严重入侵事件时应提供报警。安全通用设计-安全区域边界控制类控制类控制点控制点安全要求项安全要求项对应奇安信产品对应奇安信产品/服务服务安全区域边界安全区域边界恶意代码和垃圾邮件防范a)应在关键网络节点处对恶意代码进行 检测和清除，并维护恶意代码防护机制的升级和更新；防火墙+防病毒模块b)应在关键网络节点处对垃圾邮件进行 检测和防护，并维护垃圾邮件防护机制的升级和更新。邮件威胁感知系统安全审计a)应在网络边界、重要网络节点进行安 全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；网络安全审计、天擎终端安全管理系统、主机监控与审计、数据库审计系统、日志审计系统、用户行为分析系统上网行为管理系统b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。d)应能对远程访问的用户行为、访问互 联网的用户行为等单独进行行为审计和数据分析。安全通用设计-安全区域边界控制类控制类安全计算环境安全计算环境控制点控制点身份鉴别安全要求项安全要求项a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；对应奇安信产品对应奇安信产品/服务服务智能可信身份平台、身份令牌服务平台、运维安全管理与审计系统、主机监控与审计系统、服务 器安全管理系统、移动终端安全管理系统、可信 访问控制台系统、可信应用代理系统、可信API代理系统、应用访问网关、智能可信身份平台、运维安全管理与审计系统、虚拟化安全、数据库防 火墙、数据库审计、数据库漏扫、业务安全网关b)应具有登录失败处理功能，应配置并启用结束会话、限制非法 登录次数和当登录连接超时自动退出等相关措施；c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输 过程中被窃听。d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码 技术来实现。c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；安全审计a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行 为和重要安全事件进行审计；