01前言

2018年12月25日，由中關村可信計算産業聯盟主辦的等級保護新标準解讀培訓班在北京裕龍國際酒店舉行。沈昌祥院士做了《用可信計算築牢網絡安全防線》的主題演講，公安部範春玲、李秋香和陳廣勇三位專家老師對最新的網絡安全等級保護制度進行了細緻的解讀，新華三作為可信計算聯盟的理事成員單位，有幸受邀參加了此次培訓。同時作為等級保護2.0的參編單位，為了更好的學習貫徹和落實國家網絡安全等級保護制度，新華三再次對會上專家的培訓内容做個總結。

02等級保護标準變化

等級保護新标準在編制過程中總共經曆了兩次大的變化，第一次是2017年8月根據網信辦和公安部的意見将5個分冊進行了合并，形成一個标準，并在2017年10月參加信安标委WG5工作組在研标準推進會，介紹合并後的标準送審稿，征求127家成員單位意見，修訂完成報批稿；第二次大的變化是2018年7月根據沈昌祥院士的意見再次調整分類結構和強化可信計算，充分體現一個中心、三重防禦的思想并強化可信計算安全技術要求的使用。

安全通用要求規定了不管等級保護對象形态如何必須滿足的要求。

雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的内容包括“基礎設施的位置”、“虛拟化安全保護”、“鏡像和快照保護”、“雲服務商選擇”和“雲計算環境管理”等方面。這裡需要注意雲計算環境的定級，對于雲租戶的定級仍按照傳統的定級思路，而對于雲計算平台的定級則分兩種情況，一種是中小型雲計算平台，可将整個雲計算平台作為整體定級對象；另一種是針對大型雲計算平台，應将雲計算基礎設施和有關輔助服務系統劃分為不同的定級對象（比如大型雲計算平台的計費系統可單獨作為一個定級對象）。

移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的内容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。

物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的内容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。

工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的内容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥号使用控制”、“無線使用控制”和“控制設備安全”等方面，針對工業控制系統實時性要求高的特點調整了“漏洞和風險管理”和“惡意代碼防範管理”方面的要求。

04控制措施分類結構

調整後的控制措施分類結構如下：

技術要求“從面到點”提出安全要求，“安全物理環境”主要對機房設施提出要求，“安全通信網絡”和“安全區域邊界”主要對網絡整體提出要求，“安全計算環境”主要對構成節點（包括業務應用和數據）提出要求，“安全管理中心”主要對系統管理、集中管控等提出要求。

管理要求“從元素到活動”提出安全要求，“安全管理制度”、“安全管理機構”和“安全管理人員”主要提出了管理不可缺少的制度、機構和人員三要素，“安全建設管理”及“安全運維管理”主要提出了建設過程和運維過程的安全活動管理要求。

安全通信網絡 安全區域邊界 安全管理中心的第四級在第三級的基礎上增加了7個條款：

1)應按照業務服務的重要程度分配帶寬，優先保障重要業務；

2)應在通信前基于密碼技術對通信的雙方進行驗證或認證；

3)應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理；

4)應能夠在發現非授權設備私自聯到内部網絡的行為或内部用戶非授權聯到外部網絡的行為時，對其進行有效阻斷；

5)應采用可信驗證機制對接入到網絡中的設備進行可信驗證，保證接入的網絡設備真實可信；

6)應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換；

7)應保證系統範圍内的時間由唯一确定的時鐘産生，以保證各種數據的管理和分析在時間上的一緻性。

安全計算環境的第四級在第三級的基礎上增加了5個條款：

1)登錄用戶執行重要操作時應再次進行身份鑒别；

2)應對主體、客體設置安全标記，并依據安全标記和強制訪問控制規則确定主體對客體的訪問；

3)應采用主動免疫可信驗證機制及時識别入侵和病毒行為，并将其有效阻斷；

4)在可能涉及法律責任認定的應用中，應采用密碼技術提供數據原發證據和數據接收證據，實現數據原發行為的抗抵賴和數據接收行為的抗抵賴；

5)應建立異地災難備份中心，提供業務應用的實時切換。

惡意代碼防範，從一級到四級主要做了如下要求：

第一級：應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。

第二級：應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。

第三級：應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識别入侵和病毒行為，并将其有效阻斷。

第四級：應采用主動免疫可信驗證機制及時識别入侵和病毒行為，并将其有效阻斷。

從标準控制措施整體看，對可信控制點有所增加，各個級别和層面均增加了可信驗證控制點，從第一級到第四級均在“安全通信網絡”、“安全區域邊界”和“安全計算環境”中增加了“可信驗證”控制點，并且從第二級開始，增加了安全管理中心技術要求。

最後，等級保護測評方面，對等級保護符合性評價方法較之前有了很大不同，新的測評要求增加了“重點測評項”和“常規測評項”（由于當天培訓内容較多，已經記不清專家老師怎麼描述的了，我在這裡暫且将此劃分稱為“重點測評項”和“常規測評項” ）的劃分，“重點測評項”實行“一票否決制”。也就是說，測評要求中列出的對應級别的“重點測評項”中任意一項不符合，整體将判定為不符合，無需再進行“常規測評項”的測評，“重點測評項”優先通過測評後，才進行“常規測評項”的測評。目前公安部正研究并整理各保護級别的“重點測評項”列表。

05結束語

網絡安全等級保護是我國信息安全保障的基本制度性工作，是網絡空間安全保障體系的重要支撐，也是應對強敵APT攻擊的有效措施。在法律支撐層面，我國的計算機系統等級保護條例提升為國家基礎性法律制度，即“網絡安全法”中的網絡安全等級保護制度；在科學技術層面，由分層被動防護發展到了科學安全框架下的主動免疫防護；在工程應用層面，由傳統的計算機信息系統防護轉向了新型計算環境下的網絡空間主動防禦體系建設。等保2.0時代重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護，确保關鍵信息基礎設施安全。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!