圖1：等保2.0網(wǎng)絡安全等級保護解決方案

隨著2019年5月13日，《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB∕T 22239-2019）（以下簡稱等保2.0）正式發(fā)布，我國的網(wǎng)絡安全保護標準體系正式進入到等保2.0階段。“等保2.0”與《中華人民共和國網(wǎng)絡安全法》中的相關法律條文保持一致，是指對網(wǎng)絡和信息系統(tǒng)按照重要性等級分級別保護的一種工作。保護對象包括基礎信息網(wǎng)絡（廣電網(wǎng)、電信網(wǎng)等）、信息系統(tǒng)（采用傳統(tǒng)技術的系統(tǒng)）、云計算平臺、大數(shù)據(jù)平臺、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。

等保2.0標準于2019年12月1日起正式實行，等保2.0標準在1.0時代標準的基礎上，更加注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計，不僅實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎信息網(wǎng)絡的等級保護，還實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)的等級保護對象的全覆蓋。

圖2：目錄

目 錄

1.等保2.0總體介紹

2.等保2.0技術防護方案設計

3.等保2.0安全管理規(guī)劃

4.等保2.0測評流程

5.附錄：網(wǎng)絡安全違法案例

一、等保2.0總體介紹

圖3：網(wǎng)絡安全相關法律

2015年7月1日，《中華人民共和國國家安全法》正式施行，該部法律首次提出“國家建設網(wǎng)絡與信息安全保障體系”，首次明確了國家“網(wǎng)絡空間主權”是國家主權在網(wǎng)絡空間的體現(xiàn)、延伸和反映。

《中華人民共和國國家安全法》第二十五條規(guī)定 國家建設網(wǎng)絡與信息安全保障體系，提升網(wǎng)絡與信息安全保護能力，加強網(wǎng)絡和信息技術的創(chuàng)新研究和開發(fā)應用，實現(xiàn)網(wǎng)絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據(jù)的安全可控；加強網(wǎng)絡管理，防范、制止和依法懲治網(wǎng)絡攻擊、網(wǎng)絡入侵、網(wǎng)絡竊密、散布違法有害信息等網(wǎng)絡違法犯罪行為，維護國家網(wǎng)絡空間主權、安全和發(fā)展利益。

2017年6月1日，《中華人民共和國網(wǎng)絡安全法》正式施行，《中華人民共和國網(wǎng)絡安全法》是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律，是我國網(wǎng)絡空間法治建設的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡風險的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運行的重要保障。

《網(wǎng)絡安全法》第二十一條 規(guī)定國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

《網(wǎng)絡安全法》第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

圖4：網(wǎng)絡安全等保及相關標準

• 《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）

• 《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T25070-2019）

• 《信息安全技術網(wǎng)絡絡安全等級保護測評要求》（GB/T28448-2019）

• 《信息安全技術網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2019)

• 《信息安全技術網(wǎng)絡安全等級保護測試評估技術指南》（GB/T36627-2018）

• 《信息安全技術網(wǎng)絡安全等級保護安全管理中心技術要求》(GB/T36958-2018）

• 《信息安全技術網(wǎng)絡安全等級保護評機構能力要求和評估規(guī)范》（GB/T36959-2018)

圖5：等級保護發(fā)展歷程

圖6：等保2.0相對1.0的關鍵變化

圖7：等保2.0的特點及新變化

圖8：等保2.0基本框架

圖9：等保2.0涉及的行業(yè)

圖10：等保建設的意義

圖11：等保2.0保護對象等級劃分

1. 第一級，等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

2. 第二級，等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；

3. 第三級，等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

4. 第四級，等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害； 

5. 第五級，等級保護對象受到破壞后，會對國家安全造成特別嚴重損害。

圖12：等保2.0實施工作流程

圖14：等保2.0定級流程

圖15：等保2.0總體安全規(guī)劃

圖16：等保2.0技術保護方案規(guī)劃

安全管理中心主要實現(xiàn)安全技術體系的統(tǒng)一管理，包括系統(tǒng)管理、安全管理、審計管理和集中管控。同時，對全網(wǎng)按照權限劃分提供管理接口。主要包括大數(shù)據(jù)安全、IT運維管理、堡壘機、漏洞掃描、網(wǎng)站監(jiān)測預警、等保安全一體機、等保建設咨詢服務等安全設備和安全服務。建設要點包括對安全進行統(tǒng)一管理與把控、集中分析與審計以及定期識別漏洞與隱患。

安全通信網(wǎng)絡主要實現(xiàn)在網(wǎng)絡通信過程中的機密性、完整性防護，重點對定級系統(tǒng)安全計算環(huán)境之間信息傳輸進行安全防護。安全通信網(wǎng)絡包括：網(wǎng)絡架構、通信傳輸、可信驗證。主要包括下一代防火墻、VPN設備、路由器和交換等設備。建設要點主要是構建安全的網(wǎng)絡通信架構，保障信息的傳輸安全。

安全區(qū)域邊界主要實現(xiàn)在互聯(lián)網(wǎng)邊界以及安全計算環(huán)境與安全通信網(wǎng)絡之間的雙向網(wǎng)絡攻擊的檢測、告警和阻斷。安全區(qū)域邊界包括：邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證。主要包括下一代防火墻、入侵檢測/防御、上網(wǎng)行為管理、安全沙箱、動態(tài)防御系統(tǒng)、身份認證管理、流量安全分析、WEB應用防護以及準入控制系統(tǒng)等安全設備。建設要點包括強化安全邊界防護、入侵防護以及優(yōu)化訪問控制策略。

安全計算環(huán)境主要是對單位定級系統(tǒng)的信息進行存儲處理并且實施安全策略保障信息在存儲和處理過程中的安全，安全計算環(huán)境包括：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護。主要安全設備有入侵檢測/防御、數(shù)據(jù)庫審計、動態(tài)防御系統(tǒng)、網(wǎng)頁防篡改、漏洞風險評估、數(shù)據(jù)備份、終端安全。建設要點為強調系統(tǒng)及應用安全、加強身份鑒別機制與入侵防范。

圖17：等保2.0網(wǎng)絡拓撲結構設計

安全區(qū)域邊界安全設計主要從區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計、區(qū)域完整性保護、可信驗證方面進行防護設計。包括部署下一代防火墻、上網(wǎng)行為管理、入侵保護設備，并啟用安全策略、審計策略及認證策略確保邊界訪問的安全性。

安全計算環(huán)境主要實現(xiàn)一個可信、可控、可管的安全的計算環(huán)境。采用數(shù)據(jù)庫審計、入侵檢測、終端安全及數(shù)據(jù)備份系統(tǒng)，確保計算環(huán)境的安全性和可控性。

安全管理中心是為等級保護安全應用環(huán)境提供集中安全管理功能的系統(tǒng)，是安全應用系統(tǒng)安全策略部署和控制的中心。采用堡壘機、漏洞掃描、運維管理系統(tǒng)以、大數(shù)據(jù)安全系統(tǒng)及等保一體機等安全防護設備，實現(xiàn)網(wǎng)絡系統(tǒng)整體的安全管理、策略統(tǒng)一下發(fā)、系統(tǒng)運行統(tǒng)一監(jiān)控以及運維人員身份的統(tǒng)一驗證及行業(yè)審計等。

圖18：等保2.0安全通信網(wǎng)絡設計

圖19：等保2.0安全區(qū)域邊界設計

圖20：等保2.0安全計算環(huán)境設計

• 身份認證鑒別：面向業(yè)務多元身份聚合，一次登陸一網(wǎng)全通；

• 惡意代碼防范：深度融合反病毒+主動防御、未知文件動態(tài)分析；

• 數(shù)據(jù)完整保密：建立安全的數(shù)據(jù)傳輸通道，對傳輸?shù)臄?shù)據(jù)完整性和保密性進行安全保護；

• 數(shù)據(jù)備份恢復：基于持續(xù)數(shù)據(jù)保護技術、備份集技術，滿足不同業(yè)務系統(tǒng)的RTO/RPO目標；

圖21：等保2.0安全管理中心設計

• 系統(tǒng)管理員、審計管理員、安全管理沒權責清晰，三權分立；

• 設置獨立安全管理區(qū)，采集全網(wǎng)安全信息，實施分析預警管理；

• 借力專業(yè)安服人員，提供滲透測試等高技術要求安全服務；

圖22：等保2.0安全物理環(huán)境設計

安全物理環(huán)境包括

• 物理位置選擇:具有防風防雨防震的建筑、盡量避免頂層和地下室

• 物理訪問控制:采用電子門禁系統(tǒng)

• 防盜竊防破壞：采用防盜報警系統(tǒng)和視頻監(jiān)控系統(tǒng)

• 防火：使用防火材料、自動氣體消防系統(tǒng)

• 防水防潮:采用動環(huán)監(jiān)控系統(tǒng)

• 防雷擊：設置防雷保護裝置

• 防靜電：使用靜電地板、靜電消除器

• 溫濕度控制：部署恒溫恒濕精密空調系統(tǒng)

• 電力供應：部署穩(wěn)壓系統(tǒng)和不間斷電源（UPS）系統(tǒng)

• 電磁防護：對關鍵設備使用電磁防護系統(tǒng)

圖23：等保2.0網(wǎng)絡安全設備配置建議

圖24：等保2.0技術防護方案總結

圖25：等保2.0安全管理規(guī)劃

《網(wǎng)絡安全等級保護基本要求》指出，安全管理體系主要從安全管理制度、安全管理機構、安全管理人員、安全建設管理以及安全運維管理進行設計建設。

安全管理制度主要包括：制定安全策略、建立安全管理制度、專人負責制定和發(fā)布管理以及定期評審和修訂管理制度。

安全管理機構主要包括：設立相應領導、管理、審計、運維機構和崗位，配備系統(tǒng)管理、審計管理和安全管理員，明確授權和審批事項和制度，加強內部和外部安全專家溝通協(xié)作，定期審核和檢查安全策略和安全管理制度。

安全管理人員主要包括：考核錄用人員專業(yè)技能，簽署保密協(xié)議，對離崗人員及時回收權限、證照等，加強安全意識和安全技能教育培訓，定期進行安全技術考核。

安全建設管理主要包括：等保定級和備案，安全方案設計，安全產品采購和使用，自主和外包軟件開發(fā)管理，安全保護工程實施管理，安全防護測試驗收，系統(tǒng)驗收交付，定期等保測評，監(jiān)督、評審和審核安全服務提供商等。

安全運維管理主要包括：運行環(huán)境管理，被保護資產管理，信息存儲介質管理，設備維護管理，漏洞和風險管理，網(wǎng)絡和系統(tǒng)安全管理，惡意代碼防范管理，系統(tǒng)、變更配置和密碼管理，備份與恢復管理，安全事件和應急預案管理以及外包運維管理等。

圖26：等保2.0測評流程

測評準備活動包括工作啟動、信息收集和分析、工具和表單的準備三項主要任務。其目標是順利啟動測評項目，收集定級對象相關資料，準備測評所需資料，為編制測評方案打下良好的基礎。

自《網(wǎng)絡安全法》頒布以來，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門于2019年5月至2019年12月聯(lián)合開展全國范圍的互聯(lián)網(wǎng)網(wǎng)站安全專項整治工作，對未備案或備案信息不準確的網(wǎng)站進行清理，對攻擊網(wǎng)站的違法犯罪行為進行嚴厲打擊，對違法違規(guī)網(wǎng)站進行處罰和公開曝光。

圖27：網(wǎng)絡安全違法處罰案例

圖28：網(wǎng)絡安全違法處罰案例