7.3.2 网络安全等级保护（下）在线视频

同学们，大家好

这节课我们来讲授

《网络空间安全技术》第四篇

网络空间安全管控技术体系

第7章网络空间安全管控技术体系

第3节

网络安全等级保护第二部分的内容

接下来我们

要讲网络安全等保技术

高风险项分析和相应的对策

这个里面

我们要介绍等保技术体系的基本思想

等保技术体系的基本组成

以及

等保技术控制项的高风险项及其应对

首先我们来看一下

等保技术体系的基本思想

实际上等保技术体系

它体现了一个中心

三重防护的纵深防御思想

在空间维度上是以一个中心

三个防护为重点

来构建纵深的多重防护体系

最后依靠管理中心来实现管理

等保技术体系的基本组成

包括安全物理环境

安全物理环境

具体又涵盖物理位置的选择

物理访问控制、防盗窃和防破坏

防雷击、防火

防水、防潮

防静电、温湿度控制、电力供应

电磁防护等各个方面

在安全通信网络方面

包括网络架构

通信传输和可信验证三个方面的要求

在安全区域边界方面

包括边界防护

访问控制、入侵防范

恶意代码和垃圾邮件防范

安全审计和可信验证等方面的内容

在安全计算环境方面

包括身份鉴别、访问控制

安全审计、入侵防范

恶意代码防范、可信验证

数据完整性、数据保密性

数据备份恢复

剩余信息保护

以及个人信息保护等方面的内容

在安全管理中心方面

主要涉及到系统管理

审计管理

安全管理、集中管控

安全审计

和可信验证等方面的内容

接下来我们来看

等保技术控制项的高风险项

及其面对其中的

安全物理环境高风险项当中的

物理访问控制

等保要求机房出入口

应配置电子门禁系统

控制、鉴别和记录进入的人员

高危案例

是机房出入口无访问控制措施

机房无电子或机械门锁

机房入口也无专值守

办公或者是外来人员可随意进出机房

无任何管控、监控的措施

这个物理访问控制要求

适合1到5级所有的系统

如果等保要求

得不到满足是否存在补偿措施

我们说如果机房无电子门禁系统

但是有其他的防护措施

比如说

机房出入配备24小时专人值守

采用摄像头实时监控等

可酌情降低风险等级

如果不满足等保要求

我们可以提出整改的建议是

在机房的出入口配备电子门禁系统

通过电子门禁来鉴别、记录

进入的人员信息

接下来我们来看一下

安全通信网络的网络架构

在网络区域划分方面

等保要求

应划分不同的网络区域

并按照方便管理

和控制原则

为各个网络区域来分配地址

在网络区域划分方面

我们

有一个高危的案例

未按照不同的网络功能

重要程度进行网络区域的划分

如存在重要区域与非重要网络

在同一个子网或网段的

出现这种情况

我们就认为它是一个高危的案例

那么网络区划分的这种要求

它的适用范围是对于

高可用性要求比较高的3级

及以上的系统

这种

网络区划分的不满足

没有其他的补偿措施

需要进行整改

建议根据各个工作职能

重要性和所涉及的

信息的重要程度等因素

划分不同的网络区域

并做好各个区域之间的访问控制措施

接下来我们来看

网络安全等级保护

安全通信网络当中的通信传输

传输保密性保护的要求

等保要求应采用密码技术来保证

通信过程当中数据的保密性

以下是一些高危的案例

比如说口令、密钥等重要敏感信息

在网络中进行了明文的传输

这是非常危险的

这个要求它的适用范围是3级

及以上的系统

我们可以看到

这个要求

如果不满足的话可以有补偿措施

网络接入管控较好

且网络环境为内网封闭可控环境

确保密码被窃取的难度比较大

或使用多因素等措施

来确保即使密码被窃取

也无法管理

业务形态上必须使用

远程Internet访问的相关设备

设备都采用多因素认证

而且严格地限制了管理地址

这样的话虽然你不满足

传输保护的要求

但是可以在某种程度上

可以弥补这种风险的情况

这种情况的整改建议

是建议相关设备开启SSH

或HTTPS协议

或创建加密通道

通过这些加密方式来传输敏感的信息

接下来我们看一下

安全区域边界之入侵防范

主要是外部网络攻击的防御

等保要求应在关键网络节点处检测

防止或限制

从外部发起的网络攻击行为

以下是高危案例

比如说关键网络节点

比如互联网边界处

未采取任何防护措施

比如入侵防御设备

云防火墙和WAF等等

无法检测

阻止或限制互联网发起的攻击行为

这个要求适用范围是3级及以上系统

补偿措施是具备入侵检测能力

也就是IDS

且监控措施较为完善

能够及时对入侵行为进行干预

可以对这条要求

提供相应的补偿或者讲弥补措施

这一条的整改建议是

建议在关键网络节点

比如说互联网边界处

合理部署可对攻击行为进行检测、阻断

或限制的防护设备

比如说抗APT攻击系统

网络回溯系统

威胁情报检测系统

入侵防护系统等

或者是购买云防等外部抗攻击的服务

在安全计算环境的身份鉴别环节

提出了双因素认证的要求

等保要求

应采用口令、密码技术

生物技术等

两种或两种以上组合的鉴别技术

而且其中一种必须使用密码技术

它的高危案例是

在核心设备、操作系统等未采用两种

或两种以上的鉴别技术

比如说仅仅使用用户名

口令的方式来进行身份认证

无法避免账号的

未授权窃取或违规的使用

双因素认证的要求

适用范围是3级及以上系统

具体的补偿措施

是采用两重用户名/口令认证措施

当然了这两重口令是不同的

比如说身份认证服务器、堡垒机等

整改建议

建议重要的核心设备

操作系统、应用软件等

增加除用户名/口令以外的身份鉴别

如密码/令牌

生物鉴别等来实现双因素的鉴别

在安全管理中心的集中管控方面

我们主要是关注运行监控措施的要求

等保要求

应当对网络链路

安全设备

网络设备和服务器等的运行状况

来进行集中的监测

高危案例是

对于可用性要求较高的系统

若没有任何监测的措施

发生故障时

难以及时对故障进行定位和处理

这个要求它的适用范围是

可用性较高的

3级及以上的系统

无其他的补偿措施

我们建议对于网络链路

安全设备

网络设备和服务器等

它的运行情况进行集中的监测

接下来我们来看一下

网络安全等保管理高风险项分析

和相应的对策

体现在四个方面

一是管理制度方面

二是管理机构方面

三是建设管理方面

四是运维管理方面

我们首先来看

安全管理制度方面

管理制度方面

主要是进行管理制度的建设

等保要求

应对安全管理活动当中的

各类管理活动内容

建立安全管理制度

高危案例

是未建立任何与安全管理活动

相关的管理制度

或者是相关的管理制度

无法适用于当前的被测系统

这一条适合于所有的系统

而且没有补偿措施

我们建议按照等级保护的相关要求

建立包括总体方针

安全策略在内的各类

与安全管理活动相关的管理制度

在安全管理机构岗位设置方面

我们重点要强调

网络安全领导小组的建立

等保要求

应成立指导和管理网络安全工作的委员会

或领导小组

其最高领导由单位主管领导担任

或由其授权

此下是一个高危的案例

未成立指导和管理新安全工作的机构

或者其最高领导不是单位主管领导委任

或者是授权或者是直接担任

它的适用范围是3级及以上系统

无其他补偿措施

我们建议

成立指导和管理网络安全工作的委员会

或领导小组

而且他的最高领导

是要由单位主管领导亲自担任

或者是授权

接下来我们来看一下

安全建设管理环节

产品采购和使用环节的要求

网络安全产品采购和相关的使用

等保要求

网络安全产品采购和使用

应确保符合国家的规定

高危案例是

网络安全关键设备和安全产品使用

违反了国家的规定

这一条

适用于所有的系统

我们建议

依据国家有关规定

采购和使用

网络关键设备和安全专用产品

网络关键设备和安全专用产品

应当按照相关国家标准的强制性要求

由具备资格的机构安全认证合格

或安全检测符合要求后

方可销售或提供

比如说公安部

进行的计算机信息系统安全

专用产品销售许可

等等

接下来我们来看一下

密码产品与

服务采购和使用

等保要求

应确保密码产品与服务的采购

和使用符合国家密码管理

主管部门的要求

如果不满足上述要求就是

违反了密码法

是一个严重的高危案例

这条要求适用于所有的系统

我们建议

依照国家密码管理主管部门的要求

使用密码产品与服务

比如说商用密码产品使用管理规定

和密码法所规定的具体细节内容

接下来我们来看

安全运维管理当中的应急预案管理

其中重点关注应急预案的制定

等保要求

应制定重要事件的应急预案

包括应急处理流程

系统恢复流程等内容

高危案例

未制定重要事件的应急预案

未明确重要事件的应急处理流程

系统恢复流程等内容

一旦出现应急事件之后

无法合理有序的进行

应急事件的处置过程

造成了应急响应时间增长

导致系统不能在

最短的时间内进行恢复

这个要求它适用于所有的系统

补偿措施

如果我们

制定了应急预案

但内容不全

是可以在部分程度上

对这条要求

实施了补偿

我们建议

制定重要事件的应急预案

确保重要事件的应急处理流程

系统恢复流程等内容

并对应急预案进行相应的演练

接下来我们来看一下

网络安全等保测评和相关的结果判定

首先

我们来看一下等保测评的基本方法

和相应的流程

第二个我们来讨论一下

等保测评结果的判定

对于

网络安全等保测评的流程来说

它主要分为以下这么几步

包括调研访谈

含业务、资产、安全技术和安全管理访谈

查看资料包括管理制度和安全策略

现场观察包括物理环境和物理部署

查看配置包括主机

网络和安全设备三个方面

技术测试包括漏洞扫描

和相应的渗透测试

最终要实现

安全等保的评价也就是

是否符合安全等保的要求

和相关的符合性评价

接下来我们来看

等保测评结果的判定

结合各类测评结论

和对单项测评结果的风险分析

给出等级测评的结论

分为符合、基本符合、不符合三种结论

如果定级对象当中未发现安全问题

等保测评结果当中所有的测评项

均完全合格

就判定为符合

基本符合

如果定级对象当中存在安全问题

存在部分符合和不符合项

但存在的安全问题不会导致

高风险情况的出现

而且综合得分

不低于给定的阈值

我们就可以将其判定为基本符合

不符合它的判定标准是

定级对象当中存在着安全问题

存在着部分符合和不符合项

但是存在的安全问题

会导致较高的风险压力

或者说

其中的中低风险所占的比重

超过了给定的阈值

我们就将其判断为不符合

最后我们给一个

等保测评结果判定的小结

我们要求

等保测评结果判定当中不能够存在

高风险项

而且分数要达到要求的阈值

一般是七十分

如果是特殊行业

它的要求会相应的变高

接下来

我们请同学们思考两个问题

第一

如何认识

等级保护建设与安全建设的关系

我们这里给出一点提示

安全建设

它是以保障信息系统和信息的安全性

为根本目标

等保建设可以促进安全性的提升

但它并非是唯一的途径

等保建设

它是以等保合规为安全建设的直接目标

客观上可促进信息统和信息的安全性

合规是企业安全的基线

也可以说是最低的要求

第二个请同学们思考的问题是

如何认识

等级保护控制项

与安全产品及服务之间的关系

我们给出以下提示

等保控制项

具体规定了在不同级别下

不同层面需要进行的安全保护内容

手段、方法和要求

通过安全产品和服务来实现

那么安全产品和服务

通常是提升综合安全能力

可以用于满足控制项要求

与等保控制项并非是一对一的关系

根据我们上面的提示

请同学们

认真地思考

等保控制项与

网络安全产品和服务之间的关系

同学们

这一讲的内容就讲到这里

感谢观看

下次再见