满足等保2.0最基本的标准应具备哪些硬件
网络安全-关键条款变化
由于等级保护2.0中将整体结构进行调整,从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心,所以原等级保护1.0中的“网络安全”变成“安全通信网络”。
结构安全-详解
在等级保护2.0中,在这一小节没有明显的变化,主要是将一些过于老旧的条款进行了删除,将原等级保护1.0中的c)d)g)删除。同时增加了“应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性”的条款,并将这一小节中的“子网、网段”都统一更换成了“网络区域”。
对企业、安全厂家、系统集成商提出的要求
1) 企业或集成商进行网络基础建设时,必须要对通信线路、关键网络设备和关键计算设备进行冗余配置,例如关键网络设备应采用主备或负载均衡的部署方式;
2) 安全厂家在进行安全解决方案设计时,也应采用主备或负载均衡的方式进行设计、部署;
3) 强调、突出了网络区域的概念,无论在网络基础建设,还是安全网络规划,都应该根据系统应用的实际情况进行区域划分。
访问控制-详解
在等级保护2.0中,对于访问控制这一节变化较大,首先将等级保护1.0访问控制这一小节从原来网络安全中的条款变更到安全区域边界这一节中,其次删除了等级保护1.0中大部分条款,如上图,将c)d)e)f)g)h)全部删除。同时在上一节网络架构提出网络区域的基础上,进一步强调区域的概念,强调应在网络边界或区域之间部署访问控制设备,并强调了“应对进、出网络的数据流实现基于应用协议和应用内容的访问控制”,对应用协议、数据内容的深度解析提出了更高的要求。
对企业、安全厂家、系统集成商提出的要求
1) 要着重考虑网络边界的访问控制手段,但网络边界不仅仅是业务系统对其他系统的网络边界,还应该包括在业务系统内不同工艺区域的网络边界;
2) 访问控制的颗粒度要进一步的强化,不仅仅要停留在对于HTTP,FTP,TELNET,SMTP等通用协议的命令级控制程度,而是要对进出网络数据流的所有应用协议和应用内容都要进行深度解析;
3)企业用户在进行网络安全防护项目招标时一定要考虑参与投标的安全厂家所采用的边界访问控制设备是否具备对应用协议深度解析的能力,例如在工业控制系统,除了能够对比较常见的OPC、ModBus TCP、DNP3、S7等协议进行深度解析外,还需要根据现场业务实际情况,对业务系统中使用的私有协议进行自定义深度解析,否则很难达到测评要求。
安全审计-详解
在等级保护2.0中,将等级保护1.0安全审计这一小节从原来网络安全中的条款变更安全区域边界这一节中,将原条款的c)去掉,并对其他三条都进行了强化,尤其是a)条款,同时增加了“应能对远程访问的用户行为、访问互联网用户行为等都进行行为审计和数据分析”。
对企业、安全厂家、系统集成商提出的要求
1) 重点强调了需要在网络边界、重要网络节点处进行网络行为审计,要求企业在进行网络安全防护项目时要充分考虑网络边界和重要网络节点的行为审计能力,例如在城市轨道交通信号系统中,车站分为一级集中站、二级集中站和非集中站,结合等级保护2.0的要求,需要在一级和二级集中站都要考虑部署具备网络行为审计能力的安全产品。而仅仅在一级集中站内部署具有网络行为审计能力的产品是不够的。
2) 重点强调网络行为审计,即对网络流量进行审计,而这仅仅靠原有的日志审计类产品是不够的,无法满足等级保护2.0的要求。
下一篇:不知道哪里出问题了
上一篇:华为p30pro怎么截屏