《等保2.0第二级终篇:一张模型图,讲透“资产·行为·后果”三维防护体系》
首先看汇总的区分表格
| 安全层面 | 第一级核心要求 | 第二级新增/增强要求 | 简要说明 |
|---|---|---|---|
| 1. 安全物理环境 | 基础:门禁/值守、设备固定、接地、灭火器、温湿度调节、稳压器 | 新增:火灾自动消防、短期备用电力(UPS)、防静电、线缆隔离、防水防潮加强、电磁防护(线缆隔离) | 从“人工灭火/稳压”升级到“自动消防/UPS”,增加防静电、电磁防护 |
| 2. 安全通信网络 | 通信完整性校验(基础) | 新增网络架构:划分网络区域、重要区域技术隔离(如防火墙) | 从“无网络分区”到“分域隔离” |
| 3. 安全区域边界 | 边界防护、五元组访问控制(默认拒绝) | 新增:入侵防范(监视攻击)、恶意代码防范(网络层)、安全审计(记录)、状态检测防火墙 | 从“被动防护”到“主动监测+记录” |
| 4. 安全计算环境 | 身份鉴别(口令)、基础访问控制、最小安装、杀毒、本地备份 | 新增:远程管理加密、最小权限+权限分离、安全审计、异地备份、剩余信息保护、个人信息保护 | 从“本地安全”到“远程加密、三权分立、异地容灾、隐私保护” |
| 5. 安全管理中心 | ❌ 无 | ✅新增:系统管理、审计管理(集中管理) | 从“无中心”到“有中心” |
| 6. 安全管理制度 | 日常管理制度 | 新增:安全策略(总体方针)、制度覆盖主要管理内容、操作规程 | 从“有制度”到“制度成体系” |
| 7. 安全管理机构 | 岗位设置(系统管理员)、人员配备、授权审批 | 新增:沟通和合作、审核和检查(定期自查) | 从“有岗有人”到“内外部协同+自我监督” |
| 8. 安全管理人员 | 录用有人负责、离岗收权限、培训、外部人员物理访问审批 | 新增:录用背景审查、外部人员网络访问管控、离场清除权限 | 从“管物理进入”到“管网络接入+全生命周期” |
| 9. 安全建设管理 | 定级书面说明、基本方案、采购合规、工程专人、测试验收、交付清单 | 新增:专家论证+公安备案、安全方案设计、密码产品合规、自行/外包软件开发安全、等级测评 | 从“自主定级”到“专家+公安”;从“买产品”到“管开发+测评” |
| 10. 安全运维管理 | 环境管理、介质存放、设备维护、漏洞修补、账户管理、杀毒管理、备份策略、事件报告 | 新增:资产管理、配置管理、密码管理、变更管理、应急预案、外包运维管理;增强:办公环境管理、介质传输控制、维修审批、定期测评、操作手册、恶意代码分析、恢复策略、事件复盘 | 从“基础运维”到“全生命周期制度化、可追溯、可恢复” |
总的来说,第二级别因为系统的服务对象扩大,服务功能变多。同时系统所存储、包含的信息更多。所以系统的规模和损害后的影响也扩大了,要求自然就强化了许多。
我按照系统损害后所造成的影响成分,分为了四类系统信息内容类、服务功能类、信息对象类、服务对象类。
系统信息内容就是指系统内存储的信息,包含客户数据,系统文档,公司内部信息,等等。甚至包括了系统信息。这些信息一旦暴露,根据敏感性,数量级别将会对社会造成不同程度的影响。
服务功能是指系统提供的服务功能,包括自己内部的服务端程序支持和链接其他系统的支持(比如说高德地图和微信)。一句话只要是系统上运行的程序,然后直接或间接的服务了客户就算是。
信息对象是指系统存储的对象具体是指哪些人,有系统内部构成人员,系统所有者人员,系统服务客户人员等等。简单说就是信息持有者所在的群体,也包括需要追溯的操作者。
服务对象是指服务的对像是那些人,这是安全性和人员职业重要性来区分。比如说都是卫星地图,但是军用和民用对象不同,也属于不同。简答说就是依照服务对象的需求分类。
对于防范目标,我分为恶意行为和意外行为。恶意行为是指此行为发起者明确知道自己的行为会损害系统,而意外行为是指行为的发起者不知道或者说无感知(违反安全管理制度的不算)自己的行为会损害系统。
对于系统构成,我分为四个类别:数码类、物理硬件类、人员身份和人员行为。
数码类是指一切代码,命令,规则等。总之一切存在于数据和软件上的系统部分都是。
物理硬件类是指一切物理设备,包括系统服务设备,网络设备,安全防护设备、灾难保护设备等一切构成系统的硬件都是。
人员身份是指构成系统的人员身份,包括操作系统人员,外包人员,开发人员,安全人员等可能接触系统,参与系统的所有人员必须有规定的身份角色。
人员行为是指所有拥有人员身份参与系统运行和构成的人都必须按其规定的角色去遵守制度和操作行为。
请看模型拓补图
拓扑图模型是一个从资产本质出发、以行为分类为轴、以安全目标为归宿的等保2.0解释框架。
对于最低要求的模型表格如下
| 控制点 | 系统构成子类 | 防范行为类型 | 主要损害后果类型 | 第二级别最低要求(底线) |
|---|---|---|---|---|
| 网络分域隔离 | 数码类 | 恶意 | 服务功能类 | 划分不同网络区域,重要区域与其他区域之间采取防火墙等可靠技术隔离 |
| 入侵检测系统(IDS) | 数码类 | 恶意 | 信息对象类 | 在关键网络节点处部署入侵检测设备,能够监视并记录网络攻击行为 |
| 网络防病毒网关 | 数码类 | 恶意 | 系统信息内容类 | 在网络边界部署防病毒网关或具备防病毒功能的防火墙,开启病毒扫描并定期更新病毒库 |
| 安全审计(网络+主机) | 数码类 | 恶意 | 信息对象类 | 网络设备、安全设备、服务器、应用系统均开启日志审计,记录时间、用户、事件、结果,日志保存≥6个月 |
| 异地备份 | 数码类 | 意外 | 服务功能类 | 将重要数据定时批量传送至异地(不同机房/城市)备份存储 |
| 密码合规(国密) | 数码类 | 恶意 | 系统信息内容类 | 采购和使用国家密码管理局认证核准的密码产品,遵循国密标准 |
| 配置基线管理 | 数码类 | 意外 | 服务功能类 | 记录并保存网络拓扑、设备软件组件及版本、补丁信息、配置参数等基本配置信息 |
| 软件安全开发 | 数码类 | 恶意 | 系统信息内容类 | 自行软件开发:开发与生产环境隔离;开发过程进行安全测试;上线前检测恶意代码 |
| 火灾自动消防系统 | 物理硬件类 | 意外 | 服务功能类 | 机房设置火灾自动消防系统(自动检测、报警、灭火),并使用耐火建筑材料 |
| 短期备用电力(UPS) | 物理硬件类 | 意外 | 服务功能类 | 配置UPS,在市电断电后能提供短期电力,保证设备正常关机或继续运行 |
| 防静电地板 | 物理硬件类 | 意外 | 服务功能类 | 机房铺设防静电地板或地面,并采取接地等防静电措施 |
| 线缆隔离(电磁防护) | 物理硬件类 | 意外 | 服务功能类 | 电源线与通信线缆分开铺设(不同线槽或保持距离),避免电磁干扰 |
| 资产清单管理 | 物理硬件类 | 意外 | 信息对象类 | 编制并保存资产清单,包含责任部门、重要程度、位置;根据重要程度进行标识管理 |
| 介质运输管控 | 物理硬件类 | 意外 | 系统信息内容类 | 对介质物理传输过程的人员选择、打包、交付等进行控制,并登记归档和查询记录 |
| 设备维修审批监督 | 物理硬件类 | 意外 | 信息对象类 | 建立设备维护管理制度,明确维修人员责任、维修审批流程、维修过程监督 |
| 权限分离(三权分立) | 人员行为类 | 恶意 | 信息对象类 | 系统管理员、安全管理员、审计管理员权限分离(可兼任但职责明确) |
| 变更管理流程 | 人员行为类 | 恶意+意外 | 服务功能类 | 明确变更需求,制定变更方案,经评审审批后方可实施 |
| 应急预案演练 | 人员行为类 | 意外 | 服务功能类 | 制定重要事件应急预案,定期对相关人员进行培训并组织演练 |
| 操作手册与运维日志 | 人员行为类 | 恶意+意外 | 信息对象类 | 制定重要设备的配置和操作手册;详细记录运维操作日志(包括巡检、维护、参数修改等) |
| 内部沟通合作 | 人员行为类 | 恶意+意外 | 服务对象类 | 定期召开内部协调会议,加强与安全职能部门、供应商、业界专家的合作,建立外联单位联系表 |
| 录用背景审查 | 人员身份类 | 恶意 | 信息对象类 | 对被录用人员进行身份、安全背景、专业资格或资质审查 |
| 外包运维管理 | 人员身份类 | 恶意 | 服务对象类 | 选择符合国家规定的服务商,签订协议明确外包范围、工作内容和安全责任 |
| 岗位职责定义 | 人员身份类 | 意外+恶意 | 信息对象类 | 设立安全主管、各安全负责人、系统管理员、审计管理员、安全管理员等岗位,书面定义职责 |
| 离岗权限回收 | 人员身份类 | 恶意+意外 | 信息对象类 | 人员离岗时及时终止所有访问权限,收回身份证件、钥匙、软硬件设备 |
| 定级专家评审与公安备案 | 人员身份类 | 意外+恶意 | 服务对象类 | 组织专家对定级结果论证审定,经部门批准后报公安机关备案 |
| 等级测评(第三方) | 人员身份类 | 恶意+意外 | 服务对象类 | 定期进行等级测评(二级建议但不强制),发现不符合及时整改;发生重大变更或级别变化时重新测评;测评机构须有资质 |
总结:等保2.0第二级的所有要求,都可以归结为一张“三维防护网”:沿着“数码、硬件、人员”三类资产,防范“恶意与意外”两类行为,最终保护“信息内容、服务功能、信息对象、服务对象”四类核心价值。这不是控制点的堆砌,而是基于资产与风险的体系化防御。