2022等保合規指南 第四篇
山石網科帶你深入走進【等保】
通過《等保合規2022系列 | 今年,關于等保你該了解什麼?》、《等保合規2022系列 | 一個中心+三重防護,助力企業等級保護建設更科學》以及《等保合規2022系列 | 20餘年來,等級保護在如何“與時俱進”?》我們已經對等級保護的基本情況、體系架構以及核心思想進行了回顧,接着重點分享一下山石網科在做等級保護通用安全技術防護動作時應當滿足哪些要求,整體防護方案應該如何設計的一些經驗。
技術方案設計依據
以合規導向為主的技術方案,在設計過程中應當首先思考的就是建設依據,即等級保護的相關标準。等級保護作為我國合規方向發展時間最長,也是最為成熟的合規體系,它有着健全的标準體系(如下圖),其中等級保護技術方案的設計依據主要參考《GBT22239-2019 資訊安全技術 網絡安全等級保護基本要求》(簡稱基本要求)。
在等級保護技術方案設計過程中要參照《基本要求》中技術部分對應等級的相關要求對保護對象涉及的通用及擴充要求的安全實體環境、安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心分别進行響應。考慮到擴充場景各不相同且沒有通用要求完整度高,本文以最常見的通用二、三級要求為例對《基本要求》中涉及的技術要求進行解讀,幫助企業貫徹落實“一個中心、三重防護”的縱深防禦理念。
安全實體環境
安全實體環境的要求主要是為了保障等級保護對象的裝置不被破壞、盜用,保障實體環境的條件,確定裝置正常運作,減少技術故障等等,是所有安全的基礎。通常等級保護對象的相關裝置均集中存放在機房中,通過其他實體輔助設施(如門禁、監控等)保障實體環境的安全,是以安全實體環境的要求更多是針對機房設計的,其具體内容如下(加粗字型為三級要求):
- 實體位置選擇:防震、防風、防雨,避免頂層或地下室
- 實體通路控制:機房專人值守或電子門禁;機房電子門禁
- 防盜防破壞:主要裝置有标記;裝置有标記,電纜要隐蔽(底下或管道);機房防盜報警系統或專人值守的視訊監控
- 防雷擊:接地,防雷保安器或過壓保護
- 防火:機房有滅火裝置;自動消防系統,耐火建築材料,機房區域隔離
- 防水防潮:機房防水滲透;機房防水蒸氣結露,地下積水轉移滲透;防水檢測儀表
- 防靜電:防靜電地闆,靜電消除器,防靜電手環
- 溫濕度控制:溫濕度可調節;溫濕度自動調節設施
- 電力供應:電路穩壓過壓保護,短期備用電力供應,備援供電或并行電纜
- 電磁防護:電源線與通信線纜隔離鋪設,關鍵裝置電磁屏蔽
安全通信網絡
安全通信網絡要求關注的重點主要是針對等級保護對象的承載網絡,是三重防護之一,包括:網絡架構的安全、網絡安全區域的合理劃分、重要網絡區域部署和防護、主幹網絡的可用性、通信鍊路和節點裝置的備援、網絡帶寬的合理配置設定、網絡通信中資料完整性和保密性的防護等。具體在安全通信網絡層面的通用要求解讀如下表:
安全區域邊界
安全區域邊界要求關注的重點主要是針對等級保護對象的各安全區域邊界的防護能力,同樣也是三重防護之一;通過區域邊界的安全控制,可以對進入和流出不同安全區域的網絡流量進行監測和控制,既可以保證保護對象中的敏感資訊不會洩漏出去,同時也可以防止保護對象遭受外界的惡意攻擊和破壞。具體在安全區域邊界層面的通用要求解讀如下表: