等保合規2022系列 | 等級保護技術防護體系該怎樣構建(上)


2022等保合規指南 第四篇
山石網科帶你深入走進【等?!?/p>

通過《等保合規2022系列 | 今年,關于等保你該了解什么?》、《等保合規2022系列 | 一個中心+三重防護,助力企業等級保護建設更科學》以及《等保合規2022系列 | 20余年來,等級保護在如何“與時俱進”?》我們已經對等級保護的基本情況、體系框架以及核心思想進行了回顧,接著重點分享一下山石網科在做等級保護通用安全技術防護動作時應當滿足哪些要求,整體防護方案應該如何設計的一些經驗。

技術方案設計依據

以合規導向為主的技術方案,在設計過程中應當首先思考的就是建設依據,即等級保護的相關標準。等級保護作為我國合規方向發展時間最長,也是最為成熟的合規體系,它有著健全的標準體系(如下圖),其中等級保護技術方案的設計依據主要參考《GBT22239-2019 信息安全技術 網絡安全等級保護基本要求》(簡稱基本要求)。

在等級保護技術方案設計過程中要參照《基本要求》中技術部分對應等級的相關要求對保護對象涉及的通用及擴展要求的安全物理環境、安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心分別進行響應??紤]到擴展場景各不相同且沒有通用要求完整度高,本文以最常見的通用二、三級要求為例對《基本要求》中涉及的技術要求進行解讀,幫助企業貫徹落實“一個中心、三重防護”的縱深防御理念。

安全物理環境

安全物理環境的要求主要是為了保障等級保護對象的設備不被破壞、盜用,保障物理環境的條件,確保設備正常運行,減少技術故障等等,是所有安全的基礎。通常等級保護對象的相關設備均集中存放在機房中,通過其他物理輔助設施(如門禁、監控等)保障物理環境的安全,所以安全物理環境的要求更多是針對機房設計的,其具體內容如下(加粗字體為三級要求):

  • 物理位置選擇:防震、防風、防雨,避免頂層或地下室
  • 物理訪問控制:機房專人值守或電子門禁;機房電子門禁
  • 防盜防破壞:主要設備有標記;設備有標記,電纜要隱蔽(底下或管道);機房防盜報警系統或專人值守的視頻監控
  • 防雷擊:接地,防雷保安器或過壓保護
  • 防火:機房有滅火設備;自動消防系統,耐火建筑材料,機房區域隔離
  • 防水防潮:機房防水滲透;機房防水蒸氣結露,地下積水轉移滲透;防水檢測儀表
  • 防靜電:防靜電地板,靜電消除器,防靜電手環
  • 溫濕度控制:溫濕度可調節;溫濕度自動調節設施
  • 電力供應:電路穩壓過壓保護,短期備用電力供應,冗余供電或并行電纜
  • 電磁防護:電源線與通信線纜隔離鋪設,關鍵設備電磁屏蔽

安全通信網絡

安全通信網絡要求關注的重點主要是針對等級保護對象的承載網絡,是三重防護之一,包括:網絡架構的安全、網絡安全區域的合理劃分、重要網絡區域部署和防護、主干網絡的可用性、通信鏈路和節點設備的冗余、網絡帶寬的合理分配、網絡通信中數據完整性和保密性的防護等。具體在安全通信網絡層面的通用要求解讀如下表:

安全區域邊界

安全區域邊界要求關注的重點主要是針對等級保護對象的各安全區域邊界的防護能力,同樣也是三重防護之一;通過區域邊界的安全控制,可以對進入和流出不同安全區域的網絡流量進行監測和控制,既可以保證保護對象中的敏感信息不會泄漏出去,同時也可以防止保護對象遭受外界的惡意攻擊和破壞。具體在安全區域邊界層面的通用要求解讀如下表:

本期主要分享的是安全物理環境、安全通信網絡以及安全區域邊界的季度內容,在下一篇文章等級保護技術防護體系該怎樣構建(下)將會繼續解讀安全計算環境部分和安全管理中心部分,還望各位觀眾點贊、關注、收藏。