等保合规2022系列 | 等级保护技术防护体系该怎样构建(上)


2022等保合规指南 第四篇
山石网科带你深入走进【等保】

通过《等保合规2022系列 | 今年,关于等保你该了解什么?》、《等保合规2022系列 | 一个中心+三重防护,助力企业等级保护建设更科学》以及《等保合规2022系列 | 20余年来,等级保护在如何“与时俱进”?》我们已经对等级保护的基本情况、体系框架以及核心思想进行了回顾,接着重点分享一下山石网科在做等级保护通用安全技术防护动作时应当满足哪些要求,整体防护方案应该如何设计的一些经验。

技术方案设计依据

以合规导向为主的技术方案,在设计过程中应当首先思考的就是建设依据,即等级保护的相关标准。等级保护作为我国合规方向发展时间最长,也是最为成熟的合规体系,它有着健全的标准体系(如下图),其中等级保护技术方案的设计依据主要参考《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》(简称基本要求)。

在等级保护技术方案设计过程中要参照《基本要求》中技术部分对应等级的相关要求对保护对象涉及的通用及扩展要求的安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心分别进行响应。考虑到扩展场景各不相同且没有通用要求完整度高,本文以最常见的通用二、三级要求为例对《基本要求》中涉及的技术要求进行解读,帮助企业贯彻落实“一个中心、三重防护”的纵深防御理念。

安全物理环境

安全物理环境的要求主要是为了保障等级保护对象的设备不被破坏、盗用,保障物理环境的条件,确保设备正常运行,减少技术故障等等,是所有安全的基础。通常等级保护对象的相关设备均集中存放在机房中,通过其他物理辅助设施(如门禁、监控等)保障物理环境的安全,所以安全物理环境的要求更多是针对机房设计的,其具体内容如下(加粗字体为三级要求):

  • 物理位置选择:防震、防风、防雨,避免顶层或地下室
  • 物理访问控制:机房专人值守或电子门禁;机房电子门禁
  • 防盗防破坏:主要设备有标记;设备有标记,电缆要隐蔽(底下或管道);机房防盗报警系统或专人值守的视频监控
  • 防雷击:接地,防雷保安器或过压保护
  • 防火:机房有灭火设备;自动消防系统,耐火建筑材料,机房区域隔离
  • 防水防潮:机房防水渗透;机房防水蒸气结露,地下积水转移渗透;防水检测仪表
  • 防静电:防静电地板,静电消除器,防静电手环
  • 温湿度控制:温湿度可调节;温湿度自动调节设施
  • 电力供应:电路稳压过压保护,短期备用电力供应,冗余供电或并行电缆
  • 电磁防护:电源线与通信线缆隔离铺设,关键设备电磁屏蔽

安全通信网络

安全通信网络要求关注的重点主要是针对等级保护对象的承载网络,是三重防护之一,包括:网络架构的安全、网络安全区域的合理划分、重要网络区域部署和防护、主干网络的可用性、通信链路和节点设备的冗余、网络带宽的合理分配、网络通信中数据完整性和保密性的防护等。具体在安全通信网络层面的通用要求解读如下表:

安全区域边界

安全区域边界要求关注的重点主要是针对等级保护对象的各安全区域边界的防护能力,同样也是三重防护之一;通过区域边界的安全控制,可以对进入和流出不同安全区域的网络流量进行监测和控制,既可以保证保护对象中的敏感信息不会泄漏出去,同时也可以防止保护对象遭受外界的恶意攻击和破坏。具体在安全区域边界层面的通用要求解读如下表:

本期主要分享的是安全物理环境、安全通信网络以及安全区域边界的季度内容,在下一篇文章等级保护技术防护体系该怎样构建(下)将会继续解读安全计算环境部分和安全管理中心部分,还望各位观众点赞、关注、收藏。