很多用戶都不懂等保1.0到2.0的變化后等保2.0的基本要求具體有什么變化，同時(shí)等保2.0基本要求有哪些，今天小編就根據(jù)法律法規(guī)深入解讀一下這些內(nèi)容。

等級保護(hù)2.0中將整體結(jié)構(gòu)進(jìn)行調(diào)整，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全變成安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心，所以原等級保護(hù)1.0中的“網(wǎng)絡(luò)安全”變成“安全通信網(wǎng)絡(luò)”。

具體我們看如下圖中網(wǎng)絡(luò)安全的技術(shù)要求和管理要求的變化圖：

結(jié)構(gòu)安全 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 企業(yè)或集成商進(jìn)行網(wǎng)絡(luò)基礎(chǔ)建設(shè)時(shí)，必須要對通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備進(jìn)行冗余配置，例如關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)采用主備或負(fù)載均衡的部署方式;

2) 安全廠家在進(jìn)行安全解決方案設(shè)計(jì)時(shí)，也應(yīng)采用主備或負(fù)載均衡的方式進(jìn)行設(shè)計(jì)、部署;

3) 強(qiáng)調(diào)、突出了網(wǎng)絡(luò)區(qū)域的概念，無論在網(wǎng)絡(luò)基礎(chǔ)建設(shè)，還是安全網(wǎng)絡(luò)規(guī)劃，都應(yīng)該根據(jù)系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行區(qū)域劃分。

訪問控制 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 要著重考慮網(wǎng)絡(luò)邊界的訪問控制手段，但網(wǎng)絡(luò)邊界不僅僅是業(yè)務(wù)系統(tǒng)對其他系統(tǒng)的網(wǎng)絡(luò)邊界，還應(yīng)該包括在業(yè)務(wù)系統(tǒng)內(nèi)不同工藝區(qū)域的網(wǎng)絡(luò)邊界;

2) 訪問控制的顆粒度要進(jìn)一步的強(qiáng)化，不僅僅要停留在對于HTTP,FTP,TELNET,SMTP等通用協(xié)議的命令級控制程度，而是要對進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流的所有應(yīng)用協(xié)議和應(yīng)用內(nèi)容都要進(jìn)行深度解析;

3)企業(yè)用戶在進(jìn)行網(wǎng)絡(luò)安全防護(hù)項(xiàng)目招標(biāo)時(shí)一定要考慮參與投標(biāo)的安全廠家所采用的邊界訪問控制設(shè)備是否具備對應(yīng)用協(xié)議深度解析的能力，例如在工業(yè)控制系統(tǒng)，除了能夠?qū)Ρ容^常見的OPC、ModBus TCP、DNP3、S7等協(xié)議進(jìn)行深度解析外，還需要根據(jù)現(xiàn)場業(yè)務(wù)實(shí)際情況，對業(yè)務(wù)系統(tǒng)中使用的私有協(xié)議進(jìn)行自定義深度解析，否則很難達(dá)到測評要求。

安全審計(jì) 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 重點(diǎn)強(qiáng)調(diào)了需要在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)處進(jìn)行網(wǎng)絡(luò)行為審計(jì)，要求企業(yè)在進(jìn)行網(wǎng)絡(luò)安全防護(hù)項(xiàng)目時(shí)要充分考慮網(wǎng)絡(luò)邊界和重要網(wǎng)絡(luò)節(jié)點(diǎn)的行為審計(jì)能力，例如在城市軌道交通信號(hào)系統(tǒng)中，車站分為一級集中站、二級集中站和非集中站，結(jié)合等級保護(hù)2.0的要求，需要在一級和二級集中站都要考慮部署具備網(wǎng)絡(luò)行為審計(jì)能力的安全產(chǎn)品。而僅僅在一級集中站內(nèi)部署具有網(wǎng)絡(luò)行為審計(jì)能力的產(chǎn)品是不夠的。

2) 重點(diǎn)強(qiáng)調(diào)網(wǎng)絡(luò)行為審計(jì)，即對網(wǎng)絡(luò)流量進(jìn)行審計(jì)，而這僅僅靠原有的日志審計(jì)類產(chǎn)品是不夠的，無法滿足等級保護(hù)2.0的要求。

邊界完整性&入侵防范&惡意代碼防范對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 對于企業(yè)和系統(tǒng)集成商，在進(jìn)行網(wǎng)絡(luò)安全防護(hù)項(xiàng)目招標(biāo)時(shí)要充分考慮對于在等級保護(hù)2.0中所提出的對于“已知”和“未知”的檢測要求。尤其在進(jìn)行安全廠家選擇時(shí)，要重點(diǎn)考慮安全廠家對于“未知”攻擊的檢測能力;

2) 對于安全廠家，網(wǎng)絡(luò)安全審計(jì)或入侵檢測產(chǎn)品不應(yīng)僅僅局限在采用“特征庫”的形式進(jìn)行攻擊檢測，因?yàn)椴捎靡?ldquo;特征庫”為模板的形式無法對“未知”攻擊進(jìn)行檢測;

3) 對于安全廠家，入侵防范的范圍變化，需要在網(wǎng)絡(luò)安全解決方案設(shè)計(jì)時(shí)充分考慮，不應(yīng)僅僅在網(wǎng)絡(luò)邊界處進(jìn)行入侵防范，還需要在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)處均需要進(jìn)行入侵防范。

等保2.0三級基本要求：

身份鑒別對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 集成商進(jìn)行業(yè)務(wù)應(yīng)用軟件設(shè)計(jì)時(shí)，應(yīng)考慮業(yè)務(wù)應(yīng)用系統(tǒng)在“用戶名”+“口令”的基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)通過密碼技術(shù)對登錄用戶的身份進(jìn)行鑒別，同時(shí)應(yīng)避免業(yè)務(wù)應(yīng)用系統(tǒng)的弱口令問題;

2) 集成商進(jìn)行業(yè)務(wù)應(yīng)用軟件設(shè)計(jì)時(shí)，應(yīng)充分考慮用戶權(quán)限的控制以及用戶在登錄失敗后的處理機(jī)制;

3) 企業(yè)在業(yè)務(wù)運(yùn)營期間不可通過不可控的網(wǎng)絡(luò)環(huán)境進(jìn)行遠(yuǎn)程管理，容易被監(jiān)聽，造成數(shù)據(jù)的泄露，甚至篡改;

4) 安全廠家在進(jìn)行安全產(chǎn)品選用時(shí)，應(yīng)采用具有兩種或以上的組合鑒別方式的安全防護(hù)軟件對登錄系統(tǒng)的管理用戶進(jìn)行身份鑒別。滿足本地身份認(rèn)證和第三方遠(yuǎn)程身份認(rèn)證雙因子驗(yàn)證要求。

訪問控制對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 集成商進(jìn)行業(yè)務(wù)應(yīng)用軟件設(shè)計(jì)時(shí)，應(yīng)充分考慮用戶權(quán)限的控制以及用戶在登錄失敗后的處理機(jī)制，確保業(yè)務(wù)應(yīng)用系統(tǒng)不存在訪問控制失效的情況;

2) 企業(yè)或集成商在進(jìn)行系統(tǒng)配置時(shí)，應(yīng)為用戶分配賬戶和權(quán)限，刪除或重命名默認(rèn)賬戶及默認(rèn)口令，刪除過期、多余和共享的賬戶;

3) 安全廠家在進(jìn)行安全產(chǎn)品選用時(shí)，應(yīng)采用符合強(qiáng)制訪問控制要求的安全防護(hù)軟件對主機(jī)、系統(tǒng)進(jìn)行防護(hù)，可以有效的降低高風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)等級。

安全審計(jì)對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 對集成商而言，業(yè)務(wù)應(yīng)用系統(tǒng)軟件的安全審計(jì)能力至關(guān)重要，需要能夠?qū)χ匾�用戶操作、行為進(jìn)行日志審計(jì)，并且審計(jì)的范圍不僅僅是針對前端用戶，也要針對后端用戶;

2) 對企業(yè)來說，在基礎(chǔ)建設(shè)時(shí)應(yīng)該在重要核心設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫性能允許的前提下，開啟用戶操作類和安全事件的審計(jì)策略，并在安全運(yùn)營的過程中對策略的開啟定期檢查;

3) 安全廠家在進(jìn)行安全審計(jì)產(chǎn)品選用時(shí)，應(yīng)采用可以覆蓋到每個(gè)用戶并可對重要的用戶行為和重要安全事件進(jìn)行審計(jì)的產(chǎn)品�？衫�用日志審計(jì)系統(tǒng)實(shí)現(xiàn)對日志的審計(jì)分析并生產(chǎn)報(bào)表，通過堡壘機(jī)來實(shí)現(xiàn)對第三方運(yùn)維操作的審計(jì)。

剩余信息保護(hù)對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

企業(yè)或集成商在服務(wù)器上啟用基于操作系統(tǒng)本身的剩余信息保護(hù)功能。

入侵防范對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1) 企業(yè)或集成商在進(jìn)行系統(tǒng)安裝時(shí)，遵循最小安裝原則，僅安裝業(yè)務(wù)應(yīng)用程序及相關(guān)的組件;

2) 企業(yè)或集成商進(jìn)行應(yīng)用軟件開發(fā)時(shí)，需要考慮應(yīng)用軟件本身對數(shù)據(jù)的符合性進(jìn)行檢驗(yàn)，確保通過人機(jī)接口或通信接口收到的數(shù)據(jù)內(nèi)容符合系統(tǒng)應(yīng)用的要求;

3) 企業(yè)或集成商在選擇主機(jī)安全防護(hù)軟件時(shí)除了要考慮主機(jī)安全防護(hù)軟件的安全功能以外，還要考慮與實(shí)際業(yè)務(wù)場景結(jié)合的問題，能夠有效的幫助業(yè)主解決實(shí)際痛點(diǎn)。工業(yè)現(xiàn)場大部分現(xiàn)場運(yùn)維人員對安全知之甚少，很難嚴(yán)格按照等級保護(hù)要求將安全配置一一完善，所以選擇的主機(jī)安全防護(hù)軟件應(yīng)可以通過最簡單的配置來滿足等級保護(hù)的要求;

4) 解決安全漏洞最直接的辦法是更新補(bǔ)丁，但對于工業(yè)控制系統(tǒng)而言，打補(bǔ)丁的動(dòng)作越謹(jǐn)慎越好，避免由于更新補(bǔ)丁而影響到生產(chǎn)業(yè)務(wù)。該條款需要企業(yè)委托第三方工控安全廠家對系統(tǒng)進(jìn)行漏洞的掃描，發(fā)現(xiàn)可能存在的已知漏洞，根據(jù)不同的風(fēng)險(xiǎn)等級形成報(bào)告，企業(yè)或集成商根據(jù)報(bào)告在離線環(huán)境經(jīng)過測試評估無誤后對漏洞進(jìn)行修補(bǔ)。

惡意代碼防范對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

工業(yè)現(xiàn)場惡意代碼防范一直是用戶的痛點(diǎn)，受制于工業(yè)現(xiàn)場環(huán)境，殺毒軟件無法在工業(yè)環(huán)境內(nèi)發(fā)揮作用。誤殺、漏殺、占用資源、無法升級等問題一直被詬病。所以在工業(yè)場景中應(yīng)該選擇采用白名單機(jī)制的安全防護(hù)軟件。

資源控制對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

在工業(yè)現(xiàn)場大部分的場景對于數(shù)據(jù)傳輸、存儲(chǔ)完整性要求要高于數(shù)據(jù)傳輸、存儲(chǔ)保密性要求。對于系統(tǒng)集成商在應(yīng)用通過密碼技術(shù)來保證傳輸數(shù)據(jù)的完整性，并在服務(wù)器端對數(shù)據(jù)有效性進(jìn)行驗(yàn)證。

在工業(yè)現(xiàn)場關(guān)鍵服務(wù)器、工作站內(nèi)存儲(chǔ)的業(yè)務(wù)軟件及配置文件的完整性和可用性是至關(guān)重要的，一旦其完整性遭到破壞，直接影響現(xiàn)場生產(chǎn)任務(wù)。所以對于安全廠家提出的要求就是其安全防護(hù)軟件應(yīng)可以通過訪問控制功能，對存儲(chǔ)的數(shù)據(jù)、配置文件進(jìn)行完整性保護(hù)，避免遭到非法破壞。

企業(yè)應(yīng)建立異地備份中心，同時(shí)形成數(shù)據(jù)備份制度，定期進(jìn)行現(xiàn)場的關(guān)鍵數(shù)據(jù)、配置文件的備份。

以上就是天下數(shù)據(jù)小編給大家介紹的等保2.0基本要求有哪些的全部內(nèi)容介紹，可能部分內(nèi)容不完善歡迎聯(lián)系客服進(jìn)行咨詢哦。

現(xiàn)在，為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求，天*下*數(shù)*據(jù)推出了等級保護(hù)2.0解決方案，能為你的等保測評提供關(guān)鍵服務(wù)。

本文鏈接：http://m.51huadong.com/cloundnews/11009143.html