中小企业等保建设白皮书

中小企业等保建设白皮书一、等保介绍及发展概述1.1

等保简介等保即网络安全等级保护，是指根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。网络安全等级保护制度是中国信息安全保障的基本制度，也是中国网络空间安全保障体系的重要支撑。等级保护的主体是执行网络业务的单位，一旦发生网络安全事故，这些主体需要承担相应的责任。网安部门具有认定等保主体的权力。网络安全法明确表示，在中华人民共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。无论网络运营者的单位性质是政府机构还是个人企业；无论提供的是访问服务还是云服务或者工业控系统；无论是关键信息基础设施还是一般网络，只要在境内运营的网络都必须展开等级保护工作。1.2

等保的发展历程1.2.1

国外相关制度研究TCSEC带动了国际计算机安全的评估研究，90

年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC），ITSEC（又称欧洲白皮书）除了

TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。1.2.2

等保

1.0

到等保

2.01.3

等保实施1.3.1

等保相关政策法规标准等保相关法规条例文件有：中华人民共和国计算机信息系统安全保护条例（1994

国务院

147

号令）中华人民共和国网络安全法计算机信息系统安全保护等级划分准则（GB17859

－

1999）国家信息化领导小组关于加强信息安全保障工作的意见（中办发

[2003]27

号）关于信息安全等级保护工作的实施意见（公通字

[2004]66

号）信息安全等级保护管理办法公通字

[2007]43

号关于开展全国重要信息系统安全等级保护定级工作的通知（公信安

[2007]861

号）关键信息基础设施安全保护条例（征求意见稿）（国家互联网信息办公室

2017

年

7

月

10

号发）等保相关标准有：GB17859-1999

计算机信息系统

安全保护等级划分准则GB/T25058-2019

信息安全技术

网络安全等级保护实施指南GB/T28448-2019

信息安全技术

网络安全等级保护测评要求GB/T22239-2019

信息安全技术

网络安全等级保护基本要求GB/T25070-2019

信息安全技术

网络安全等级保护安全设计技术要求GB/T22240-2008

信息安全技术

信息系统安全等级保护定级指南GB/T28449-2018

信息安全技术

网络安全等级保护测评过程指南1.3.2

等保定级在信息安全等级保护管理办法中，信息系统的保护等级被划分为五级：系统定级流程包括：1.3.3

等保的意义在实际工作中，等保的意义在于将社会上的每一个政企机构都拉动起来进行网络安全建设，让每个政企的领导都重视网络安全建设，不因预算，不因人员原因减少网络安全的关注程度。二、等保合规要求下的网络安全能力建设在等级保护的要求当中，安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”。管理要求部分为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”，两者合计共分为

10

大类。在等保合规建设当中，通常采用“一个中心，三重防护“的建设理念。即建立以安全管理中心为顶层设计，并同时建立安全计算环境、安全区域边界及安全通信网络的三重技术防护策略。2.1

安全通信网络安全通信网络是指一套业务可靠、数据安全通讯环境。在等保

2.0

中，安全通信网络主要包括“网络架构“、”通信传输“和”可信验证“三个控制点。针对这三个点的可靠性检查是等保合规的重要内容。2.2

安全区域边界安全区域边界是等保

2.0

新增的内容，是对安全边界防护的要求。安全区域边界在等保

1.0

当中是网络安全控制项的一部分，但因为内容涵盖较多，且重要，因此在等保

2.0

中将安全区域边界整合为一个新的控制项。安全区域边界的控制项包括：边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证、接入控制、拨号使用控制、无线使用控制等。安全区域边界的控制项构成了网络安全防护的基本要求。目前大部分政企机构通过部署边界防护设备、能够达到此控制项的要求。2.3

安全计算环境安全计算环境是等保

2.0

技术要求的一部分，涉及安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。在等保检查中，会对终端设备、网络设备、安全设备、应用系统和数据系统等进行检查。2.4

安全管理中心网安法第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。这就要求必须建设统一的安全管理中心，针对安全计算环境、安全区域边界和安全通信网络这三重防护技术，实现统一的管理、监控、分析和审计，形成立体综合的协同防护机制。安全管理中心是技术部分的核心，主要包括系统管理、审计管理、安全管理和集中管控四个控制点，其中以集中管控为核心。在等保建设中，需要添加系统管理员、审计管理员、安全管理员三个角色。2.5

一个中心三重防护的意义所谓“一个中心三重防护”，就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。“一个中心三重防护”将等保检查的项目进行了梳理，将等保控制项进行了划分。目前主流的等保建设服务甲方用户均按照“一个中心三重防护”的思路给予建设建议。等保技术建设规范为“一个中心三重防护”有助于将信息安全产品松耦合，可以让甲方用户进行综合考虑和选择。三、中小企业合规与能力建设思路为了进一步中小机构的等保需求现状和信息安全能力建设现状，安全牛采访了

8

个甲方用户，他们来自金融、交通、政府等多个涉及到基础民生的关键基础行业行业。通过调研他们在等保合规建设当中遇到的问题和解决方法，对中国中小机构在等保合规建设的情况进行概览。3.1

中小机构对等保合规的诉求我们共调研了八个甲方用户，其等保需求各不相同。综合来看，甲方对等保合规诉求可以分为两类。其中一类甲方用户，由于日常工作偏向传统行业，其信息安全建设围绕等保合规需求进行，安全建设的诉求为等保合规。在等保

2.0

要求落地后，这类甲方用户在建设上基本依照等保控制点进行，踩点合规即可。另一类甲方用户对信息产业依赖较强，通常本身就建有信息安全体系，在自有的信息安全架构上进行能力建设。这类甲方用户在等保

2.0

要求落地后，会依照等保

2.0

标准对未满足的控制点进行有针对性的建设。3.2

中小机构等保合规体系建设中遇到的问题3.2.1

中小型机构的业务系统有自身的特点3.2.2.

中小型机构网络安全管理建设特点3.2.3

中小机构等保合规建设中遇到的问题3.2.4

中小企业的等保合规解决思路四、新华三助力等保合规建设针对中小机构的网络安全建设特点，新华三提出了基于安管一体机的“等保

+”等保合规建设解决方案。此解决方案聚焦技术和管理同步的安全能力建设工作，切实帮助中小机构达到等保合规的需求。五、观点发现等保是一套可落地的网络安全工程指引，可以视为一套业务系统的“健康宝”。纵使满足等保合规的要求，获得业务系统的“绿码”也无法完全杜绝网络攻击，但是等保一定是一套最易于推广，最容易达成的安全基线，展示该业务系统“基本健康”。中小机构存在自身的特点，其信息化预算、人力、时间投入有限，而其中网络安全能力建设在更会存在一定的压力。在对中小企业进行等保合规建设建议时，我们不能脱离中小企业能力的局限性。一套完整的、先进的信息安全解决方案虽然能够切实满足等保需求，但是成为了中小企业的一个负担，反而让信息化无法有效进行。在这个前提下，两步走战略无疑是最佳选择。首先，选择适合自身的等保合规防护设备，满足等保合规的要求，这是网络安全能力建设的第一步；然后在达