近日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了1项通信领域的强制性国家标准:GB 40050-2021《网络关键设备安全通用要求》。这项标准是工业和信息化部为落实《中华人民共和国网络安全法》中有关网络关键设备安全的要求,组织相关研究机构编制的一项重要标准。标准将于2021年8月1日正式实施。
标准主要内容包括安全功能要求和安全保障要求
安全功能要求聚焦于保障和提升设备的安全技术能力,主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。
安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,主要包括设计和开发、生产和交付、运行和维护三个环节的要求。
01、什么是网络关键设备?
网络关键设备是指支持联网功能,在同类网络设备中具有较高性能的设备,此类设备通常作为重要网络节点,安装在重点部位或重要系统中,一旦遭到破坏,可能引发重大网络安全问题。
02、怎样进行信息系统安全工作,实现全生命周期防护?
1、结构化及纵深防御保护框架
在信息系统建设初期,考虑系统框架设计的时候要基于结构化保护思想,覆盖整体网络、区域边界、计算环境的关键保护设备和保护部件本身,并在这些保护部件的基础上系统性地建立安全框架。使得计算环境中的应用系统和数据不仅获得外围保护设备的防护,而且其计算环境内的操作系统、数据库自身也具备相应的安全防护能力。同时要明确定义所有访问路径中各关键保护设备及安全部件间接口,以及各个接口的安全协议和参数,这将保证主体访问客体时,经过网络和边界访问应用的路径的关键环节,都受到框架中关键保护部件的有效控制。
在安全保障体系的设计过程中,必须对核心业务系统的各层边界进行全面分析和纵深防御体系及策略设计,在边界间采用安全强隔离措施,为核心业务系统建立一个在网络层和应用层同时具备较大纵深的防御层次结构,从而有效抵御外部通过网络层和应用层发动的入侵行为。
2、全生命周期的闭环安全设计
在进行信息系统的安全保障体系建设工作时,除设计完善的安全保障技术体系外,还必须设计建立完整的信息安全管理体系、常态化测评体系、集中运维服务体系以及应急和恢复体系,为核心信息系统提供全生命周期的安全服务。
3、信息系统的分域保护机制
针对业务的关键程度或安全级别进行重点的保护,而安全域划分是进行按等级保护的重要步骤。
4、融入可信计算技术
融入可信计算技术,除重视安全保障设备提供的安全防护能力外,核心业务系统安全保障体系的设计将强调安全保障设备的可靠性和关键保护部件自身安全性,为核心业务系统建立可信赖的运行环境。
5、细化安全保护策略与保障措施
在核心业务系统不同区域边界之间基本都以部署防火墙为鲜明特点,强化网络安全策略,根据策略控制进出网络的信息,防止内部信息外泄和抵御外部攻击。
在核心业务系统内网的核心交换边界部署网络入侵检测系统,对网络边界处入侵和攻击行为进行检测,并在最重要的区域和易于发生入侵行为的网络边界进行网络行为监控。在区域边界处部署防病毒网关,对进出网络的数据进行扫描,可以把病毒拦截在外部,减少病毒渗入内网造成危害的可能。
6、常态化的安全运维
定期的评估、检查加固、应急响应机制及持续改进措施,以确保安全体系的持续有效性。
(1)定期进行信息安全等级保护测评
(2)定期进行安全检查及整改
(3)定期进行渗透测试
(4)定期进行安全教育培训