一、信息安全基础标准

1.1、标准化基础

标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据(中华人民共和国标准化法条文规定)。

强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。

标准分五级：国际标准、国家标准、行业标准、地方标准、企业标准。

标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动

实质：通过制定、发布和实施标准，达到统一。

目的：获得最佳秩序和社会效益。

1.2、标准化的地位和作用

标准化为科学管理奠定了基础；

促进经济全面发展，提高经济效益；

标准化是科研、生产、使用三者之间的桥梁；

标准化为组织现代化生产创造了前提条件；

促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益；

合理发展产品品种，提高企业应变能力，以更好地满足社会需求；

保证产品质量，维护消费者利益；

在社会生产组成部分之间进行协调，确立共同遵循的准则，建立稳定的秩序；

在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力方面具有重大作用；

保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。

1.3、我国标准的分级

国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/T XXXX.X-200X GB XXXX-200X

行业标准：需要在全国某个行业范围内统一的技术要求。GA ,SJ

地方标准：需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X

企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X

我国标准化八字原理：

“统一”原理

“简化”原理

“协调”原理

“最优”原理

1.4、IT标准发展趋势

(1)标准逐步从技术驱动向市场驱动方向发展。

(2)信息技术标准化机构由分散走向联合。

(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。

(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。

二、国家关于安全等级保护的发展和相关介绍

2.1、什么是等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（引自《信息安全等级保护管理办法》（公通字[2007]43号））

随着《中华人民共和国网络安全法》的正式发布和施行，“信息安全等级保护”被更名为“网络安全等级保护”。在《网络安全等级保护条例（征求意见稿）》中也指出“国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管。”

2.2、为什么要等级保护

信息安全的等级是客观存在的。
国内信息化发展的地区、行业不均衡的特点，决定信息安全需要满足不同行业、不同发展阶段、不同层次的要求。
有利于突出重点。
有利于控制安全的成本。既有符合性，也能系统化地解决安全问题，建立安全体系。
对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护。
对信息系统中使用的信息安全产品实行按等级管理。
对发生的信息安全事件按照等级进行响应和处理等。

2.3、等级保护发展历程

网络安全等级保护已成为我国网络安全领域的基本制度、基本国策，是保障网络和信息系统安全可控，促进信息化健康发展，维护国家安全、社会秩序和公共利益的重要手段。

2.3.1、等保1.0和2.0区别是什么

网络安全等级保护2.0标准，即《信息安全技术网络安全等级保护基本要求》。

等级保护步入了一个新的阶段，是对网络和信息系统按照重要性等级分级别保护的一种工作。

安全保护等级越高，安全保护能力就越强。

等保筑起了我国网络和信息安全的重要防线。

一方面通过开展等保工作，发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足。
另一方面，通过安全整改，提高网络安全防护能力，降低系统被各种攻击的风险。

等保1.0只针对网络和信息系统，等保2.0则把云计算、大数据、物联网等新业态也纳入了监管，并纳入了《中华人民共和国网络安全法》规定的重要事项。

等保2.0把监管对象从体制内拓展到了全社会。等级保护2.0的深层次推进，将极大促进国家网络安全保障水平的提高、产业的进步。

等保2.0的发布和使用已经非常急迫，它是根据已经实施的《中华人民共和国网络安全法》及当前网络安全的形势变化、任务要求和新技术的发展，重新审视等级保护制度。

2.3.2、互联网企业在等保2.0时代如何做到尽快合规？

公安部信息安全等级保护评估中心测试部副主任张振峰建议：“在建设整改时，首先需要关注身份认证、用户授权、访问控制、安全审计，满足了该4项，一大半的合规要求都满足了，这是基础；还要侧重动态监测预警和快速响应能力的建设，充分发挥自身优势；在新技术背景下，还应该关注云安全产品合规的问题，重点聚焦保障业务数据安全和用户数据隐私保护。”

等保2.0适用的范围更广，对网络安全行业整体的稳步发展有积极的意义，从而促进公司主营业务的拓展。

等保2.0是否更加严格？
等保测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于70分。

简单而言，“差”是在系统中存在高危风险或得分低于70分。相当于等保1.0时代中的不符合。但是可以看出来等保的及格线已经由原先的60分提高到了70分，等保对安全的最低要求显然已经在提高。

为什么要颁布实施等保2.0？
因为“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

等保2.0的发布，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充，是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础

等保1.0相比，等保2.0最大的变化是更加注重全方位主动防御、动态防御、整体防控、动态感知和全面审计，同时将行业安全的关注点从原来的传统系统安全，拓展到了云计算、物联网、大数据平台等新的技术领域。

等保2.0在标准上更强调了 “一个中心、三重防护” 网络安全技术设计架构，一个中心指的是 “安全管理中心”，三重防护御指的是“安全计算环境、安全区域边界、安全通信网络”。同时，等保2.0还强化了可信计算安全技术要求的使用。

覆盖范围更广

等保2.0要求两个覆盖：1. 覆盖各地区、各单位、各部门、各企业、各机构，即覆盖全社会，2. 覆盖所有保护对象，尤其是云计算、移动互联、物联网、工控系统及大数据等新技术应用。

通过准则提高

等保测评结论将由1.0时代的“符合、基本符合、不符合”改为2.0时代的“优、良、中、差”四个等级。等保的及格线由1.0的60分、提升到2.0的70分，企业必须扎实的做好等保安全工作，才能通过测评。

2.4、等级保护建设流程

网络安全等级保护建设流程包括定级、备案、建设整改、等级测评、监督检查五个阶段，天融信可在各阶段提供安全咨询服务，确保用户信息系统满足国家监管要求。等级保护建设流程中涉及角色和分工如下所示：

2.5、网络安全等级保护（等保2.0）整体解决方案

■ 方案背景
当前，网络空间安全形势日益严峻，尤其在复杂、动荡的国际政治背景下，网络空间安全已成为国家安全和社会稳定的重要基石。新修改的《中华人民共和国网络安全法》第二十三条规定，国家实行网络安全等级保护制度，并对网络运营者不履行本法第二十三条的，加大了处罚力度。根据《网络安全等级保护条例（征求意见稿）》，在中华人民共和国境内建设、运营、维护、使用网络（个人及家庭自建自用的网络除外），均需开展网络安全等级保护工作。
■ 方案设计
网络安全等级保护2.0国标由安全通用要求及安全扩展要求构成，安全扩展要求覆盖了云计算、移动互联、物联网和工业控制系统，这里以通用与云计算融合场景为例，统筹考虑商用密码应用安全，设计了如下等级保护3级整体解决方案：

方案设计遵循国标《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在满足通用安全要求的基础上，进一步满足云安全扩展要求，全面符合对应场景下的等级保护建设需要，构建完善的网络安全纵深防御能力。此外，本方案所涉及的密码产品均采用基于国密算法的密码产品，从而兼顾商用密码应用安全建设所需，让等保合规建设同时惠及商用密码应用安全合规。

总体思路上，等级保护从客观现状出发，评估系统当前面临的安全风险，并深入分析导致风险的根本原因，从而得出安全防护需求。对于新建系统，将按照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），结合风险分析做整体设计和建设；对于已有安全措施的，将对照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）进行差距分析，结合风险评估进行整改加固。整改加固以现有安全防范措施为基础进行安全设计，并在通过等级测评后，落实常态化运行维护工作。

方案设计基于网络与安全现状，结合业务保障需求、等保合规需求及行业或领域的相关安全要求，通过统筹规划以构建系统对应级别的网络安全保障能力目标。整体设计重点考虑系统当前存在的重大风险隐患，结合现有安全保护措施，构建一套安全综合防控体系，切实护航系统的持续运行，并通过技术创新、模式创新等持续完善和升级安全防控体系，以适应不断变化的网络空间安全形势。
安全综合防控体系首先遵循《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），从安全技术和安全管理两方面构建体系化安全保障能力。整体方案以等保咨询服务贯穿始终，在落实安全物理环境的基础上，建设“一个中心，三重防护”的技术体系，以及围绕管理制度、管理机构、管理人员、建设管理和运维管理的安全管理体系。技术层面系统性考虑安全通信网络、安全区域边界、安全计算环境的各层面安全要点，在分区分域的基础上，利用一系列安全防范措施保障网络高可用，实现安全通信传输、安全边界隔离、入侵防范、恶意代码防范、安全审计等，并针对整网安全状况进行集中分析和管控，形成安全管理中心；管理层面以等保咨询服务为支撑，结合安全培训服务、代码审计服务、应急预案及演练服务、应急响应服务、日志分析服务等专业安全服务，切实满足安全管理的各项要求。在此基础上，针对日常运维、攻防演练、重保等活动中的安全问题和隐患进行针对性加固，并可基于现实条件进行安全防护的增强设计。在进行针对性安全加固及增强设计后，还可利用大数据、人工智能等技术，构建安全监测预警、事件报告、通报处置、信息共享等能力。此外，方案落地尽可能采用自主可控产品措施，保障供应链安全。

2.5.1、通用安全场景

在各行各业，如政府、卫生、教育等行业的通用场景下，可为不同级别的系统提供等级保护解决方案，这里以四级系统为例。在利用电子门禁、防盗报警、视频监控、动环监控等措施落实安全物理环境的基础上，进行如下安全建设:

安全通信网络：落实网络分区分域，通过链路冗余、负载均衡、流量管控、国密加密通信和可信验证等技术措施确保网络高可用，且网络通信安全可靠。

安全区域边界：通过部署访问控制、准入控制、入侵防范、恶意代码及垃圾邮件防范、数据安全交换、安全审计及可信验证等措施，在安全加固服务等辅助下，识别并防范违规访问、网络攻击、恶意代码等，并可实现跨网安全数据交换，确保区域边界安全。

安全计算环境：利用身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、可信计算，以及数据保密性、完整性和备份恢复等一系列安全措施，配合安全服务，有效管控用户访问行为，有效检测网络攻击和恶意代码，并有效保障数据安全。

安全管理中心：划分专门的安全运维管理区域，建立安全的运维信息传输路径，利用日志审计、态势分析与安全运营平台、多个安全措施的集中管理平台等，收集汇总并集中分析整网安全状况，识别、报警和分析安全事件，留存日志数据不低于6个月等。

2.5.2、云安全场景

当前云计算平台已成为各行各业的重要基础设施，云等保建设重点考虑云平台安全及云租户安全。

云平台等保合规：双链路或多链路冗余，部署具备流控能力的防火墙保障网络高可用，并利用国密VPN实现网络安全通信;在云平台边界互联区部署抗D、入侵防御及防病毒网关，防范从外部发起的各类网络攻击及恶意代码，并在核心交换区部署入侵检测及APT安全监测系统，识别网络中的攻击行为，包括未知威胁，确保区域边界安全;部署虚拟化分布式防火墙，为云平台内的不同虚拟机之间提供安全隔离机制，防范安全威胁的横向扩散;部署日志审计及态势分析与安全运营平台，集中监测及管控整网安全，并保证日志留存符合规定要求。

云租户等保合规：部署云安全资源池，面向不同租户提供灵活可选的、高度覆盖等保相关要求的安全网元，包括但不限于防火墙、负载均衡、Web应用防火墙、入侵防御、入侵检测、终端威胁防御、容器安全、网络审计、数据库审计、日志审计、漏洞扫描、基线管理、自适应安全防御系统等，全面满足安全通信网络、安全区域边界、安全计算环境及安全管理中心所需，帮助云租户构建云环境下的"一个中心，三重防护"纵深防御体系，实现云租户侧各级系统的等保合规。