等級保護2.0-大數據安全要求梳理

一、等級保護2.0簡介

等級保護2.0的相關國標包括：

GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求

GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求

GB/T 37973-2019 信息安全技術 大數據安全管理指南

GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型

其中，等級保護2.0特指22239。22239對各種應用形態提出了不同的要求，包括通用、雲計算應用、移動應用、物聯網應用、工業控制系統應用。從低到高分別爲一級到五級。通常，企業的信息系統的等級保護等級大多數爲二級，部分爲三級。

 

二、數據安全要求

主要從二級、三級等保要求進行描述。級別通常針對外界對系統造成的損害程度進行定義。

第二級安全保護能力指的是：應能夠防護系統免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發現重要的安全漏洞和處置安全事件，在自身遭到損害後，能夠在一段時間內恢復部分功能。

第三級安全保護能力指的是：應能夠在統一安全策略下防護系統免受來自外部有組織的團體、擁有較爲豐富資源的威脅源發起的惡意攻擊、較爲嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發現、監測攻擊行爲和處置安全事件，在自身遭到損害後，能夠較快恢復絕大部分功能。

 

等保要求的基本思想是：一箇中心三重防護。

一箇中心指的是安全管理中心

三重防護指的是安全通信網絡、安全區域邊界、安全計算環境

 

二級要求：

通信網絡包括：網絡架構、通信傳輸、可信驗證

區域邊界包括：邊界防護、訪問控制、入侵防範、惡意代碼防範、安全審計、可信驗證

安全計算環境包括：身份鑑別、訪問控制、安全審計、入侵防範、惡意代碼防範、可信驗證、數據完整性、數據備份恢復、剩餘信息保護、個人信息保護

安全管理中心包括：系統管理、審計管理

 

三級要求：

（粗體爲二級基礎上增加的要求）

通信網絡

網絡架構：

a)應保證網絡設備的業務處理能力滿足業務高峯期需要；
b)應保證網絡各個部分的帶寬滿足業務高峯期需要；
c)應劃分不同的網絡區域，並按照方便管理和控制的原則爲各網絡區域分配地址；
d)應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應採取可靠的技術隔離手段；
e)應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗餘，保證系統的可用性。

通信傳輸：

a)應採用校驗技術或密碼技術保證通信過程中數據的完整性；
b)應採用密碼技術保證通信過程中數據的保密性。

可信驗證：
可基於可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等
進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破
壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心。

區域邊界

邊界防護：

a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；
b)應能夠對非授權設備私自聯到內部網絡的行爲進行檢查或限制；

c)應能夠對內部用戶非授權聯到外部網絡的行爲進行檢查或限制；
d)應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。

訪問控制：

a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；
b)應刪除多餘或無效的訪問控制規則，優化訪問控制列表，並保證訪問控制規則數量最小化；
c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；
d)應能根據會話狀態信息爲進出數據流提供明確的允許/拒絕訪問的能力；
e)應對進出網絡的數據流實現基於應用協議和應用內容的訪問控制。

入侵防範：

a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行爲；
b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行爲；
c)應採取技術措施對網絡行爲進行分析，實現對網絡攻擊特別是新型網絡攻擊行爲的分析；
d)當檢測到攻擊行爲時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警。

惡意代碼與垃圾郵件防範：

a)應在關鍵網絡節點處對惡意代碼進行檢測和清除，並維護惡意代碼防護機制的升級和更新；
b)應在關鍵網絡節點處對垃圾郵件進行檢測和防護，並維護垃圾郵件防護機制的升級和更新。

安全審計：

a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行爲和重要安全事件進行審計；
b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；
c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；
d)應能對遠程訪問的用戶行爲、訪問互聯網的用戶行爲等單獨進行行爲審計和數據分析。

可信驗證：

可基千可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可
信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並
將驗證結果形成審計記錄送至安全管理中心。

安全計算環境

身份鑑別：

a) 應對登錄的用戶進行身份標識和鑑別，身份標識具有唯一性，身份鑑別信息具有複雜度要求並
定期更換；
6) 應具有登錄失敗處理功能，應配置並啓用結束會話、限制非法登錄次數和當登錄連接超時自動
退出等相關措施；
c) 當進行遠程管理時，應採取必要措施防止鑑別信息在網絡傳輸過程中被竊聽；
d) 應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑑別技術對用戶進行身份鑑別，且
其中一種鑑別技術至少應使用密碼技術來實現。

訪問控制：

a) 應對登錄的用戶分配賬戶和權限；
b) 應重命名或刪除默認賬戶，修改默認賬戶的默認口令；
c) 應及時刪除或停用多餘的、過期的賬戶，避免共享賬戶的存在；
d) 應授予管理用戶所需的最小權限，實現管理用戶的權限分離；
e) 應由授權主體配置訪問控制策略，訪間控制策略規定主體對客體的訪間規則；
f) 訪間控制的粒度應達到主體爲用戶級或進程級，客體爲文件、數據庫表級；
g) 應對重要主體和客體設置安全標記，並控制主體對有安全標記信息資源的訪問。

安全審計：

a) 應啓用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行爲和重要安全事件進行審計；
b) 審計記錄應包括事件的H期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；
c) 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；
d) 應對審計進程進行保護，防止未經授權的中斷。

入侵防範：

a) 應遵循最小安裝的原則，僅安裝需要的組件和應用程序；
b) 應關閉不需要的系統服務、默認共享和高危端口；
c) 應通過設定終端接入方式或網絡地址範圍對通過網絡進行管理的管理終端進行限制；
d) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設
定要求；
e) 應能發現可能存在的已知浦洞，並在經過充分測試評估後，及時修補漏洞；
f) 應能夠檢測到對重要節點進行入侵的行爲，並在發生嚴重入侵事件時提供報警。

惡意代碼防範：

應採用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行爲，並將其
有效阻斷。

可信驗證：

可基於可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，
並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心。

數據完整性：

a) 應採用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限千鑑別數據、重
要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；
b) 應採用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限於鑑別數據、重
要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。

數據保密性：

a) 應採用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限於鑑別數據、重要業務數據
和重要個人信息等；
b) 應採用密碼技術保證重要數據在存儲過程中的保密性，包括但不限千鑑別數據、重要業務數據
和重要個人信息等。

數據備份恢復：

a) 應提供重要數據的本地數據備份與恢復功能；
b) 應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；
c) 應提供重要數據處理系統的熱冗餘，保證系統的高可用性。

剩餘信息保護：

a) 應保證鑑別信息所在的存儲空間被釋放或重新分配前得到完全清除；
b) 應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。

個人信息保護：
a) 應僅採集和保存業務必需的用戶個人信息；
b) 應禁止未授權訪問和非法使用用戶個人信息。

安全管理中心

系統管理：

a) 應對系統管理員進行身份鑑別，只允許其通過特定的命令或操作界面進行系統管理操作，並對
這些操作進行審計；
b) 應通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、
系統加載和啓動、系統運行的異常處理、數據和設備的備份與恢復等。

審計管理：

a) 應對審計管理員進行身份鑑別，只允許其通過特定的命令或操作界面進行安全審計操作，並對
這些操作進行審計；
b) 應通過審計管理員對審計記錄應進行分析，並根據分析結果進行處理，包括根據安全審計策略
對審計記錄進行存儲、管理和查詢等。

安全管理：

a) 應對安全管理員進行身份鑑別，只允許其通過特定的命令或操作界面進行安全管理操作，並對
這些操作進行審計；
b) 應通過安全管理員對系統中的安全策略進行配置，包括安全參數的設置，主體、客體進行統一
安全標記，對主體進行授權，配置可信驗證策略等。

集中管控：

a) 應劃分出特定的管理區域，對分佈在網絡中的安全設備或安全組件進行管控；
b) 應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；
c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；
d) 應對分散在各個設備上的審計數據進行收集彙總和集中分析，並保證審計記錄的留存時間符
合法律法規要求；
e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；
f) 應能對網絡中發生的各類安全事件進行識別、報警和分析。

 

大數據應用場景說明

大數據應用是基於大數據平臺對數據的處理過程，通常包括數據採集、數據存儲、數據應用、數據交換和數據銷燬等環節，上述各個環節均需要對數據進行保護，通常需考慮的安全控制措施包括數據採集授權、數據真實可信、數據分類標識存儲、數據交換完整性、敏感數據保密性、數據備份和恢復、數據輸出脫敏處理、敏感數據輸出控制以及數據的分級分類銷燬機制等。大數據平臺是爲大數據應用提供資源和服務的支撐集成環境，包括基礎設施層、數據平臺層和計算分析層。大數據系統除按照22239標準的要求進行保護外，還需要考慮其特點。

第三級可參考安全控制措施
安全物理環境
應保證承載大數據存儲、處理和分析的設備機房位於中國境內。

安全通信網絡
本方面控制措施包括：
a) 應保證大數據平臺不承載高於其安全保護等級的大數據應用；
b) 應保證大數據平臺的管理流量與系統業務流量分離。
安全計算環境
本方面控制措施包括：
a) 大數據平臺應對數據採集終端、數據導入服務組件、數據導出終端、數據導出服務組件的使用實施身份鑑別；
b) 大數據平臺應能對不同客戶的大數據應用實施標識和鑑別；
c) 大數據平臺應爲大數據應用提供集中管控其計算和存儲資源使用狀況的能力；
d) 大數據平臺應對其提供的輔助工具或服務組件，實施有效管理；
e) 大數據平臺應屏蔽計算、內存、存儲資源故障，保障業務正常運行；
f) 大數據平臺應提供靜態脫敏和去標識化的工具或服務組件技術；
g) 對外提供服務的大數據平臺，平臺或第三方只有在大數據應用授權下纔可以對大數據應用的數據資源進行訪問、使用和管理；
h) 大數據平臺應提供數據分類分級安全管理功能，供大數據應用針對不同類別級別的數據採取不同的安全保護措施；
i) 大數據平臺應提供設置數據安全標記功能，基於安全標記的授權和訪問控制措施，滿足細粒度授權訪問控制管理能力要求；
j) 大數據平臺應在數據採集、存儲、處理、分析等各個環節，支持對數據進行分類分級處置，並保證安全保護策略保持一致；
k) 涉及重要數據接口、重要服務接口的調用，應實施訪問控制，包括但不限千數據處理、使用、分析、導出、共享、交換等相關操作；
1) 應在數據清洗和轉換過程中對重要數據進行保護，以保證重要數據清洗和轉換後的一致性，避免數據失真，並在產生問題時能有效還原和恢復；
m) 應跟蹤和記錄數據採集、處理、分析和挖掘等過程，保證溯源數據能重現相應過程，溯源數據滿足合規審計要求；
n) 大數據平臺應保證不同客戶大數據應用的審計數據隔離存放，並提供不同客戶審計數據收集彙總和集中分析的能力。

安全建設管理
本方面控制措施包括：
a) 應選擇安全合規的大數據平臺，其所提供的大數據平臺服務應爲其所承載的大數據應用提供相應等級的安全保護能力；
b) 應以書面方式約定大數據平臺提供者的權限與責任、各項服務內容和具體技術指標等，尤其是安全服務內容；
c) 應明確約束數據交換、共享的接收方對數據的保護責任，並確保接收方有足夠或相當的安全防護能力。

安全運維管理
本方面控制措施包括：
a) 應建立數字資產安全管理策略，對數據全生命週期的操作規範、保護措施、管理人員職責等進行規定，包括並不限於數據採集、存儲、處理、應用、流動、銷燬等過程；
b) 應制定並執行數據分類分級保護策略，針對不同類別級別的數據制定不同的安全保護措施；
c) 應在數據分類分級的基礎上，劃分重要數字資產範削，明確重要數據進行自動脫敏或去標識的使用場景和業務處理流程；
d) 應定期評審數據的類別和級別，如需要變更數據的類別或級別，應依據變更審批流程執行變更。