新基建动能下,网络安全如何应对新挑战?内附常用网络安全标准汇总
近日,在第八届互联网安全大会推出的5G安全与发展论坛上,中国工程院院士沈昌祥发表演讲,探讨了新基建时代网络安全的实质以及如何筑牢网络安全防线等问题。这里摘编发言部分内容,大家一起来看。
作为国家经济发展战略,新基建正在显示出强大的动能,但对网络安全也提出了更严峻的挑战。我们必须积极应对垄断网络空间的霸权威胁,筑牢网络安全防线。
树立安全可信的网络安全观
网络空间已经成为继陆海空天之后的第五大主权空间。“没有网络安全就没有国家安全”,筑牢网络安全防线是我们的历史使命。
● 2017年5月12日,永恒之蓝勒索病毒用一天时间,使全球150多个国家的教育卫生系统瘫痪;
● 2018年,全球最大集成电路制造厂商台积电的台北、台东、台南三个基地被勒索病毒入侵至停摆,一天损失十几亿美元。
我们必须要推广安全可信的网络产品和服务,按照国家网络安全空间的战略,加快安全可信产品的推广应用。根据网络安全等级保护制度2.0标准,全面推广安全可信的产品来保障关键基础设施的安全。
认清网络安全实质,化解网络安全风险
现在一些敌对势力通过网络暴恐扰乱社会,破坏国家稳定。同时,美国霸权要制造网络“核武器”,实行网络“核讹诈”。在这些方面,我们有一些脆弱性。我们要降低网络空间的威胁性,才能提高安全性。
世界上所有的安全系统都不可能把所有逻辑都包含在内,因此还存在逻辑不全的缺陷。攻击者利用逻辑缺陷抓住漏洞获取利益,所以安全是永远的命题。
我们要构建主动免疫的防护新体系,完成主动领域的计算目标,确保完成计算任务的逻辑组合不被篡改,不被破坏,实现正确计算。
主动免疫的防护新体系有以下特性:
>>>>
计算同时进行安全防护的新模式
主动免疫可信计算是一种在运算的同时进行安全防护的新计算模式。以密码为基因抗体实现身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,相当于为网络信息系统培育了免疫能力。
>>>>
计算部件+防护部件组成的二重体系结构
这一结构打破了冯·诺依曼的单体系结构,增加了可信密码模块、可信控制平台TPCM等,形成典型的免疫系统。
>>>>
可信安全管理中心支持下的主动免疫三重防护体系结构
三重防护体系结构,和防范新冠肺炎病毒是一样的。首先要保证人体安全、办公室安全,办公室安全就相当于是计算环境安全。其次要保证边界安全,这就相当于进大楼和小区都要接受检查,以控制人们的来往安全,不能让病毒到处扩散。
此外,一个单位的保卫部门相当于系统的资源管理中心,用来保证信息不被泄露。因此,在可信的网络通讯中,安全管理中心非常重要,要构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构。
>>>>
四要素的人机可信交互
在网络安全环境中,人机交互可信作为发挥5G、数据中心等新基建动能作用的源头和前提,必须对主体、客体、操作、环境这四个要素进行可信度量、识别和控制,以纠正传统访问控制策略模型中只基于授权标识属性进行操作。
>>>>
五环节组成的可信设施
加强基础设施全程安全管控,需要用可信密码等技术,检测、预警、恢复等措施确保设施中的体系结构、操作行为、数据存储、策略管理、资源配置等五大环节安全可信。
基于对以上五环节的可信管控,最终可以达到非授权者重要信息拿不到、系统和信息改不了、攻击行为毁不掉、攻击者进不去、窃取保密信息看不懂、系统工作瘫不成的“六个不”的防护效果。
落实等级保护制度,筑牢网络安全防线
等级保护的新标准就是把云计算、移动互联网、物联网、公共系统全部加入在里面,用可信计算为核心技术来做安全防护。
■ 一级防护是基础软件操作系统BUS固件不能篡改;
■ 二级防护是应用程序不能篡改;
■ 三级防护是实时度量、实时监控,在执行过程中,重要点要可信验证,不能篡改,不能有异常的情况发生,而且要及时警报,及时传到管理中心;
■ 四级防护是智能化控制,主要计算节点全部要进行验证,进行动态关联感知,形成实时的态势,解决现在态势感知都是事后诸葛亮的问题,这一点很重要。
当前,全球很关心5G发展。美国以5G安全为由,遏制华为发展。
我们确实要注意5G安全,并一定要与等级保护2.0的标准相关联。网络功能的云化、虚拟化、软件化涉及的切片、边缘计算都是新型计算的技术应用,将使网络变得更加灵活和安全。
我们要按照等级保护2.0标准对5G进行可信建设。我们要用“可信”的方法去解决基站的问题,这样才能解决5G发展的安全问题。此外,我们还要埋头苦干,顶住来自国际的封锁压力,健康发展5G,构建网络空间安全保障体系。
附:常用网络安全标准汇总
1、等保测评
1.1《计算机信息系统 安全等级保护划分准则》GB/17859-1999
1.2《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
1.3《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019
1.4《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019
1.5《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018
1.6《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2018
1.7《信息安全技术 网络安全等级保护测试评估技术指南》GB/T 36627-2018
1.8《信息安全技术 网络安全等级保护安全管理中心技术要求》GB∕T 36958-2018
1.9《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》GB/T 36959-2018
1.10《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010
2、风险评估
2.1《信息安全技术 信息安全风险评估规范》GB/T 20984-2007
2.2《信息安全技术 信息安全风险评估实施指南》GB/T31509-2015
2.3《信息安全技术 信息安全风险处理实施指南》GBT 33132-2016
3、应急响应
3.1《信息安全技术 信息安全应急响应计划规范》GBT 24363-2009
3.2《信息安全技术 信息安全事件管理指南》GB/Z 20985-2007
3.3《信息安全技术 信息安全事件分类分级指南》GB/Z 20986-2007
4、业务连续性/灾难恢复
4.1《公共安全 业务连续性管理体系要求》GB/T 30146-2013
4.2《信息安全技术 信息系统灾难恢复规范》GB/T 20988-2007
4.3《信息安全技术 灾难恢复服务要求》GB/T 36957-2018
4.4《信息安全技术 灾难恢复服务能力评估准则》GB/T 37046-2018
5、系统安全工程
5.1《信息安全技术 系统安全工程能力成熟度模型》GB/T 20261-2006
6、风险管理
6.1《信息安全技术 信息安全风险管理指南》GB/Z 24364-2009
6.2《信息安全技术 信息安全治理》GB/T 32923-2016 ISO/IEC 27014 2013
7、信息安全管理体系
7.1《信息安全技术 信息安全管理体系要求》GB/T 22080-2008
7.2《信息安全技术 信息安全管理体系要求》GB/T 22080-2016
7.3《信息安全技术 信息安全控制实践指南》GB/T 22081-2016
7.4《信息安全技术 信息安全管理体系审核和认证机构要求》GB∕T 25067-2016
7.5《信息安全技术 信息安全控制措施审核员指南》GB/Z 32916-2016
7.6《信息安全技术 信息系统安全管理评估要求》GB/T 28453-2012
7.7《信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型》GB/T 19715.1-2005
7.8《信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全》GB/T 19715.2-2005
7.9《信息安全技术 信息安全管理实用规则》GB/T 19716-2005
8、安全保障评估
8.1《信息安全技术 信息系统安全保障评估框架:简介和一股模型》GB/T 20274.1 2006
8.2《信息安全技术 信息系统安全保障评估框架 第2部分:技术保障》GB/T 20274.2 2008
8.3《信息安全技术 信息系统安全保障评估框架 第3部分:管理保障》GB/T 20274.3 2008
8.4《信息安全技术 信息系统安全保障评估框架 第4部分:工程保障》GB/T 20274.4 2008
9、应用系统安全
9.1《信息安全技术 电子邮件系统安全技术要求》GB/T 37002-2018
9.2《信息安全技术 办公信息系统安全管理要求》GB/T 37094-2018
9.3《信息安全技术 办公信息系统安全基本技术要求》GB/T 37095-2018
9.4《信息安全技术 办公信息系统安全测试规范》GB/T 37096-2018
9.5《信息安全技术计算机终端核心配置基线结构规范》GB∕T35283-2017
10、机房/数据中心
10.1《数据中心设计规范》GB50174-2017
机房标准扩展项:240V336V高压直流相关规范、柴油发电机相关、地方、防雷与接地、配电标准、国家标准、国家标准、国家电网标准、机房环境标准、监控规范标准、金融行业标准、抗震标准、弱点标准、通信行业(邮电类)标准、行业组织标准、蓄电池相关标准、验收规范、运营商、制冷相关、UPS相关规范等。(机房扩展标准太多未一一列出)
11、个人信息安全
11.1《信息安全技术 个人信息安全规范》GB/T35273-2018
11.2《信息安全技术 个人信息安全规范》GB/T35273-2019
11.3《信息安全技术 个人信息去标识化指南》GB/T37964-2019
12、移动安全
12.1《信息安全技术 移动终端安全保护技术要求》GB/T35278-2017
12.2《信息安全技术 移动互联网应用服务器安全技术要求》GB/T 35281-2017
12.3《信息安全技术 电子政务移动办公系统安全技术规范》GB/T 35282-2017
12.4《信息安全技术 移动智能终端安全架构》GB/T 32927-2016
13、物联网安全
13.1《信息安全技术 物联网安全参考模型及通用要求》GB/T 37044-2018
14、工业控制安全
14.1《信息安全技术 工业控制系统安全检查指南》GB∕T37980-2019
14.2《信息安全技术 工业控制系统产品信息安全通用评估准则》GB/T37962-2019
14.3《信息安全技术 工业控制系统安全管理基本要求》GB∕T36323-2018
14.4《信息安全技术 工业控制系统信息安全分级规范》GB∕T36324-2018
14.5《信息安全技术 工业控制系统风险评估实施指南》GB∕T36466-2018
14.6《信息安全技术 工业控制系统安全控制应用指南》GB/T 32919-2016
14.7《信息安全技术 工业控制系统信息安全 第1部分:评估规范》GB/T 30976.1-2014
15、数据安全
15.1《信息安全技术 数据安全能力成熟度模型》GB/T 37988-2019
15.2《信息安全技术 大数据安全管理指南》GB/T 37973-2019
15.3《信息安全技术 大数据服务安全能力要求》GB/T 35274-2017
15.4《数据管理能力成熟度评估模型》GB/T 36073-2018
15.5《信息安全能力成熟度模型_IS_CMM_的建构》
16、云计算安全
16.1《信息安全技术 云计算安全参考架构》GB/T 35279-2017
16.2《信息安全技术 云计算服务安全能力评估方法》GB/T 34942-2017
16.3《信息安全技术 云计算服务安全指南》GB/T 31167-2014
16.4《信息安全技术 云计算服务安全能力要求》GB/T 31168-2014
17、攻防安全
17.1《信息安全技术 网络攻击定义及描述规范》GB/T 37027-2018
17.2《信息安全技术 网络安全威胁信息格式规范》GB∕T 36643-2018
17.3《信息安全技术 网络安全预警指南》GB/T 32924-2016
18、漏洞管理
18.1《信息安全技术 安全漏洞分类》GB/T 33561-2017
18.2《信息安全技术 安全漏洞等级划分指南》GB/T 30279-2013
18.3《信息安全技术 信息安全漏洞管理规范》GB/T 30276-2013
18.4《信息安全技术 安全漏洞标识与描述规范》GB/T 28458-2012
19、信息技术安全性评估
19.1《信息安全技术 信息技术安全评估准则 第1部分:简介和一般模型》GB/T 18336.1-2015
19.2《信息安全技术 信息技术安全评估准则 第2部分:安全功能组件》GB/T 18336.2-2015
19.3《信息安全技术 信息技术安全性评估方法》GB∕T 30270-2013
19.4《信息安全技术 保护轮廓和安全目标的产生指南》GB/Z 20283-2006
(文章来源:聚铭网络)
