公安部信息安全等級保護(hù)評估中心的專家馬力,為我們深入解讀了網(wǎng)絡(luò)安全等級保護(hù)2.0(簡稱“等保2.0”)體系中的主要標(biāo)準(zhǔn),特別是在網(wǎng)絡(luò)與信息安全軟件開發(fā)領(lǐng)域的應(yīng)用與要求。等保2.0標(biāo)志著我國網(wǎng)絡(luò)安全保護(hù)工作進(jìn)入了一個(gè)新的階段,其標(biāo)準(zhǔn)體系更加全面、系統(tǒng),對技術(shù)、管理和運(yùn)維提出了更高、更具體的要求。
一、等保2.0標(biāo)準(zhǔn)體系的重大轉(zhuǎn)變
等保2.0的核心標(biāo)準(zhǔn),包括《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T 28448-2019)等,實(shí)現(xiàn)了從“信息安全”到“網(wǎng)絡(luò)安全”的視角擴(kuò)展。它不再局限于傳統(tǒng)的計(jì)算機(jī)信息系統(tǒng),而是覆蓋了云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用,實(shí)現(xiàn)了全覆蓋。這一轉(zhuǎn)變對軟件開發(fā),尤其是安全軟件開發(fā),提出了貫穿全生命周期的合規(guī)性要求。
二、對網(wǎng)絡(luò)與信息安全軟件開發(fā)的核心要求
在等保2.0框架下,安全軟件的開發(fā)不再僅僅是功能實(shí)現(xiàn),更是安全能力的構(gòu)建。主要標(biāo)準(zhǔn)要求體現(xiàn)在以下幾個(gè)方面:
- 安全設(shè)計(jì)與開發(fā)過程合規(guī):等保2.0強(qiáng)調(diào)“安全左移”,要求安全需求在軟件設(shè)計(jì)階段就必須被明確和融入。開發(fā)過程需遵循安全開發(fā)生命周期(SDLC),進(jìn)行威脅建模、安全編碼、代碼審計(jì)和漏洞管理。對于高等級(第三級及以上)的系統(tǒng),標(biāo)準(zhǔn)明確要求對關(guān)鍵代碼進(jìn)行安全審查。
- 數(shù)據(jù)安全與隱私保護(hù):標(biāo)準(zhǔn)對數(shù)據(jù)的安全性,包括數(shù)據(jù)的采集、傳輸、存儲、處理、交換和銷毀的全生命周期保護(hù),提出了分級分類的嚴(yán)格要求。安全軟件開發(fā)必須內(nèi)置數(shù)據(jù)加密、訪問控制、脫敏、完整性校驗(yàn)等機(jī)制,并滿足《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)的合規(guī)要求。
- 自身安全性與抗攻擊能力:作為安全產(chǎn)品,其自身必須具有高強(qiáng)度的安全防護(hù)能力。這包括但不限于:具備完善的身份鑒別、訪問控制、安全審計(jì)功能;軟件自身需防范注入攻擊、緩沖區(qū)溢出等常見漏洞;對于云安全軟件、終端安全軟件等,還需具備防篡改、防逆向分析的能力。
- 可審計(jì)與可追溯:等保2.0強(qiáng)化了安全審計(jì)的要求。安全軟件必須能夠記錄詳細(xì)的安全日志,包括用戶行為、系統(tǒng)事件、異常告警等,并保證日志的完整性、保密性和可追溯性,以滿足事后審計(jì)和取證的需求。
- 與等級保護(hù)對象的協(xié)同防護(hù):安全軟件作為整個(gè)信息系統(tǒng)安全防護(hù)體系的一部分,其部署和運(yùn)行必須符合該信息系統(tǒng)所定等級的整體安全要求。例如,在三級系統(tǒng)中,安全軟件的管理后臺訪問應(yīng)啟用雙因素認(rèn)證,其通信傳輸應(yīng)進(jìn)行加密。
三、對軟件開發(fā)者的啟示與行動指南
馬力專家指出,等保2.0不僅是監(jiān)管要求,更是指導(dǎo)安全軟件高質(zhì)量發(fā)展的技術(shù)藍(lán)圖。對于軟件開發(fā)者而言,應(yīng):
- 樹立合規(guī)開發(fā)意識:將等保2.0的相關(guān)標(biāo)準(zhǔn)要求作為產(chǎn)品研發(fā)的基線要求,融入產(chǎn)品規(guī)劃和設(shè)計(jì)文檔。
- 構(gòu)建安全開發(fā)流程:建立或完善覆蓋需求、設(shè)計(jì)、編碼、測試、部署、運(yùn)維的全流程安全管理體系。
- 加強(qiáng)安全測試與驗(yàn)證:引入自動化安全測試工具,定期進(jìn)行滲透測試和漏洞掃描,確保產(chǎn)品上線前符合相應(yīng)等級的安全要求。
- 關(guān)注供應(yīng)鏈安全:對使用的第三方組件、開源軟件進(jìn)行安全管理,避免引入已知高危漏洞。
- 準(zhǔn)備等級測評:了解等級測評的流程與要求,在產(chǎn)品設(shè)計(jì)和開發(fā)階段就為未來的測評做好準(zhǔn)備,確保軟件能夠順利通過測評并支撐所在系統(tǒng)定級。
網(wǎng)絡(luò)安全等級保護(hù)2.0為標(biāo)準(zhǔn)下的網(wǎng)絡(luò)與信息安全軟件開發(fā)指明了方向。開發(fā)者需要深入理解標(biāo)準(zhǔn)內(nèi)涵,將安全能力深度植入軟件基因,才能構(gòu)建出真正可靠、合規(guī)、有效的網(wǎng)絡(luò)安全產(chǎn)品,為我國網(wǎng)絡(luò)空間的安全穩(wěn)固貢獻(xiàn)力量。