0
雷鋒網消息,5月13日下午,國家標準新聞發布會在市場監管總局馬甸辦公區新聞發布廳召開,網絡安全等級保護制度2.0標準正式發布,實施時間為2019年12月1日。
由于業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有基礎信息網絡、信息系統、云計算平臺、大數據平臺、物聯網系統、工業控制系統等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標準體系需要提升臺階,去適應新技術的發展,等級保護的相關標準也需要跟上新技術的變化。
“等保1.0”的標準體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此“等保2.0“應運而生。
等級保護2.0安全框架
與等保1.0相比,,等保2.0發生了哪些重要變化?
首先,安全內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),并進一步演進為面向網絡空間的網絡安全。網絡安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網絡安全法》明確規定“國家實行網絡安全等級保護制度“,相關法律條文和標準也需保持一致性,“等保2.0“與時俱進的將原標準的”信息系統安全等級保護“改為”網絡安全等級保護“,例如《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。
等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標準進行修訂和完善,以滿足新形勢下等級保護工作的需要,其中《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全安全等級保護基本要求》、《信息安全技術 網絡安全等級保護安全設計要求》已于2019年5月10日發布,并將在2019年12月1日實施。
在開展網絡安全等級保護工作中應首先明確等級保護對象。
等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統。隨著云計算平臺、物聯網、工業控制系統等新形態的等級保護對象不斷涌現,原定義內涵局限性日益顯現。
等保2.0定義等級保護對象為:包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求。其中包括:云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。
針對云計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求:
云計算
云計算安全擴展要求針對云計算的特點提出特殊保護要求。云計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”等方面。
移動互聯
針對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。
物聯網
物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。
工業控制系統
工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。
以基本要求為例,充分體現一個中心,三重防御的思想(和GB/T 25070保持一致,與設計要求融合)。
總體來說,等級保護的基本要求、測評要求和設計技術要求統一框架,構建“一個中心,三重防護“的安全體系;通用安全要求+新型應用安全擴展要求,將云計算、移動互聯、物聯網、工業控制系統等列入了標準規范。
基于這些變化,進入等保2.0時代,應重點對云計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。
文章由山石網科投稿,雷鋒網授權編輯。
雷鋒網雷鋒網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
