解讀等保2.0標(biāo)準(zhǔn)新變化
發(fā)布時間:2019年6月6日
版塊:行業(yè)新聞
等級保護制度是我國在網(wǎng)絡(luò)安全領(lǐng)域的基本制度����、基本國策,是國家網(wǎng)絡(luò)安全意志的體現(xiàn)����?��!毒W(wǎng)絡(luò)安全法》出臺后����,等級保護制度更是提升到了法律層面��,等保2.0在1.0的基礎(chǔ)上��,更加注重全方位主動防御����、動態(tài)防御��、整體防控和精準(zhǔn)防護�����,除了基本要求外����,還增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)��、工業(yè)控制和大數(shù)據(jù)等對象全覆蓋�。等保2.0標(biāo)準(zhǔn)的發(fā)布,對加強中國網(wǎng)絡(luò)安全保障工作��,提升網(wǎng)絡(luò)安全保護能力具有重要意義���。
等級保護2.0安全框架
那么等保2.0究竟發(fā)生了哪些變化�����,由等保1.0時代的不溫不火演變成2.0時代的風(fēng)口浪尖呢�?
等保2.0時代�,監(jiān)管對象從傳統(tǒng)信息系統(tǒng)變成了網(wǎng)絡(luò)安全等級保護對象,一個業(yè)務(wù)系統(tǒng)一個平臺都會納入等級保護范圍之內(nèi)��,未來監(jiān)管機構(gòu)在檢查的時候?qū)τ诰唧w的技術(shù)措施���、安全措施做一些相應(yīng)的檢查��,同時還會升級現(xiàn)有的技術(shù)手段�,應(yīng)對分領(lǐng)域的技術(shù)檢查����。
等保2.0時代���,合規(guī)測評在測評的對象,測評依據(jù)����、等級保護報告模版以及等保的測評結(jié)論上都進行了相應(yīng)的完善;比如在云計算環(huán)境下�,測評對象需要考慮虛擬化技術(shù)的應(yīng)用導(dǎo)致很多虛擬計算對象;測評依據(jù)能否滿足虛擬化技術(shù)的要求��;等保報告上需要考慮引入云平臺與云租戶后����,在等保報告上得分的依賴關(guān)系;最后是對于承載了多業(yè)務(wù)系統(tǒng)的平臺�����,其平臺的測評報告是多業(yè)務(wù)系統(tǒng)可以共用的�。
等保2.0時代��,在合規(guī)性建設(shè)方面���,更加強調(diào)云平臺整體���;特別是基于4A的統(tǒng)一身份認(rèn)證����、統(tǒng)一用戶授權(quán)���,統(tǒng)一賬戶管理�,統(tǒng)一安全審計�����,同時要強調(diào)平臺內(nèi)部通訊的加密以及相互之間的認(rèn)證和動態(tài)預(yù)警還有快速響應(yīng)能力建設(shè)安全服務(wù)產(chǎn)品的合規(guī)�����。
01���、標(biāo)準(zhǔn)名稱的變化
等保2.0將原來的標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》�,與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致�。
02、保護對象的變化
在開展網(wǎng)絡(luò)安全等級保護工作中應(yīng)首先明確等級保護對象���。
等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)���。隨著云計算平臺�����、物聯(lián)網(wǎng)�、工業(yè)控制系統(tǒng)等新形態(tài)的等級保護對象不斷涌現(xiàn)�,原定義內(nèi)涵局限性日益顯現(xiàn)。
等保2.0定義等級保護對象為:包括基礎(chǔ)信息網(wǎng)絡(luò)��、云計算平臺/系統(tǒng)��、大數(shù)據(jù)應(yīng)用/平臺/資源�����、物聯(lián)網(wǎng)���、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。
03�����、標(biāo)準(zhǔn)內(nèi)容的變化(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
等保2.0安全通用要求是普適性要求,是不管等級保護對象形態(tài)如何����,必須滿足的要求。其中包括:云計算安全擴展要求�����、移動互聯(lián)安全擴展要求����、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求���。
針對云計算���、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)��,除了滿足安全通用要求外�����,還需滿足的補充要求稱為安全擴展要求:
云計算
云計算安全擴展要求針對云計算的特點提出特殊保護要求���。云計算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”���、“虛擬化安全保護”����、“鏡像和快照保護”���、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面���。
移動互聯(lián)
針對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”���、“移動應(yīng)用管控”����、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面�。
物聯(lián)網(wǎng)
物聯(lián)網(wǎng)安全擴展要求針對物聯(lián)網(wǎng)的特點提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護”����、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面��。
工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)安全擴展要求針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求����。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護”����、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”���、“無線使用控制”和“控制設(shè)備安全”等方面����。
04����、控制措施分類結(jié)構(gòu)的變化
等保2.0由舊標(biāo)準(zhǔn)的10個分類調(diào)整為8個分類,分別為:
技術(shù)部分:物理和環(huán)境安全�、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全�����、應(yīng)用和數(shù)據(jù)安全;
管理部分:安全策略和管理制度��、安全管理機構(gòu)和人員����、安全建設(shè)管理、安全運維管理�����。
05���、標(biāo)準(zhǔn)控制點和要求項的變化
等保2.0在控制點要求上并沒有明顯增加�����,通過合并整合后相對舊標(biāo)準(zhǔn)略有縮減�����。
控制點變化對比表
要求項變化對比表
06�、等保2.0技術(shù)部分變化簡析
舊標(biāo)準(zhǔn)更偏重于對于防護的要求��,而等保2.0標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢的發(fā)展�,結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》中對于持續(xù)監(jiān)測����、威脅情報��、快速響 應(yīng)類的要求提出了具體的落地措施���。下面簡析等保2.0的部分技術(shù)措施:
總而言之,等保2.0較之前的舊標(biāo)準(zhǔn)可以說有突破性的進展�,尤其在移動互聯(lián)、云計算�����、物聯(lián)網(wǎng)等新的業(yè)務(wù)環(huán)境均提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)����,是當(dāng)前構(gòu)建網(wǎng)絡(luò)安全體系架構(gòu)的重要建設(shè)思路,積極落實網(wǎng)絡(luò)安全等級保護制度����,不僅僅能夠滿足相關(guān)法律的合規(guī)性要求,更能提升整體網(wǎng)絡(luò)的綜合安全防護能力���,真正幫助企業(yè)用戶保障網(wǎng)絡(luò)�����、數(shù)據(jù)和業(yè)務(wù)的安全性�!
