浅析等保2.0的变化
在网络安全领域,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准在2019年5月13日正式发布,2019年12月1日开始实施。这是继2008年正式发布等保1.0十余年来的重大突破,等级保护工作最重要的标准依据即将落地执行。此系列标准可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力,保障网络的稳定运行。
等级保护安全框架
等级保护2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家保护空间安全具有重要的意义。
名称和结构变化
等保2.0将原标准由“信息安全技术 信息系统安全等级保护基本要求”变更为“信息安全技术 网络安全等级保护基本要求”
等保2.0调整分类结构为:
安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理。
要求项变化
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式为基础信息网络、信息系统(包含采用移动互联技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。
为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等保2.0调整各个级别的安全要求为:
安全通用要求
云计算安全扩展要求
移动互联安全扩展要求
物联网安全扩展要求
工业控制系统安全扩展要求。
云计算
云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括:
“基础设施的位置”
“虚拟化安全保护”
“镜像和快照保护”
“云服务商选择”
“云计算环境管理”等。
移动互联
针对移动互联环境主要增加的内容包括:
“无线接入点的物理位置”
“移动终端管控”
“移动应用管控”
“移动应用软件采购”
“移动应用软件开发”等。
物联网
物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:
“感知节点的物理防护”
“感知节点设备安全”
“感知网关节点设备安全”
“感知节点的管理”
“数据融合处理”等。
工业控制系统
工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括:
“室外控制设备防护”
“工业控制系统网络架构安全”
“拨号使用控制”
“无线使用控制”
“控制设备安全”等。
基于以上这些变化,等级保护2.0的基本要求、测评要求和设计技术要求统一框架,构建“一个中心,三重防护”的安全体系;以通用安全要求和新型应用安全扩展要求将云计算、移动互联、物联网、工业控制系统等列入了标准规范体系,重点对以上这些进行全方位安全防护,确保关键信息基础设施的安全。
等级保护制度是中国网络安全保障工作的伟大创举,是网络安全的基石,要深入推进等级保护制度,落实《网络安全法》,把我国等级保护制度推进到一个新的高度,推动国家网络安全工作进入一个新时代。
无上一篇