解讀等保2.0標(biāo)準(zhǔn)新變化
發(fā)布時(shí)間:2019年6月6日
版塊:行業(yè)新聞
等級(jí)保護(hù)制度是我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的基本制度����、基本國(guó)策�����,是國(guó)家網(wǎng)絡(luò)安全意志的體現(xiàn)?����!毒W(wǎng)絡(luò)安全法》出臺(tái)后��,等級(jí)保護(hù)制度更是提升到了法律層面��,等保2.0在1.0的基礎(chǔ)上���,更加注重全方位主動(dòng)防御���、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)����,除了基本要求外,還增加了對(duì)云計(jì)算�、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)�����、工業(yè)控制和大數(shù)據(jù)等對(duì)象全覆蓋�。等保2.0標(biāo)準(zhǔn)的發(fā)布�����,對(duì)加強(qiáng)中國(guó)網(wǎng)絡(luò)安全保障工作���,提升網(wǎng)絡(luò)安全保護(hù)能力具有重要意義。
等級(jí)保護(hù)2.0安全框架
那么等保2.0究竟發(fā)生了哪些變化���,由等保1.0時(shí)代的不溫不火演變成2.0時(shí)代的風(fēng)口浪尖呢?
等保2.0時(shí)代�,監(jiān)管對(duì)象從傳統(tǒng)信息系統(tǒng)變成了網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象,一個(gè)業(yè)務(wù)系統(tǒng)一個(gè)平臺(tái)都會(huì)納入等級(jí)保護(hù)范圍之內(nèi)����,未來(lái)監(jiān)管機(jī)構(gòu)在檢查的時(shí)候?qū)τ诰唧w的技術(shù)措施、安全措施做一些相應(yīng)的檢查�,同時(shí)還會(huì)升級(jí)現(xiàn)有的技術(shù)手段,應(yīng)對(duì)分領(lǐng)域的技術(shù)檢查���。
等保2.0時(shí)代����,合規(guī)測(cè)評(píng)在測(cè)評(píng)的對(duì)象����,測(cè)評(píng)依據(jù)��、等級(jí)保護(hù)報(bào)告模版以及等保的測(cè)評(píng)結(jié)論上都進(jìn)行了相應(yīng)的完善�����;比如在云計(jì)算環(huán)境下��,測(cè)評(píng)對(duì)象需要考慮虛擬化技術(shù)的應(yīng)用導(dǎo)致很多虛擬計(jì)算對(duì)象���;測(cè)評(píng)依據(jù)能否滿足虛擬化技術(shù)的要求;等保報(bào)告上需要考慮引入云平臺(tái)與云租戶后�����,在等保報(bào)告上得分的依賴關(guān)系���;最后是對(duì)于承載了多業(yè)務(wù)系統(tǒng)的平臺(tái)����,其平臺(tái)的測(cè)評(píng)報(bào)告是多業(yè)務(wù)系統(tǒng)可以共用的�����。
等保2.0時(shí)代,在合規(guī)性建設(shè)方面���,更加強(qiáng)調(diào)云平臺(tái)整體�����;特別是基于4A的統(tǒng)一身份認(rèn)證���、統(tǒng)一用戶授權(quán),統(tǒng)一賬戶管理����,統(tǒng)一安全審計(jì)�,同時(shí)要強(qiáng)調(diào)平臺(tái)內(nèi)部通訊的加密以及相互之間的認(rèn)證和動(dòng)態(tài)預(yù)警還有快速響應(yīng)能力建設(shè)安全服務(wù)產(chǎn)品的合規(guī)。
01��、標(biāo)準(zhǔn)名稱的變化
等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》�,與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。
02���、保護(hù)對(duì)象的變化
在開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中應(yīng)首先明確等級(jí)保護(hù)對(duì)象�����。
等保1.0定義等級(jí)保護(hù)對(duì)象為:信息安全等級(jí)保護(hù)工作直接作用的具體信息和信息系統(tǒng)�。隨著云計(jì)算平臺(tái)、物聯(lián)網(wǎng)��、工業(yè)控制系統(tǒng)等新形態(tài)的等級(jí)保護(hù)對(duì)象不斷涌現(xiàn)����,原定義內(nèi)涵局限性日益顯現(xiàn)。
等保2.0定義等級(jí)保護(hù)對(duì)象為:包括基礎(chǔ)信息網(wǎng)絡(luò)��、云計(jì)算平臺(tái)/系統(tǒng)����、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)�、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。
03����、標(biāo)準(zhǔn)內(nèi)容的變化(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴(kuò)展要求
等保2.0安全通用要求是普適性要求,是不管等級(jí)保護(hù)對(duì)象形態(tài)如何�,必須滿足的要求。其中包括:云計(jì)算安全擴(kuò)展要求�����、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求�、工業(yè)控制系統(tǒng)安全擴(kuò)展要求。
針對(duì)云計(jì)算��、移動(dòng)互聯(lián)����、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng),除了滿足安全通用要求外�����,還需滿足的補(bǔ)充要求稱為安全擴(kuò)展要求:
云計(jì)算
云計(jì)算安全擴(kuò)展要求針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求���。云計(jì)算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”���、“虛擬化安全保護(hù)”����、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面��。
移動(dòng)互聯(lián)
針對(duì)移動(dòng)互聯(lián)環(huán)境主要增加的內(nèi)容包括“無(wú)線接入點(diǎn)的物理位置”�、“移動(dòng)終端管控”����、“移動(dòng)應(yīng)用管控”��、“移動(dòng)應(yīng)用軟件采購(gòu)”和“移動(dòng)應(yīng)用軟件開(kāi)發(fā)”等方面�。
物聯(lián)網(wǎng)
物聯(lián)網(wǎng)安全擴(kuò)展要求針對(duì)物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求。對(duì)物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點(diǎn)的物理防護(hù)”��、“感知節(jié)點(diǎn)設(shè)備安全”���、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”����、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面����。
工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)安全擴(kuò)展要求針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)提出特殊保護(hù)要求。對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)”�����、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”�、“撥號(hào)使用控制”、“無(wú)線使用控制”和“控制設(shè)備安全”等方面。
04�、控制措施分類結(jié)構(gòu)的變化
等保2.0由舊標(biāo)準(zhǔn)的10個(gè)分類調(diào)整為8個(gè)分類,分別為:
技術(shù)部分:物理和環(huán)境安全����、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全�����、應(yīng)用和數(shù)據(jù)安全��;
管理部分:安全策略和管理制度�����、安全管理機(jī)構(gòu)和人員���、安全建設(shè)管理�、安全運(yùn)維管理��。
05���、標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)的變化
等保2.0在控制點(diǎn)要求上并沒(méi)有明顯增加,通過(guò)合并整合后相對(duì)舊標(biāo)準(zhǔn)略有縮減。
控制點(diǎn)變化對(duì)比表
要求項(xiàng)變化對(duì)比表
06�����、等保2.0技術(shù)部分變化簡(jiǎn)析
舊標(biāo)準(zhǔn)更偏重于對(duì)于防護(hù)的要求�,而等保2.0標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的發(fā)展,結(jié)合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中對(duì)于持續(xù)監(jiān)測(cè)�����、威脅情報(bào)����、快速響 應(yīng)類的要求提出了具體的落地措施。下面簡(jiǎn)析等保2.0的部分技術(shù)措施:
總而言之����,等保2.0較之前的舊標(biāo)準(zhǔn)可以說(shuō)有突破性的進(jìn)展,尤其在移動(dòng)互聯(lián)��、云計(jì)算��、物聯(lián)網(wǎng)等新的業(yè)務(wù)環(huán)境均提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)����,是當(dāng)前構(gòu)建網(wǎng)絡(luò)安全體系架構(gòu)的重要建設(shè)思路��,積極落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度�,不僅僅能夠滿足相關(guān)法律的合規(guī)性要求��,更能提升整體網(wǎng)絡(luò)的綜合安全防護(hù)能力�,真正幫助企業(yè)用戶保障網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)的安全性��!
