等級保護制度是我國在網(wǎng)絡安全領域的基本制度、基本國策,是國家網(wǎng)絡安全意志的體現(xiàn)。《網(wǎng)絡安全法》出臺后,等級保護制度更是提升到了法律層面,等保2.0在1.0的基礎上,更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護,除了基本要求外,還增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等對象全覆蓋。等保2.0標準的發(fā)布,對加強中國網(wǎng)絡安全保障工作,提升網(wǎng)絡安全保護能力具有重要意義。
等級保護2.0安全框架
那么等保2.0究竟發(fā)生了哪些變化,由等保1.0時代的不溫不火演變成2.0時代的風口浪尖呢?
等保2.0時代,監(jiān)管對象從傳統(tǒng)信息系統(tǒng)變成了網(wǎng)絡安全等級保護對象,一個業(yè)務系統(tǒng)一個平臺都會納入等級保護范圍之內,未來監(jiān)管機構在檢查的時候對于具體的技術措施、安全措施做一些相應的檢查,同時還會升級現(xiàn)有的技術手段,應對分領域的技術檢查。
等保2.0時代,合規(guī)測評在測評的對象,測評依據(jù)、等級保護報告模版以及等保的測評結論上都進行了相應的完善;比如在云計算環(huán)境下,測評對象需要考慮虛擬化技術的應用導致很多虛擬計算對象;測評依據(jù)能否滿足虛擬化技術的要求;等保報告上需要考慮引入云平臺與云租戶后,在等保報告上得分的依賴關系;最后是對于承載了多業(yè)務系統(tǒng)的平臺,其平臺的測評報告是多業(yè)務系統(tǒng)可以共用的。
等保2.0時代,在合規(guī)性建設方面,更加強調云平臺整體;特別是基于4A的統(tǒng)一身份認證、統(tǒng)一用戶授權,統(tǒng)一賬戶管理,統(tǒng)一安全審計,同時要強調平臺內部通訊的加密以及相互之間的認證和動態(tài)預警還有快速響應能力建設安全服務產品的合規(guī)。
01、標準名稱的變化
等保2.0將原來的標準《信息安全技術 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術 網(wǎng)絡安全等級保護基本要求》,與《中華人民共和國網(wǎng)絡安全法》中的相關法律條文保持一致。
02、保護對象的變化
在開展網(wǎng)絡安全等級保護工作中應首先明確等級保護對象。
等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)。隨著云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新形態(tài)的等級保護對象不斷涌現(xiàn),原定義內涵局限性日益顯現(xiàn)。
等保2.0定義等級保護對象為:包括基礎信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術的系統(tǒng)等。
03、標準內容的變化(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
等保2.0安全通用要求是普適性要求,是不管等級保護對象形態(tài)如何,必須滿足的要求。其中包括:云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求。
針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng),除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求:
云計算
云計算安全擴展要求針對云計算的特點提出特殊保護要求。云計算環(huán)境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環(huán)境管理”等方面。
移動互聯(lián)
針對移動互聯(lián)環(huán)境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發(fā)”等方面。
物聯(lián)網(wǎng)
物聯(lián)網(wǎng)安全擴展要求針對物聯(lián)網(wǎng)的特點提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內容包括“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”、“感知網(wǎng)關節(jié)點設備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。
工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)安全擴展要求針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內容包括“室外控制設備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。
04、控制措施分類結構的變化
等保2.0由舊標準的10個分類調整為8個分類,分別為:
技術部分:物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全;
管理部分:安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。
05、標準控制點和要求項的變化
等保2.0在控制點要求上并沒有明顯增加,通過合并整合后相對舊標準略有縮減。
控制點變化對比表
要求項變化對比表
06、等保2.0技術部分變化簡析
舊標準更偏重于對于防護的要求,而等保2.0標準更適應當前網(wǎng)絡安全形勢的發(fā)展,結合《中華人民共和國網(wǎng)絡安全法》中對于持續(xù)監(jiān)測、威脅情報、快速響 應類的要求提出了具體的落地措施。下面簡析等保2.0的部分技術措施:
總而言之,等保2.0較之前的舊標準可以說有突破性的進展,尤其在移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新的業(yè)務環(huán)境均提供安全建設標準和指導,是當前構建網(wǎng)絡安全體系架構的重要建設思路,積極落實網(wǎng)絡安全等級保護制度,不僅僅能夠滿足相關法律的合規(guī)性要求,更能提升整體網(wǎng)絡的綜合安全防護能力,真正幫助企業(yè)用戶保障網(wǎng)絡、數(shù)據(jù)和業(yè)務的安全性!