解读等级保护制度 2.0 新标准
2019 年 5 月 13 日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度 2.0 标准(以下简称等保 2.0 标准)正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为 2019 年 12 月 1 日。
等级保护是什么
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术 网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
等保 2.0 标准 在 1.0 标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
等级保护 2.0 安全框架
网络安全等级保护安全技术设计框架
等级保护涉及范围
- 省辖市以上党政机关的重要网站和办公信息系统。
- 电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
- 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
等保 2.0 标准的变化
究竟等保 2.0 标准与等保 1.0 标准相比,有哪些变化呢?
等保 2.0 标准中的 “不变”
等级保护的概念自 1994 年提出后,经过 20 多年的发展和演进,在 2.0 时代已经有了不小的变化。但万变不离其宗,等级保护的五个等级不变、五项工作不变、主体职责不变。
1. 等级保护 “五个级别” 不变
- 第一级:用户自主保护级
- 第二级:系统保护审计级
- 第三级:安全标记保护级
- 第四级:结构化保护级
- 第五级:访问验证保护级
2. 等级保护 “规定动作” 不变
等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保 2.0 标准仍然将围绕这 5 个规定动作开展工作。
3. 等级保护 “主体职责” 不变
- 运营使用单位对定级对象的等级保护职责不变
- 上级主管单位对所属单位的安全管理职责不变
- 第三方测评机构对定级对象的安全评估职责不变
- 网安对定级对象的备案受理及监督检查职责不变
等保 2.0 标准的 “变化”
近年来,随着信息技术的发展和网络安全形势的变化,传统等保安全要求已无法有效应对安全风险和新技术应用所带来的新威胁,以被动防御为主的防御已经过时了,急需建立主动保障体系。等保 2.0 标准适时而出,应对新形势、新风险,满足新要求,扩大新内容。
等保 2.0 标准,从法律法规、标准要求、安全体系、实施环节等方面都有了 “变化”。
1. 法律法规变化
从条例法规提升到法律层面。等保 1.0 的最高国家政策是国务院 147 号令,而等保 2.0 标准的最高国家政策是网络安全法。
《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案; 第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
2. 标准要求变化
等保 2.0 标准在对等保 1.0 标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足 “通用要求+安全扩展” 的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保 2.0 标准的核心是 “优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保 2.0 结构变化图
这里我们重点谈,安全扩展要求是等保 2.0 标准的 “亮点”,要求细则必看:
2.1 云计算扩展要求
云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:
- 原则性要求
应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。
- 自身防护要求
应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。
- 提供能力要求
应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。
2.2 大数据扩展要求
- 管理流量与业务流量分离
- 大数据授权与分类分级管理
- 大数据层面入侵防范与告警
- 大数据应用安全管理
2.3 物联网扩展要求
物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:
- 网络安全入侵防范与认证授权
- 感知节点设备安全
- 非法感知节点设备识别与防范
- 抗数据重放,数据融合处理
- 感知节点的管理
2.4 工业控制扩展要求
工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括:
- 工业控制系统隔离与安全区域划分
- 工业控制数据加密传输
- 工业无线通信安全
- 工业控制设备自身安全
- 工业安全运维管理
2.5 移动互联扩展要求
针对移动互联环境主要增加的内容包括:
- 无线边界控制与入侵防范
- SSID 广播与 WEP 认证
- MDM、MCM管理
- 移动端应用安全管控
- 移动端数据安全管控
3. 安全体系变化
等保 2.0 标准依然采用 “一个中心、三重防护” 的理念,从等保 1.0 标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。
建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 。
4. 实施环节变化
在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保 2.0 标准进行了优化和调整。
- 定级对象的变化
等保 1.0 定级的对象是信息系统,等保 2.0 标准的定级的对象扩展至:基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
- 定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从 1.0 的第二级调整到了第三级。
- 定级流程的变化
等保 2.0 标准不再自主定级,而是通过 “确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级” 这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
等保 1.0 与等保 2.0 对比图
相较于等保 1.0,等保 2.0 标准测评周期、测评结果评定有所调整。等保 2.0 标准要求,第三级以上的系统每年开展一次测评,测评达到 75 分以上才算基本符合要求。基本分高了,要求更严苛了。
测评要求项的变化
公众号直接回复关键词「等保2.0」,可获取等保 2.0 完整版 PDF 和等保 2.0 三级基本要求项。
当新技术不断冲击传统安全和传统等保,“与时俱进”的等保 2.0 标准为保障云计算、大数据等新技术下的安全合规提供了基础保障。并且有助于增强未知威胁防范和攻击溯源的能力,打造包含感知预警、安全分析、动态防护、全面检测、应急处置并重等于一体的主动安全保障体系。
参考文档
https://www.google.com
http://t.cn/EKxI10k
http://t.cn/EKKUMKs
http://t.cn/EKKcQ3B
图说生活
这里将分享一些记录生活的日常随拍。
拍攝于:重庆天地,重庆,2019