专栏首页运维之美解读等级保护制度 2.0 新标准

解读等级保护制度 2.0 新标准

2019 年 5 月 13 日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度 2.0 标准(以下简称等保 2.0 标准)正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为 2019 年 12 月 1 日。

等级保护是什么

网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术 网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。

等保 2.0 标准 在 1.0 标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

等级保护 2.0 安全框架

网络安全等级保护安全技术设计框架

等级保护涉及范围

  • 省辖市以上党政机关的重要网站和办公信息系统。
  • 电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
  • 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

等保 2.0 标准的变化

究竟等保 2.0 标准与等保 1.0 标准相比,有哪些变化呢?

等保 2.0 标准中的 “不变”

等级保护的概念自 1994 年提出后,经过 20 多年的发展和演进,在 2.0 时代已经有了不小的变化。但万变不离其宗,等级保护的五个等级不变、五项工作不变、主体职责不变。

1. 等级保护 “五个级别” 不变

  • 第一级:用户自主保护级
  • 第二级:系统保护审计级
  • 第三级:安全标记保护级
  • 第四级:结构化保护级
  • 第五级:访问验证保护级

2. 等级保护 “规定动作” 不变

等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保 2.0 标准仍然将围绕这 5 个规定动作开展工作。

3. 等级保护 “主体职责” 不变

  • 运营使用单位对定级对象的等级保护职责不变
  • 上级主管单位对所属单位的安全管理职责不变
  • 第三方测评机构对定级对象的安全评估职责不变
  • 网安对定级对象的备案受理及监督检查职责不变

等保 2.0 标准的 “变化”

近年来,随着信息技术的发展和网络安全形势的变化,传统等保安全要求已无法有效应对安全风险和新技术应用所带来的新威胁,以被动防御为主的防御已经过时了,急需建立主动保障体系。等保 2.0 标准适时而出,应对新形势、新风险,满足新要求,扩大新内容。

等保 2.0 标准,从法律法规、标准要求、安全体系、实施环节等方面都有了 “变化”。

1. 法律法规变化

从条例法规提升到法律层面。等保 1.0 的最高国家政策是国务院 147 号令,而等保 2.0 标准的最高国家政策是网络安全法。

《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案; 第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。

2. 标准要求变化

等保 2.0 标准在对等保 1.0 标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足 “通用要求+安全扩展” 的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。

通用要求方面,等保 2.0 标准的核心是 “优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。

等保 2.0 结构变化图

这里我们重点谈,安全扩展要求是等保 2.0 标准的 “亮点”,要求细则必看:

2.1 云计算扩展要求

云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:

  • 原则性要求

应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。

  • 自身防护要求

应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。

  • 提供能力要求

应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。

2.2 大数据扩展要求

  • 管理流量与业务流量分离
  • 大数据授权与分类分级管理
  • 大数据层面入侵防范与告警
  • 大数据应用安全管理

2.3 物联网扩展要求

物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:

  • 网络安全入侵防范与认证授权
  • 感知节点设备安全
  • 非法感知节点设备识别与防范
  • 抗数据重放,数据融合处理
  • 感知节点的管理

2.4 工业控制扩展要求

工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括:

  • 工业控制系统隔离与安全区域划分
  • 工业控制数据加密传输
  • 工业无线通信安全
  • 工业控制设备自身安全
  • 工业安全运维管理

2.5 移动互联扩展要求

针对移动互联环境主要增加的内容包括:

  • 无线边界控制与入侵防范
  • SSID 广播与 WEP 认证
  • MDM、MCM管理
  • 移动端应用安全管控
  • 移动端数据安全管控

3. 安全体系变化

等保 2.0 标准依然采用 “一个中心、三重防护” 的理念,从等保 1.0 标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 。

4. 实施环节变化

在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保 2.0 标准进行了优化和调整。

  • 定级对象的变化

等保 1.0 定级的对象是信息系统,等保 2.0 标准的定级的对象扩展至:基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。

  • 定级级别的变化

公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从 1.0 的第二级调整到了第三级。

  • 定级流程的变化

等保 2.0 标准不再自主定级,而是通过 “确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级” 这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。

等保 1.0 与等保 2.0 对比图

相较于等保 1.0,等保 2.0 标准测评周期、测评结果评定有所调整。等保 2.0 标准要求,第三级以上的系统每年开展一次测评,测评达到 75 分以上才算基本符合要求。基本分高了,要求更严苛了。

测评要求项的变化

公众号直接回复关键词「等保2.0」,可获取等保 2.0 完整版 PDF 和等保 2.0 三级基本要求项。

当新技术不断冲击传统安全和传统等保,“与时俱进”的等保 2.0 标准为保障云计算、大数据等新技术下的安全合规提供了基础保障。并且有助于增强未知威胁防范和攻击溯源的能力,打造包含感知预警、安全分析、动态防护、全面检测、应急处置并重等于一体的主动安全保障体系。

参考文档

https://www.google.com

http://t.cn/EKxI10k

http://t.cn/EKKUMKs

http://t.cn/EKKcQ3B

图说生活

这里将分享一些记录生活的日常随拍。

拍攝于:重庆天地,重庆,2019

本文分享自微信公众号 - 运维之美(Hi-Linux),作者:Mike

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-05-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一文读懂如何在 Kubernetes 上轻松实现自动化部署 Prometheus

    Prometheus 是当下火热的监控解决方案,尤其是容器微服务架构,Kubernetes 的首选监控方案。关于为什么要用 Prometheus,我这里就不多讲...

    iMike
  • 史上最全的生产环境下 Kubernetes 集群部署文档

    「生产环境下部署 Kubernetes 集群」由 「运维之美」技术交流群中的群友「往事随风」编写完成,并授权公众号原创首发。

    iMike
  • 9 张图带你搞懂 Istio

    Istio 是一个服务网格,它允许在集群中的 pods 和服务之间进行更详细、复杂和可观察的通信。

    iMike
  • 滴滴和优步为何合并?对你有何影响?该如何看待?

    大数据文摘
  • 金融级别的人脸识别支付?

    昨天IFAA联盟发布“本地人脸识别安全解决方案”,用来实现金融级别现金支付的技术,“像iPhone X那样去人脸支付吧!安卓终于再一次追平了苹果”,并总结出“攻...

    安智客
  • 解决linux安装软件:/lib/ld-linux.so.2: bad ELF interpreter问题

    # arm-linux-gcc hello.c -o tt /home/gl/usr/local/arm/4.3.2/bin/arm-linux-gcc:...

    Jetpropelledsnake21
  • 自动驾驶中的时空坐标系

    下面我们介绍自动驾驶技术中几种常用的坐标系统,以及他们之间如何完成关联和转换,最终构建出统一的环境模型。 所谓时空坐标系,包括三维空间坐标系和一维时间坐标系。在...

    刘盼
  • 理解Unity3D中的四种坐标体系

    2017-07-31 by Liuqingwen | Tags: Unity3D | Hits

    IT自学不成才
  • h5 geolocation 的那些事~

    在讲h5 的geolocation API之前,让我们先了解一下当前国内地理坐标系现状

    IMWeb前端团队
  • h5 geolocation 的那些事~

    在讲h5 的geolocation API之前,让我们先了解一下当前国内地理坐标系现状 当前国内地理坐标系 国际坐标系:国际标准,国际地图提供商使用的坐标系 火...

    IMWeb前端团队

扫码关注云+社区

领取腾讯云代金券