编制人谈:等保2.0标准的“变”与“不变”
千呼万唤始出来,2019年5月13日,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准(以下简称 等保2.0标准)正式发布,将于2019年12月1日开始实施。
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
究竟等保2.0标准与等保1.0标准相比,有哪些变化?又有哪些工作保持不变?受邀参与等保2.0标准编纂的等保专家、安恒信息王勇,是这样说的。
等保2.0标准的“不变”
等级保护的概念自1994年提出后,经过20多年的发展和演进,在2.0时代已经有了不小的变化。但万变不离其宗,等级保护的五个等级不变、五项工作不变、主体职责不变。
等级保护“五个级别”不变
第一级:用户自主保护级
第二级:系统保护审计级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
02
等级保护“规定动作”不变
等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保2.0标准仍然将围绕这5个规定动作开展工作。
03
等级保护“主体职责”不变
运营使用单位对定级对象的等级保护职责不变
上级主管单位对所属单位的安全管理职责不变
第三方测评机构对定级对象的安全评估职责不变
网安对定级对象的备案受理及监督检查职责不变
等保2.0标准的“变化”
近年来,随着信息技术的发展和网络安全形势的变化,传统等保安全要求已无法有效应对安全风险和新技术应用所带来的新威胁,以被动防御为主的防御已经out了,急需建立主动保障体系。等保2.0标准适时而出,应对新形势、新风险,满足新要求,扩大新内容。
如此“新”的等保2.0标准,从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”:
法律法规变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法。
《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案; 第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,不开展等级保护等于违法!
02
标准要求变化
等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
这里我们重点谈,安全扩展要求是等保2.0标准的“亮点”,要求细则必看:
1)云计算扩展要求
云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:
原则性要求:
应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。
自身防护要求:
应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。
提供能力要求:
应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。
2)大数据扩展要求
管理流量与业务流量分离
大数据授权与分类分级管理
大数据层面入侵防范与告警
大数据应用安全管理
3)物联网扩展要求
网络安全入侵防范与认证授权
感知节点设备安全
非法感知节点设备识别与防范
抗数据重放,数据融合处理
感知节点管理
4)工业控制扩展要求
工业控制系统隔离与安全区域划分
工业控制数据加密传输
工业无线通信安全
工业控制设备自身安全
工业安全运维管理
5)移动互联扩展要求
无线边界控制与入侵防范
SSID广播与WEP认证
MDM、MCM管理
移动端应用安全管控
移动端数据安全管控
后续,我们还会就新增的扩展要求进行进一步的解读哦。
03
安全体系变化
等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。
建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 。
图:等级保护安全框架
04
实施环节变化
在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0标准进行了优化和调整。
定级对象的变化:
等保1.0定级的对象是信息系统,等保2.0标准的定级的对象扩展至:基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
定级级别的变化:
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级。
定级流程的变化:
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,测评达到75分以上才算基本符合要求。基本分高了,要求更严苛了。
输
当新技术不断冲击传统安全和传统等保,“与时俱进”的等保2.0标准,为保障云计算、大数据等新技术下的安全合规提供了基础保障。并且有助于增强未知威胁防范和攻击溯源的能力,打造包含感知预警、安全分析、动态防护、全面检测、应急处置并重等于一体的主动安全保障体系。此外,数据安全和个人信息保护也是等保2.0标准的重点,当数据价值被无限放大的当下,数据安全保护是一门“必修课”。
安恒信息的等级保护思路和解决方案一直紧跟国家网络安全法律法规、政策要求、信息技术前沿和等级保护实际需求,主动拥抱等保2.0。在网络安全新时代、新威胁、新体系、新能力要求的背景下,安恒信息不断提升等保解决方案,以等保合规为基础,打造主动、动态、自适应等保2.0标准的新体系,致力为客户提供安全、有效、合规的等级保护解决方案,保障客户传统信息系统安全、云安全、大数据安全和智慧城市安全。
如何满足等保2.0标准的新要求?更多等保2.0标准的系统解读,且听下回分解。
本文转载自 安恒信息
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容