欢迎来到内蒙古网络安全行业协会!
协会带你了解等保2.0
发布时间:2019-05-14    编辑:内蒙古网络安全行业协会 
  

5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。下面带您了解一下何为等保2.0。

一、等级保护是什么

网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。

二、为什么要做等级保护

(一)法律规章要求

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。

第二十一条规定:

第三十八条规定:

第五十九条规定:

(二)行业要求

在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。

(三)企业系统安全的需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

三、等级保护涉及范围

(一)省辖市以上党政机关的重要网站和办公信息系统;

(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;

(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

四、等级保护发展历程

1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,等级保护制度正式被提出。

2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》等系列标准进行修订。2017年6月,《网络安全法》正式出台,信息安全等级保护过渡到网络安全等级保护,法规明确要求国家实施等保制度。2019年5月,随着《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)》等标准的正式发布,标志着等保2.0全面启动。

五、等保1.0与2.0对比

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。

等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖


等级保护的五个等级不变、五项工作不变、主体职责不变。


等保2.0标准,从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”:


(一)法律法规变化

从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法。

?《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。


(二)标准要求变化

等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。

?通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。

?这里我们重点谈,安全扩展要求是等保2.0标准的“亮点”,要求细则必看:

? ?1)云计算扩展要求

云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:

原则性要求:

应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。

自身防护要求:

应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。

提供能力要求:

应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。

? 2)大数据扩展要求

管理流量与业务流量分离

大数据授权与分类分级管理

大数据层面入侵防范与告警

大数据应用安全管理

? 3)物联网扩展要求

网络安全入侵防范与认证授权

感知节点设备安全

非法感知节点设备识别与防范

抗数据重放,数据融合处理

感知节点管理

??4)工业控制扩展要求

工业控制系统隔离与安全区域划分

工业控制数据加密传输

工业无线通信安全

工业控制设备自身安全

工业安全运维管理

? 5)移动互联扩展要求

无线边界控制与入侵防范

SSID广播与WEP认证

MDM、MCM管理

移动端应用安全管控

移动端数据安全管控


(三)安全体系变化

等保2.0标准依然采用“一个中心、三重防护”的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。


(四)实施环节变化

在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0标准进行了优化和调整。

?

定级对象的变化:

等保1.0定级的对象是信息系统,等保2.0标准的定级的对象扩展至:基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。

定级级别的变化:

公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级。

定级流程的变化:

等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。

相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,测评达到75分以上才算基本符合要求。基本分高了,要求更严苛了。

?

六、等级保护实施过程

等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。

七、等保2.0的测评内容

等级保护测评分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面。

八、开展等级保护的难点

现阶段,信息系统运营、使用单位已意识到等级保护制度的必要性,但在开展等级保护的过程中仍会遇到各式各样的问题与挑战。



?
电子邮件:nmwaxh@163.com 传  真:0471 - 4599696 联系电话:0471 - 4599696 邮政编码:010010 地  址:呼和浩特市成吉思汗东街大学生科技园1号楼8层
网站二维码
微信公众号
版权所有:内蒙古网络安全行业协会   技术支持:内蒙古世纪泓科技有限公司