千呼萬喚始出來,2019年5月13日,國家標準新聞發布會在市場監管總局馬甸辦公區新聞發布廳召開,網絡安全等級保護制度2.0標準(以下簡稱 等保2.0標準)正式發布,將于2019年12月1日開始實施。
網絡安全等級保護制度是國家網絡安全領域的基本國策、基本制度和基本方法,等保2.0標準在1.0標準的基礎上,注重全方位主動防御、安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、云計算、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。
等保2.0標準的“不變”
等級保護的概念自1994年提出后,經過20多年的發展和演進,在2.0時代已經有了不小的變化。但萬變不離其宗,等級保護的五個等級不變、五項工作不變、主體職責不變。
01 等級保護“五個級別”不變
第一級:用戶自主保護級
第二級:系統保護審計級
第三級:安全標記保護級
第四級:結構化保護級
第五級:訪問驗證保護級
02 等級保護“規定動作”不變
等級保護五個規定動作是指:定級、備案、建設整改、等級測評、監督檢查。等保2.0標準仍然將圍繞這5個規定動作開展工作。
03 等級保護“主體職責”不變
運營使用單位對定級對象的等級保護職責不變
上級主管單位對所屬單位的安全管理職責不變
第三方測評機構對定級對象的安全評估職責不變
網安對定級對象的備案受理及監督檢查職責不變
等保2.0標準的“變化”
近年來,隨著信息技術的發展和網絡安全形勢的變化,傳統等保安全要求已無法有效應對安全風險和新技術應用所帶來的新威脅,以被動防御為主的防御已經out了,急需建立主動保障體系。等保2.0標準適時而出,應對新形勢、新風險,滿足新要求,擴大新內容。
如此“新”的等保2.0標準,從法律法規、標準要求、安全體系、實施環節等方面都有了“變化”:
01 法律法規變化
從條例法規提升到法律層面。等保1.0的最高國家政策是國務院147號令,而等保2.0標準的最高國家政策是網絡安全法。
《網絡安全法》第二十一條要求,國家實施網絡安全等級保護制度;第二十五條要求,網絡運營者應當制定網絡安全事件應急預案; 第三十一條則要求,關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護;第五十九條明確了,網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門給予處罰。
總而言之,不開展等級保護等于違法!
02 標準要求變化
等保2.0標準在對等保1.0標準基本要求進行優化的同時,針對云計算、物聯網、移動互聯網、工業控制、大數據新技術提出了新的安全擴展要求。也就是說,使用新技術的信息系統需要同時滿足“通用要求+安全擴展”的要求。并且,針對新的安全形勢提出了新的安全要求,標準覆蓋度更加全面,安全防護能力有很大提升。
通用要求方面,等保2.0標準的核心是“優化”。刪除了過時的測評項,對測評項進行合理性改寫,新增對新型網絡攻擊行為防護和個人信息保護等新要求,調整了標準結構、將安全管理中心從管理層面提升至技術層面。
這里我們重點談,安全擴展要求是等保2.0標準的“亮點”,要求細則必看:
1)云計算擴展要求
云計算技術的普及,解決了傳統數據中心的存儲難、資源占用大、成本高等問題,伴隨而來安全風險也非常尖銳,主要來自于系統和數據所有權的轉移,新技術、虛擬環境等新模式兩方面帶來的風險。等保2.0標準從原則性、自身防護、提供能力三方面提出了要求:
原則性要求:
應確保云計算平臺不承載高于其安全保護等級的業務應用系統;應確保云計算基礎設施位于中國境內;應確保云服務客戶數據、用戶個人信息等存儲于中國境內,如需出境應遵循國家相關規定等。
自身防護要求:
應能檢測到云服務客戶發起的網絡攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等;應能檢測虛擬機之間的資源隔離失效,并進行告警等。
提供能力要求:
應實現不同云服務客戶虛擬網絡之間的隔離;應具有根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力等。
2)大數據擴展要求
管理流量與業務流量分離
大數據授權與分類分級管理
大數據層面入侵防范與告警
大數據應用安全管理
3)物聯網擴展要求
網絡安全入侵防范與認證授權
感知節點設備安全
非法感知節點設備識別與防范
抗數據重放,數據融合處理
感知節點管理
4)工業控制擴展要求
工業控制系統隔離與安全區域劃分
工業控制數據加密傳輸
工業無線通信安全
工業控制設備自身安全
工業安全運維管理
5)移動互聯擴展要求
無線邊界控制與入侵防范
SSID廣播與WEP認證
MDM、MCM管理
移動端應用安全管控
移動端數據安全管控
后續,我們還會就新增的擴展要求進行進一步的解讀哦。
03 安全體系變化
等保2.0標準依然采用“一個中心、三重防護” 的理念,從等保1.0標準被動防御的安全體系向事前預防、事中響應、事后審計的動態保障體系轉變。
建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防御體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作 。
04 實施環節變化
在等級保護定級、備案、建設整改、等級測評、監督檢查的實施過程中,等保2.0標準進行了優化和調整。
定級對象的變化:
等保1.0定級的對象是信息系統,等保2.0標準的定級的對象擴展至:基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺,覆蓋面更廣。
定級級別的變化:
公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統的等級保護級別從1.0的第二級調整到了第三級。
定級流程的變化:
等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關備案審查——>最終確定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格。
相較于等保1.0,等保2.0標準測評周期、測評結果評定有所調整。等保2.0標準要求,第三級以上的系統每年開展一次測評,測評達到75分以上才算基本符合要求。基本分高了,要求更嚴苛了。
來源:網絡整理
