千呼萬喚始出來,2019年5月13日,國家標準新聞釋出會在市場監管總局馬甸辦公區新聞釋出廳召開,網路安全等級保護制度2.0標準(以下簡稱 等保2.0標準)正式釋出,將於2019年12月1日開始實施。
網路安全等級保護制度是國家網路安全領域的基本國策、基本制度和基本方法,等保2.0標準在1.0標準的基礎上,注重全方位主動防禦、安全可信、動態感知和全面審計,實現了對傳統資訊系統、基礎資訊網路、雲端計算、大資料、物聯網、移動互聯和工業控制資訊系統等保護物件的全覆蓋。
究竟等保2.0標準與等保1.0標準相比,有哪些變化?又有哪些工作保持不變?受邀參與等保2.0標準編纂的等保專家、安恆資訊王勇,是這樣說的。
等保2.0標準的“不變”
等級保護的概念自1994年提出後,經過20多年的發展和演進,在2.0時代已經有了不小的變化。但萬變不離其宗,等級保護的五個等級不變、五項工作不變、主體職責不變。
01等級保護“五個級別”不變 第一級:使用者自主保護級
第二級:系統保護審計級
第三級:安全標記保護級
第四級:結構化保護級
第五級:訪問驗證保護級
02等級保護“規定動作”不變
等級保護五個規定動作是指:定級、備案、建設整改、等級測評、監督檢查。等保2.0標準仍然將圍繞這5個規定動作開展工作。
03等級保護“主體職責”不變
運營使用單位對定級物件的等級保護職責不變
上級主管單位對所屬單位的安全管理職責不變
第三方測評機構對定級物件的安全評估職責不變
網安對定級物件的備案受理及監督檢查職責不變
等保2.0標準的“變化”
近年來,隨著資訊科技的發展和網路安全形勢的變化,傳統等保安全要求已無法有效應對安全風險和新技術應用所帶來的新威脅,以被動防禦為主的防禦已經out了,急需建立主動保障體系。等保2.0標準適時而出,應對新形勢、新風險,滿足新要求,擴大新內容。
如此“新”的等保2.0標準,從法律法規、標準要求、安全體系、實施環節等方面都有了“變化”:
01法律法規變化
從條例法規提升到法律層面。等保1.0的最高國家政策是國務院147號令,而等保2.0標準的最高國家政策是網路安全法。
《網路安全法》第二十一條要求,國家實施網路安全等級保護制度;第二十五條要求,網路運營者應當制定網路安全事件應急預案; 第三十一條則要求,關鍵資訊基礎設施,在網路安全等級保護制度的基礎上,實行重點保護;第五十九條明確了,網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的,由有關主管部門給予處罰。
總而言之,不開展等級保護等於違法!
02標準要求變化
等保2.0標準在對等保1.0標準基本要求進行優化的同時,針對雲端計算、物聯網、移動網際網路、工業控制、大資料新技術提出了新的安全擴充套件要求。也就是說,使用新技術的資訊系統需要同時滿足“通用要求+安全擴充套件”的要求。並且,針對新的安全形勢提出了新的安全要求,標準覆蓋度更加全面,安全防護能力有很大提升。
通用要求方面,等保2.0標準的核心是“優化”。刪除了過時的測評項,對測評項進行合理性改寫,新增對新型網路攻擊行為防護和個人資訊保護等新要求,調整了標準結構、將安全管理中心從管理層面提升至技術層面。
這裡我們重點談,安全擴充套件要求是等保2.0標準的“亮點”,要求細則必看:
1)雲端計算擴充套件要求
雲端計算技術的普及,解決了傳統資料中心的儲存難、資源佔用大、成本高等問題,伴隨而來安全風險也非常尖銳,主要來自於系統和資料所有權的轉移,新技術、虛擬環境等新模式兩方面帶來的風險。等保2.0標準從原則性、自身防護、提供能力三方面提出了要求:
原則性要求:
應確保雲端計算平臺不承載高於其安全保護等級的業務應用系統;應確保雲端計算基礎設施位於中國境內;應確保雲服務客戶資料、使用者個人資訊等儲存於中國境內,如需出境應遵循國家相關規定等。
自身防護要求:
應能檢測到雲服務客戶發起的網路攻擊行為,並能記錄攻擊型別、攻擊時間、攻擊流量等;應能檢測虛擬機器之間的資源隔離失效,並進行告警等。
提供能力要求:
應實現不同雲服務客戶虛擬網路之間的隔離;應具有根據雲服務客戶業務需求提供通訊傳輸、邊界防護、入侵防範等安全機制的能力等。
2)大資料擴充套件要求
管理流量與業務流量分離
大資料授權與分類分級管理
大資料層面入侵防範與告警
大資料應用安全管理
3)物聯網擴充套件要求
網路安全入侵防範與認證授權
感知節點裝置安全
非法感知節點裝置識別與防範
抗資料重放,資料融合處理
感知節點管理
4)工業控制擴充套件要求
工業控制系統隔離與安全區域劃分
工業控制資料加密傳輸
工業無線通訊安全
工業控制裝置自身安全
工業安全運維管理
5)移動互聯擴充套件要求
無線邊界控制與入侵防範
SSID廣播與WEP認證
MDM、MCM管理
移動端應用安全管控
移動端資料安全管控
後續,我們還會就新增的擴充套件要求進行進一步的解讀哦。
03安全體系變化
等保2.0標準依然採用“一箇中心、三重防護” 的理念,從等保1.0標準被動防禦的安全體系向事前預防、事中響應、事後審計的動態保障體系轉變。
建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作 。
圖:等級保護安全框架
04實施環節變化
在等級保護定級、備案、建設整改、等級測評、監督檢查的實施過程中,等保2.0標準進行了優化和調整。
定級物件的變化:
等保1.0定級的物件是資訊系統,等保2.0標準的定級的物件擴充套件至:基礎資訊網路、工業控制系統、雲端計算平臺、物聯網、使用移動互聯技術的網路、其他網路以及大資料等多個系統平臺,覆蓋面更廣。
定級級別的變化:
公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統的等級保護級別從1.0的第二級調整到了第三級。
定級流程的變化:
等保2.0標準不再自主定級,而是通過“確定定級物件——>初步確定等級——>專家評審——>主管部門稽核——>公安機關備案審查——>最終確定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門稽核,才能到公安機關備案,整體定級更加嚴格。
相較於等保1.0,等保2.0標準測評週期、測評結果評定有所調整。等保2.0標準要求,第三級以上的系統每年開展一次測評,測評達到75分以上才算基本符合要求。基本分高了,要求更嚴苛了。
當新技術不斷衝擊傳統安全和傳統等保,“與時俱進”的等保2.0標準,為保障雲端計算、大資料等新技術下的安全合規提供了基礎保障。並且有助於增強未知威脅防範和攻擊溯源的能力,打造包含感知預警、安全分析、動態防護、全面檢測、應急處置並重等於一體的主動安全保障體系。此外,資料安全和個人資訊保護也是等保2.0標準的重點,當資料價值被無限放大的當下,資料安全保護是一門“必修課”。
如何滿足等保2.0標準的新要求?更多等保2.0標準的系統解讀,且聽下回分解。
經授權轉載自:
安恆資訊