5月10日,網路安全等級保護制度2.0國家標準正式釋出。網路安全等級保護制度,作為國家網路安全的重要組成部分,對加強國家網路安全保障工作,提升網路安全保護能力具有重要意義。
一、等級保護2.0時代的重要標誌
1. 《網路安全法》全面施行,把網路安全等級保護制度提升到法律保障層面。
2. 公安部發布《網路安全等級保護條例》(制定中),從法規層推進實施國家網路安全等級保護制度。
3. 網信辦釋出《關鍵資訊基礎設施安全保護條例》(制定中),加強國家關鍵資訊基礎設施防護。
4. 為了解決新技術、新應用的安全問題,等級保護系列標準進行了修訂
等級保護系列標準
二、等級保護2.0的整體變化
1.等級保護2.0法律地位明顯提升,監管物件更加廣泛。將重要網路基礎設施、重要資訊系統、雲端計算平臺、物聯網、工控系統、大資料平臺、公眾服務平臺等全部納入等級保護監管,並將網際網路企業納入等級保護管理。
2.網路安全等級保護措施進一步完善。將風險評估、安全監測、預警通報、應急演練、自主可控、供應鏈安全等重點措施納入等級保護制度實施。
3.等級保護2.0下,定級物件的安全等級確定更加科學。根據《網路安全等級保護條例(徵求意見稿)》第十七條規定,對擬定為第二級以上的網路,其運營者應當組織專家評審;有行業主管部門的,應當在評審後報請主管部門核准。跨省或者全國統一聯網執行的網路由行業主管部門統一擬定安全保護等級,統一組織定級評審。
定級流程
4.定級矩陣發生了變化(黑色加粗字型是較1.0變化的部分, 1.0是第二級)。
定級要素與等級的關係(定級指南-報批稿)
5.備案機關進行了調整。《根據網路安全等級保護條例(徵求意見稿)》第十八條規定,第二級以上網路運營者應當在網路的安全保護等級確定後 10 個工作日內,到縣級(之前是市級)以上公安機關備案。
6.等保2.0下的等級測評發生了變化,根據《網路安全等級保護條例(徵求意見稿)》第二十三條規定,第三級以上網路的運營者應當每年開展一次網路安全等級測評(修改了43號文對第四級資訊系統應當每半年至少進行一次等級測評的要求)。
7.等級保護2.0時代,以保護國家關鍵資訊基礎設施為重點。關鍵資訊基礎設施在等級保護第三級(包括第三級)以上的保護物件中確定。
關鍵資訊基礎設施和等級保護的關係
8.等級保護2.0下的安全建設,需要考慮建立可信驗證機制,可參考安全等級實施可信驗證。
不同安全等級的可信保障
三、等級保護基本要求的變化
1.標準名稱的改變
基本要求名稱由原來《資訊系統安全等級保護基本要求》最終改為《網路安全等級保護基本要求》,與網路安全法保持一致。
2.基本要求結構發生了變化,突出了“一箇中心,三重防護”。
原基本要求中各級技術要求的物理安全、網路安全、主機安全、應用安全、資料安全及備份恢復,修訂為安全物理環境、安全通訊網路、安全區域邊界、安全計算環境和安全管理中心;原各級管理要求的安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理,修訂為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
技術要求的變化
管理要求的變化
3.等級保護安全要求發生了變化
新基本要求分為安全通用要求和安全擴充套件要求。安全通用要求是不管等級保護物件形態如何必須滿足的要求,針對雲端計算、移動互聯、物聯網和工業控制系統提出了特殊要求,稱為為安全擴充套件要求。
基本要求結構
4.修訂後的基本要求,安全通用部分整體要求項減少,標準更加利於實施。
5. 安全通用要求分析解讀(黑色加粗字型是第三級增強的要求)
6. 安全通訊網路是針對通訊網路提出的安全控制要求。主要物件為廣域網、都會網路和區域網等。
7. 安全計算環境是針對邊界內部提出的安全控制要求,主要物件為邊界內部的所有物件,包括網路裝置、安全裝置、伺服器裝置、終端裝置、應用系統、資料物件和其他裝置等。
8. 安全管理中心是針對整個系統提出的安全管理方面的技術控制要求,透過技術手段實現集中管理。
9. 惡意程式碼防範措施隨著安全保護等級增強。第三級的惡意程式碼防範有兩種選擇,在不具備可信驗證的情況下,可以選擇其他技術措施(例如:主機防病毒、EDR等)進行惡意程式碼防範。
10. 第三級的可信驗證要求是在應用程式的關鍵執行環節進行動態可信驗證,在可信驗證遭受破壞後進行報警,並將審計記錄上傳到安全管理中心。
綠盟科技已釋出等級保護2.0系列解決方案,相關諮詢請聯絡綠盟科技各分公司、辦事處的相關人員或撥打諮詢熱線:400-818-6868。