乾貨實錄|公安部資訊保安等級保護評估中心測評部主任、研究員馬力：等保2.0的十個變化

近日，由綠盟科技舉辦的2019TechWorld技術嘉年華在北京圓滿收官。本次大會非常榮幸邀請到了公安部資訊保安等級保護評估中心測評部主任、研究員馬力，為參會的嘉賓帶來《網路安全等級保護標準體系和主要標準介紹》。

在本次關於等級保護2.0的介紹中，馬力強調新標準將雲端計算、移動互聯、物聯網、工業控制系統等列入標準範圍，構成了“安全通用要求+新型應用安全擴充套件要求”的要求內容。新標準“基本要求、設計要求和測評要求” 分類框架統一，形成了“安全通訊網路”、“安全區域邊界”、“安全計算環境”和“安全管理中心” 支援下的三重防護體系架構。強化了可信計算技術使用的要求，把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。同時在基本要求的解讀中重點指出了等級保護2.0相對於之前標準的十大變化，讓聽眾對新標準有了更清晰的認識。

等保2.0的十個變化

變化一：名稱的變化

原來：

《資訊系統安全等級保護基本要求》

 改為：

《資訊保安等級保護基本要求》

再改為：（與《網路安全法》保持一致）

《網路安全等級保護基本要求》

變化二：物件的變化

原來：資訊系統

改為：等級保護物件（網路和資訊系統）

安全等級保護的物件包括網路基礎設施（廣電網、電信網、專用通訊網路等）、雲端計算平臺/系統、大資料平臺/系統、物聯網、工業控制系統、採用移動互聯技術的系統等。

變化三：安全要求的變化

原來：安全要求

改為：安全通用要求和安全擴充套件要求

安全通用要求是不管等級保護物件形態如何必須滿足的要求，針對雲端計算、移動互聯、物聯網和工業控制系統提出了特殊要求，稱為安全擴充套件要求。

變化四：章節結構的變化

8 第三級安全要求

8.1 安全通用要求

8.2 雲端計算安全擴充套件要求

8.3 移動互聯安全擴充套件要求

8.4 物聯網安全擴充套件要求

8.5 工業控制系統安全擴充套件要求

變化五：分類結構的變化

結構和分類調整為：

技術部分：

物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全

管理部分：

安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理

技術部分：

安全物理環境、安全通訊網路、安全區域邊界、安全計算環境、安全管理中心

管理部分：

安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理

變化六：增加了雲端計算安全擴充套件要求

雲端計算安全擴充套件要求章節針對雲端計算的特點提出特殊保護要求。對雲端計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“映象和快照保護”、“雲服務商選擇”和“雲端計算環境管理”等方面。

變化七：增加了移動網際網路安全擴充套件要求

移動互聯安全擴充套件要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟體採購”和“移動應用軟體開發”等方面。

變化八：增加了物聯網安全擴充套件要求

物聯網安全擴充套件要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點裝置安全”、“感知閘道器節點裝置安全”、“感知節點的管理”和“資料融合處理”等方面。

變化9：增加了工業控制系統安全擴充套件要求

工業控制系統安全擴充套件要求章節針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制裝置防護”、“工業控制系統網路架構安全”、“撥號使用控制”、“無線使用控制”和“控制裝置安全”等方面。

變化10：增加了應用場景的說明

增加附錄C 描述等級保護安全框架和關鍵技術 ，增加附錄D描述雲端計算應用場景，附錄E描述移動互聯應用場景，附錄F描述物聯網應用場景，附錄G描述工業控制系統應用場景。

附錄H描述大資料應用場景（安全擴充套件要求）。