關於等保2.0，你需要了解的

等保2.0全稱為資訊保安技術網路安全等級保護基本要求2.0。GB/T 22239-2019代替22239-2008。是公安部頒發，針對全行業進行定級、備案、建設整改、等級測評、監督檢查的強制性檔案。與此同時，也是當今我國的網路安全領域的一項基本制度，基本國策。

 

首先是關於執行等保2.0的必要性。在《中華人民共和國網路安全法》中針對這方面有明文要求：

• 第二十一條要求：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路資料洩露或者被竊取、篡改
• 第二十五條要求：網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。
• 第三十一條要求：國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定。
• 第五十九條要求：網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

 

因此不展開等級保護等於違法。

 

那怎麼樣才能落實等保2.0，其具體要求是怎樣的呢？與等保1.0相比，等保2.0在很多方面都進行了細化，同時也提出了更高的要求。從法律法規、標準要求、安全體系、實施環節等方面都有了變化。主要變化如下：

• 將標準名稱變更為《資訊保安技術 網路安全等級保護基本要求》；

• 調整分類為安全物理環境、安全通訊網路、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理；
• 調整各個級別的安全要求為安全通用要求、雲端計算安全擴充套件要求、移動互聯安全擴充套件要求、物聯網安全擴充套件要求和工業控制系統安全擴充套件要求；
• 取消了原來安全控制點的S、A、G標註，增加一個附錄A 描述等級保護物件的定級結果和安全要求之間的關係，說明如何根據定級結果選擇安全要求；
• 調整了原來附錄A 和附錄 B的順序，增加了附錄C描述網路安全等級保護總體框架，並提出關鍵技術使用要求。

 

以上是等保2.0中提出的變化。接下來談談詳細的規程規制。資訊系統根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由高到低分為五級：

• 第一級，等級保護物件受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；
• 第二級，等級保護物件受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；
• 第三級，等級保護物件受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；
• 第四級，等級保護物件受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

• 第五級，等級保護物件受到破壞後，會對國家安全造成特別嚴重損害。

 

等保2.0主要是對各級保護物件提出了詳細要求。其中由於第五等級保護物件是非常重要的監督管理物件，對其有特殊的管理模式和安全要求，所以不在等保2.0中進行描述。

 

在之前的等保1.0，各級安全要求是分為兩大部分，技術要求和管理要求，而最新的等保2.0已不再劃分，更加整潔和扼要。

 

在等保2.0中，各級安全要求都是圍繞五項要求展開的，即安全通用要求、雲端計算安全擴充套件要求、移動互聯安全擴充套件要求、物聯網安全擴充套件要求、工業控制系統安全擴充套件要求，無外乎具體細則要求的強度不同。

 

第一級的安全通用要求包括，物理環境、通訊網路、區域邊界、計算環境、管理制度、管理機構、管理人員、建設管理、運維管理。具體要求做到物理訪問控制、防盜、防破壞、防雷擊、防火、防水、防潮、溫溼度控制、電力供應等。

 

針對不同物件的要求都是圍繞這些專案展開的。例如：雲端計算安全擴充套件要求包括，物理環境、通訊網路、區域邊界、計算環境、建設管理；移動互聯安全擴充套件要求包括，物理環境、區域邊界、計算環境、建設管理；物聯網安全擴充套件要求包括，物理環境、區域邊界、運維管理；工業控制系統安全擴充套件要求包括，物理環境、通訊網路、區域邊界、計算環境。

 

而針對第二級，各項要求都有了更高要求的補充，例如在安全通用要求中加了電磁防護，或是對原先的入侵防範多了三項要求等。以此類推，第三級、第四級的要求也是在原有基礎上新增和補充。

 

由於篇幅原因，不能夠對等保2.0中所有的細則進行對比分析，此處著重分析對於各級保護物件關於管控中心的要求。在等保2.0中，針對第一級保護物件，並沒有安全管理中心的相關要求，只需要做到建立安全管理制度。

 

針對第二級保護物件，在第7.1.5條中關於安全管理中心的要求，提出管理中心的功能主要包括系統管理和審計管理兩部分。系統管理主要是對系統管理員進行身份鑑別和對相關操作進行審計，並能夠通過系統管理員進行各類資源配置。審計管理主要是對審計操作的命令進行約束，以及能夠對審計人員的操作進行審計，分析結果便於查詢。

 

針對第三級保護物件，在第8.1.5條中關於安全管理中心的要求，比第二級的要求多出兩項，除了原有的系統管理和審計管理，新增加了安全管理、集中管控。

• 安全管理提出對安全管理員的相關操作命令進行約束，以及能夠對其操作進行審計，並能夠通過安全管理員進行安全策略的配置。
• 集中管控，這是最重要的功能。這項要求從功能上和技術實現上，跟前兩級要求劃分了界限。其要求劃分特定的管理區域，對分佈在網路中的安全裝置或安全元件進行管控；建立安全的資訊傳輸路徑，對網路鏈路、安全裝置、網路裝置和伺服器等進行集中監測；對分散裝置的審計資料進行收集彙總和集中分析；對安全策略，惡意程式碼、補丁升級等進行集中管理；對網路中的各類安全事件進行識別、報警和分析。

 

針對第四級保護物件，在第9.1.5條中關於安全管理中心的要求，在集中管控要求比第三級的要求多出一項。保證系統範圍內的時間由唯一確定的時鐘產生，以保證各種資料的管理和分析在時間上的一致性。

 

集中管控的功能是第三級、第四級的重點。要求對三重防護，通訊網路、區域邊界、計算環境中的安全裝置或安全元件進行集中管控，包括縱向認證、路由器、交換機、橫向隔離、防火牆、惡意程式碼防範、入侵檢測、主機加固、安全審計、安全自評估工具等，這是過去極少實現的，以致於聽過有人說現在不存在可用統一管控的產品。

 

但考慮到國家檔案已經下發，肯定是有看到技術的可行性，以及成熟的產品。現如今的安全廠家肯定有能夠實現的產品，但肯定不會多。

 

這是等保2.0中附錄C的安全框架圖。其體系架構特點可以概括為1+3，即一個安全管理中心支援下的三重防護體系架構：

 

 

最後，說下現狀。由於等保2.0是2019年12月1日發行的，因此今年是採用全新要求來做等保測評的。而做等保測評先要到公安部備案定級，公安部通過後再根據定級來做防護，部分地區會刻意讓下屬廠站定在第二等級，這樣在管控平臺的相關要求會低很多。但其實，只要單位遭受破壞後，會對國家安全造成損害，都會定在三級以上，電廠是電網的一個點，經常被用來當做跳板攻擊中調，配電公司也是同樣的道理。因此廠站理論上來說都是要至少做三級的，即要實現能夠統一管控安全裝置和安全元件。

 

以上就是關於等保2.0的一部分解讀，也希望今年等保測評都能順利通過。關注公眾號：IT學子，回覆等保2.0，可獲取等保1.0，等保2.0，以及相關解讀資料。回覆網路安全法，可獲取中華人民共和國網路安全法。