等級保護制度是我國在網絡安全領域的基本制度、基本國策,是國家網絡安全意志的體現。《網絡安全法》出臺后,等級保護制度更是提升到了法律層面,等保2.0在1.0的基礎上,更加注重全方位主動防御、動態防御、整體防控和精準防護,除了基本要求外,還增加了對云計算、移動互聯、物聯網、工業控制和大數據等對象全覆蓋。等保2.0標準的發布,對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義。
等級保護2.0安全框架
那么等保2.0究竟發生了哪些變化,由等保1.0時代的不溫不火演變成2.0時代的風口浪尖呢?
等保2.0時代,監管對象從傳統信息系統變成了網絡安全等級保護對象,一個業務系統一個平臺都會納入等級保護范圍之內,未來監管機構在檢查的時候對于具體的技術措施、安全措施做一些相應的檢查,同時還會升級現有的技術手段,應對分領域的技術檢查。
等保2.0時代,合規測評在測評的對象,測評依據、等級保護報告模版以及等保的測評結論上都進行了相應的完善;比如在云計算環境下,測評對象需要考慮虛擬化技術的應用導致很多虛擬計算對象;測評依據能否滿足虛擬化技術的要求;等保報告上需要考慮引入云平臺與云租戶后,在等保報告上得分的依賴關系;最后是對于承載了多業務系統的平臺,其平臺的測評報告是多業務系統可以共用的。
等保2.0時代,在合規性建設方面,更加強調云平臺整體;特別是基于4A的統一身份認證、統一用戶授權,統一賬戶管理,統一安全審計,同時要強調平臺內部通訊的加密以及相互之間的認證和動態預警還有快速響應能力建設安全服務產品的合規。
01、標準名稱的變化
等保2.0將原來的標準《信息安全技術 信息系統安全等級保護基本要求》改為《信息安全技術 網絡安全等級保護基本要求》,與《中華人民共和國網絡安全法》中的相關法律條文保持一致。
02、保護對象的變化
在開展網絡安全等級保護工作中應首先明確等級保護對象。
等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統。隨著云計算平臺、物聯網、工業控制系統等新形態的等級保護對象不斷涌現,原定義內涵局限性日益顯現。
等保2.0定義等級保護對象為:包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。
03、標準內容的變化(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求。其中包括:云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。
針對云計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求:
云計算
云計算安全擴展要求針對云計算的特點提出特殊保護要求。云計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”等方面。
移動互聯
針對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。
物聯網
物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。
工業控制系統
工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。
04、控制措施分類結構的變化
等保2.0由舊標準的10個分類調整為8個分類,分別為:
技術部分:物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全;
管理部分:安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。
05、標準控制點和要求項的變化
等保2.0在控制點要求上并沒有明顯增加,通過合并整合后相對舊標準略有縮減。
控制點變化對比表
要求項變化對比表
06、等保2.0技術部分變化簡析
舊標準更偏重于對于防護的要求,而等保2.0標準更適應當前網絡安全形勢的發展,結合《中華人民共和國網絡安全法》中對于持續監測、威脅情報、快速響 應類的要求提出了具體的落地措施。下面簡析等保2.0的部分技術措施:
總而言之,等保2.0較之前的舊標準可以說有突破性的進展,尤其在移動互聯、云計算、物聯網等新的業務環境均提供安全建設標準和指導,是當前構建網絡安全體系架構的重要建設思路,積極落實網絡安全等級保護制度,不僅僅能夠滿足相關法律的合規性要求,更能提升整體網絡的綜合安全防護能力,真正幫助企業用戶保障網絡、數據和業務的安全性!