等保標準演變史
在業界呼聲極高的等保2.0,于2019年5月13日正式發布。山石網科資深專家第一時間為您分析解讀,等保2.0發生了哪些重要變化?
進入等保2.0時代,我們應重點對云計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。
隨著云計算、移動互聯、大數據、物聯網、人工智能等新技術不斷涌現,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯。云計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎,而其中網絡和信息系統作為新興產業的承載者,構建起了整個經濟社會的神經中樞,保證其安全性不言而喻。
由于業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有基礎信息網絡、信息系統、云計算平臺、大數據平臺、物聯網系統、工業控制系統等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標準體系需要提升臺階,去適應新技術的發展,等級保護的相關標準也需要跟上新技術的變化。“等保1.0”的標準體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此“等保2.0“應運而生。
圖注:等級保護2.0安全框架
針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防御體系。應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。
名稱的變化
首先安全的內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),并進一步演進為面向網絡空間的網絡安全。網絡安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網絡安全法》明確規定“國家實行網絡安全等級保護制度“,相關法律條文和標準也需保持一致性,“等保2.0“與時俱進的將原標準的”信息系統安全等級保護“改為”網絡安全等級保護“,例如《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。
等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標準進行修訂和完善,以滿足新形勢下等級保護工作的需要,其中《信息安全技術網絡安全等級保護測評要求》、《信息安全技術 網絡安全安全等級保護基本要求》、《信息安全技術 網絡安全等級保護安全設計要求》已于2019年5月10日發布,并將在2019年12月1日實施。
保護對象的變化
在開展網絡安全等級保護工作中應首先明確等級保護對象。
等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統。隨著云計算平臺、物聯網、工業控制系統等新形態的等級保護對象不斷涌現,原定義內涵局限性日益顯現。
等保2.0定義等級保護對象為:包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。
內容的變化
(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
安全通用要求
云計算安全擴展要求
移動互聯安全擴展要求
物聯網安全擴展要求
工業控制系統安全擴展要求
注:等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求;針對云計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求。
擴展要求1云計算
云計算安全擴展要求針對云計算的特點提出特殊保護要求。云計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”等方面。
擴展要求2移動互聯
針對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。
擴展要求3物聯網
物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。
擴展要求4工業控制系統
工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。
控制措施分類結構的變化
以基本要求為例,充分體現一個中心,三重防御的思想(和GB/T 25070保持一致,與設計要求融合)。
總結一下
1、等級保護的基本要求、測評要求和設計技術要求統一框架,構建“一個中心,三重防護“的安全體系;
2、通用安全要求+新型應用安全擴展要求,將云計算、移動互聯、物聯網、工業控制系統等列入了標準規范。
基于這些變化,進入等保2.0時代,我們應重點對云計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。
