在業(yè)界呼聲極高的等保2.0，于2019年5月13日正式發(fā)布。山石網(wǎng)科資深專家為您分析解讀，等保2.0發(fā)生了哪些重要變化?

進(jìn)入等保2.0時(shí)代，我們應(yīng)重點(diǎn)對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進(jìn)行全面安全防護(hù)，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。

隨著云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)不斷涌現(xiàn)，計(jì)算機(jī)信息系統(tǒng)的概念已經(jīng)不能涵蓋全部，特別是互聯(lián)網(wǎng)快速發(fā)展帶來大數(shù)據(jù)價(jià)值的凸顯。云計(jì)算、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等新技術(shù)的不斷拓展已經(jīng)成為產(chǎn)業(yè)結(jié)構(gòu)升級(jí)的堅(jiān)實(shí)基礎(chǔ)，而其中網(wǎng)絡(luò)和信息系統(tǒng)作為新興產(chǎn)業(yè)的承載者，構(gòu)建起了整個(gè)經(jīng)濟(jì)社會(huì)的神經(jīng)中樞，保證其安全性不言而喻。

由于業(yè)務(wù)目標(biāo)的不同、使用技術(shù)的不同、應(yīng)用場景的不同等因素，不同的等級(jí)保護(hù)對(duì)象會(huì)以不同的形態(tài)出現(xiàn)，表現(xiàn)形式有基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。形態(tài)不同的保護(hù)對(duì)象面臨的威脅有所不同，安全保護(hù)需求也會(huì)有所差異。現(xiàn)有的標(biāo)準(zhǔn)體系需要提升臺(tái)階，去適應(yīng)新技術(shù)的發(fā)展，等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)也需要跟上新技術(shù)的變化。“等保1.0”的標(biāo)準(zhǔn)體系在適用性、時(shí)效性、易用性、可操作性上需要進(jìn)一步擴(kuò)充和完善，因此“等保2.0“應(yīng)運(yùn)而生。

圖注：等級(jí)保護(hù)2.0安全框架

針對(duì)等級(jí)保護(hù)對(duì)象特點(diǎn)建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系。應(yīng)依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)，開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊(duì)伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作。

名稱的變化

首先安全的內(nèi)涵由早期面向數(shù)據(jù)的信息安全，過度到面向信息系統(tǒng)的信息保障(信息系統(tǒng)安全)，并進(jìn)一步演進(jìn)為面向網(wǎng)絡(luò)空間的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全(cybersecurity)以其更豐富的內(nèi)涵逐步取待信息安全成為安全領(lǐng)域共識(shí)，《網(wǎng)絡(luò)安全法》明確規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度“，相關(guān)法律條文和標(biāo)準(zhǔn)也需保持一致性，“等保2.0“與時(shí)俱進(jìn)的將原標(biāo)準(zhǔn)的”信息系統(tǒng)安全等級(jí)保護(hù)“改為”網(wǎng)絡(luò)安全等級(jí)保護(hù)“，例如《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。

等保2.0對(duì)定級(jí)指南、基本要求、實(shí)施指南、測評(píng)過程指南、測評(píng)要求、設(shè)計(jì)技術(shù)要求等標(biāo)準(zhǔn)進(jìn)行修訂和完善，以滿足新形勢下等級(jí)保護(hù)工作的需要，其中《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)要求》已于2019年5月10日發(fā)布，并將在2019年12月1日實(shí)施。

保護(hù)對(duì)象的變化

在開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中應(yīng)首先明確等級(jí)保護(hù)對(duì)象。

等保1.0定義等級(jí)保護(hù)對(duì)象為：信息安全等級(jí)保護(hù)工作直接作用的具體信息和信息系統(tǒng)。隨著云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新形態(tài)的等級(jí)保護(hù)對(duì)象不斷涌現(xiàn)，原定義內(nèi)涵局限性日益顯現(xiàn)。

等保2.0定義等級(jí)保護(hù)對(duì)象為：包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

內(nèi)容的變化

(以基本要求為例)

等保1.0：安全要求

等保2.0：安全通用要求和安全擴(kuò)展要求

安全通用要求

云計(jì)算安全擴(kuò)展要求

移動(dòng)互聯(lián)安全擴(kuò)展要求

物聯(lián)網(wǎng)安全擴(kuò)展要求

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

注：等保2.0安全通用要求是普適性要求，是不管等級(jí)保護(hù)對(duì)象形態(tài)如何，必須滿足的要求;針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)，除了滿足安全通用要求外，還需滿足的補(bǔ)充要求稱為安全擴(kuò)展要求。

擴(kuò)展要求1云計(jì)算

云計(jì)算安全擴(kuò)展要求針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求。云計(jì)算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面。

擴(kuò)展要求2移動(dòng)互聯(lián)

針對(duì)移動(dòng)互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點(diǎn)的物理位置”、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購”和“移動(dòng)應(yīng)用軟件開發(fā)”等方面。

擴(kuò)展要求3物聯(lián)網(wǎng)

物聯(lián)網(wǎng)安全擴(kuò)展要求針對(duì)物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求。對(duì)物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面。

擴(kuò)展要求4工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)安全擴(kuò)展要求針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)提出特殊保護(hù)要求。對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號(hào)使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面。

控制措施分類結(jié)構(gòu)的變化

以基本要求為例，充分體現(xiàn)一個(gè)中心，三重防御的思想(和GB/T 25070保持一致，與設(shè)計(jì)要求融合)。

總結(jié)一下

1、等級(jí)保護(hù)的基本要求、測評(píng)要求和設(shè)計(jì)技術(shù)要求統(tǒng)一框架，構(gòu)建“一個(gè)中心，三重防護(hù)“的安全體系;

2、通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入了標(biāo)準(zhǔn)規(guī)范。

基于這些變化，進(jìn)入等保2.0時(shí)代，我們應(yīng)重點(diǎn)對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進(jìn)行全面安全防護(hù)，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。