在業(yè)界呼聲極高的等保2.0，于2019年5月13日正式發(fā)布。山石網(wǎng)科資深專家為您分析解讀，等保2.0發(fā)生了哪些重要變化?

進入等保2.0時代，我們應(yīng)重點對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進行全面安全防護，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。

隨著云計算、移動互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)不斷涌現(xiàn)，計算機信息系統(tǒng)的概念已經(jīng)不能涵蓋全部，特別是互聯(lián)網(wǎng)快速發(fā)展帶來大數(shù)據(jù)價值的凸顯。云計算、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術(shù)的不斷拓展已經(jīng)成為產(chǎn)業(yè)結(jié)構(gòu)升級的堅實基礎(chǔ)，而其中網(wǎng)絡(luò)和信息系統(tǒng)作為新興產(chǎn)業(yè)的承載者，構(gòu)建起了整個經(jīng)濟社會的神經(jīng)中樞，保證其安全性不言而喻。

由于業(yè)務(wù)目標的不同、使用技術(shù)的不同、應(yīng)用場景的不同等因素，不同的等級保護對象會以不同的形態(tài)出現(xiàn)，表現(xiàn)形式有基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。形態(tài)不同的保護對象面臨的威脅有所不同，安全保護需求也會有所差異。現(xiàn)有的標準體系需要提升臺階，去適應(yīng)新技術(shù)的發(fā)展，等級保護的相關(guān)標準也需要跟上新技術(shù)的變化。“等保1.0”的標準體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善，因此“等保2.0“應(yīng)運而生。

圖注：等級保護2.0安全框架

針對等級保護對象特點建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系。應(yīng)依據(jù)國家網(wǎng)絡(luò)安全等級保護政策和標準，開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作。

名稱的變化

首先安全的內(nèi)涵由早期面向數(shù)據(jù)的信息安全，過度到面向信息系統(tǒng)的信息保障(信息系統(tǒng)安全)，并進一步演進為面向網(wǎng)絡(luò)空間的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全(cybersecurity)以其更豐富的內(nèi)涵逐步取待信息安全成為安全領(lǐng)域共識，《網(wǎng)絡(luò)安全法》明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度“，相關(guān)法律條文和標準也需保持一致性，“等保2.0“與時俱進的將原標準的”信息系統(tǒng)安全等級保護“改為”網(wǎng)絡(luò)安全等級保護“，例如《信息系統(tǒng)安全等級保護基本要求》改為《網(wǎng)絡(luò)安全等級保護基本要求》。

等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設(shè)計技術(shù)要求等標準進行修訂和完善，以滿足新形勢下等級保護工作的需要，其中《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全安全等級保護基本要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計要求》已于2019年5月10日發(fā)布，并將在2019年12月1日實施。

保護對象的變化

在開展網(wǎng)絡(luò)安全等級保護工作中應(yīng)首先明確等級保護對象。

等保1.0定義等級保護對象為：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)。隨著云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新形態(tài)的等級保護對象不斷涌現(xiàn)，原定義內(nèi)涵局限性日益顯現(xiàn)。

等保2.0定義等級保護對象為：包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。

內(nèi)容的變化

(以基本要求為例)

等保1.0：安全要求

等保2.0：安全通用要求和安全擴展要求

安全通用要求

云計算安全擴展要求

移動互聯(lián)安全擴展要求

物聯(lián)網(wǎng)安全擴展要求

工業(yè)控制系統(tǒng)安全擴展要求

注：等保2.0安全通用要求是普適性要求，是不管等級保護對象形態(tài)如何，必須滿足的要求;針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)，除了滿足安全通用要求外，還需滿足的補充要求稱為安全擴展要求。

擴展要求1云計算

云計算安全擴展要求針對云計算的特點提出特殊保護要求。云計算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。

擴展要求2移動互聯(lián)

針對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。

擴展要求3物聯(lián)網(wǎng)

物聯(lián)網(wǎng)安全擴展要求針對物聯(lián)網(wǎng)的特點提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。

擴展要求4工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)安全擴展要求針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面。

控制措施分類結(jié)構(gòu)的變化

以基本要求為例，充分體現(xiàn)一個中心，三重防御的思想(和GB/T 25070保持一致，與設(shè)計要求融合)。

總結(jié)一下

1、等級保護的基本要求、測評要求和設(shè)計技術(shù)要求統(tǒng)一框架，構(gòu)建“一個中心，三重防護“的安全體系;

2、通用安全要求+新型應(yīng)用安全擴展要求，將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入了標準規(guī)范。

基于這些變化，進入等保2.0時代，我們應(yīng)重點對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進行全面安全防護，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。