等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。《网络安全法》出台后,等级保护制度更是提升到了法律层面,等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。
等级保护2.0安全框架
那么等保2.0究竟发生了哪些变化,由等保1.0时代的不温不火演变成2.0时代的风口浪尖呢?
等保2.0时代,监管对象从传统信息系统变成了网络安全等级保护对象,一个业务系统一个平台都会纳入等级保护范围之内,未来监管机构在检查的时候对于具体的技术措施、安全措施做一些相应的检查,同时还会升级现有的技术手段,应对分领域的技术检查。
等保2.0时代,合规测评在测评的对象,测评依据、等级保护报告模版以及等保的测评结论上都进行了相应的完善;比如在云计算环境下,测评对象需要考虑虚拟化技术的应用导致很多虚拟计算对象;测评依据能否满足虚拟化技术的要求;等保报告上需要考虑引入云平台与云租户后,在等保报告上得分的依赖关系;最后是对于承载了多业务系统的平台,其平台的测评报告是多业务系统可以共用的。
等保2.0时代,在合规性建设方面,更加强调云平台整体;特别是基于4A的统一身份认证、统一用户授权,统一账户管理,统一安全审计,同时要强调平台内部通讯的加密以及相互之间的认证和动态预警还有快速响应能力建设安全服务产品的合规。
01、标准名称的变化
等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。
02、保护对象的变化
在开展网络安全等级保护工作中应首先明确等级保护对象。
等保1.0定义等级保护对象为:信息安全等级保护工作直接作用的具体信息和信息系统。随着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现,原定义内涵局限性日益显现。
等保2.0定义等级保护对象为:包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
03、标准内容的变化(以基本要求为例)
等保1.0:安全要求
等保2.0:安全通用要求和安全扩展要求
等保2.0安全通用要求是普适性要求,是不管等级保护对象形态如何,必须满足的要求。其中包括:云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
针对云计算、移动互联、物联网和工业控制系统,除了满足安全通用要求外,还需满足的补充要求称为安全扩展要求:
云计算
云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联
针对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网
物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统
工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
04、控制措施分类结构的变化
等保2.0由旧标准的10个分类调整为8个分类,分别为:
技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
05、标准控制点和要求项的变化
等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。
控制点变化对比表
要求项变化对比表
06、等保2.0技术部分变化简析
旧标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全形势的发展,结合《中华人民共和国网络安全法》中对于持续监测、威胁情报、快速响 应类的要求提出了具体的落地措施。下面简析等保2.0的部分技术措施:
总而言之,等保2.0较之前的旧标准可以说有突破性的进展,尤其在移动互联、云计算、物联网等新的业务环境均提供安全建设标准和指导,是当前构建网络安全体系架构的重要建设思路,积极落实网络安全等级保护制度,不仅仅能够满足相关法律的合规性要求,更能提升整体网络的综合安全防护能力,真正帮助企业用户保障网络、数据和业务的安全性!