捞干货 | 等保2.0的变化在哪里?
作者: 日期:2019年05月23日 阅:2,661

5月10日,网络安全等级保护制度2.0国家标准正式发布。网络安全等级保护制度,作为国家网络安全的重要组成部分,对加强国家网络安全保障工作,提升网络安全保护能力具有重要意义。

一、等级保护2.0时代的重要标志

  1. 《网络安全法》全面施行,把网络安全等级保护制度提升到法律保障层面。
  2. 公安部发布《网络安全等级保护条例》(制定中),从法规层推进实施国家网络安全等级保护制度。
  3. 网信办发布《关键信息基础设施安全保护条例》(制定中),加强国家关键信息基础设施防护。
  4. 为了解决新技术、新应用的安全问题,等级保护系列标准进行了修订。

等级保护系列标准

二、等级保护2.0的整体变化

1.等级保护2.0法律地位明显提升,监管对象更加广泛。将重要网络基础设施、重要信息系统、云计算平台、物联网、工控系统、大数据平台、公众服务平台等全部纳入等级保护监管,并将互联网企业纳入等级保护管理。

2.网络安全等级保护措施进一步完善。将风险评估、安全监测、预警通报、应急演练、自主可控、供应链安全等重点措施纳入等级保护制度实施。

3.等级保护2.0下,定级对象的安全等级确定更加科学。根据《网络安全等级保护条例(征求意见稿)》第十七条规定,对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。

定级流程

4.定级矩阵发生了变化(黑色加粗字体是较1.0变化的部分, 1.0是第二级)。

定级要素与等级的关系(定级指南-报批稿)

5.备案机关进行了调整。《根据网络安全等级保护条例(征求意见稿)》第十八条规定,第二级以上网络运营者应当在网络的安全保护等级确定后 10 个工作日内,到县级(之前是市级)以上公安机关备案。

6.等保2.0下的等级测评发生了变化,根据《网络安全等级保护条例(征求意见稿)》第二十三条规定,第三级以上网络的运营者应当每年开展一次网络安全等级测评(修改了43号文对第四级信息系统应当每半年至少进行一次等级测评的要求)。

7.等级保护2.0时代,以保护国家关键信息基础设施为重点。关键信息基础设施在等级保护第三级(包括第三级)以上的保护对象中确定。

关键信息基础设施和等级保护的关系

8.等级保护2.0下的安全建设,需要考虑建立可信验证机制,可参考安全等级实施可信验证。

不同安全等级的可信保障

三、等级保护基本要求的变化

1.标准名称的改变

基本要求名称由原来《信息系统安全等级保护基本要求》最终改为《网络安全等级保护基本要求》,与网络安全法保持一致。

2.基本要求结构发生了变化,突出了“一个中心,三重防护”。

原基本要求中各级技术要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,修订为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心;原各级管理要求的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,修订为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

 

技术要求的变化

管理要求的变化

3.等级保护安全要求发生了变化

新基本要求分为安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为为安全扩展要求。

基本要求结构

 

4.修订后的基本要求,安全通用部分整体要求项减少,标准更加利于实施。

 

 5.安全通用要求分析解读(黑色加粗字体是第三级增强的要求)

6.安全通信网络是针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等。 

7.安全计算环境是针对边界内部提出的安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。 

8.安全管理中心是针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理。 

9.恶意代码防范措施随着安全保护等级增强。第三级的恶意代码防范有两种选择,在不具备可信验证的情况下,可以选择其他技术措施(例如:主机防病毒、EDR等)进行恶意代码防范。 

10.第三级的可信验证要求是在应用程序的关键执行环节进行动态可信验证,在可信验证遭受破坏后进行报警,并将审计记录上传到安全管理中心。 

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章