等级保护1.0标准体系
>>>等级保护1.0时期的主要标准如下: 信息安全等级保护管理办法(43号文件)(上位文件) 计算机信息系统安全保护等级划分准则 GB17859-1999(上位标准) 信息系统安全等级保护实施指南 GB/T25058-2008 信息系统安全保护等级定级指南 GB/T22240-2008 信息系统安全等级保护基本要求 GB/T22239-2008 信息系统等级保护安全设计要求 GB/T25070-2010 信息系统安全等级保护测评要求 GB/T28448-2012 信息系统安全等级保护测评过程指南 GB/T28449-2012
等级保护2.0标准体系
随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。
>>>等级保护2.0标准体系主要标准如下: 网络安全等级保护条例(总要求/上位文件) 计算机信息系统安全保护等级划分准则(GB 17859-1999) 网络安全等级保护实施指南(GB/T25058-2020) 网络安全等级保护定级指南(GB/T22240-2020) 网络安全等级保护基本要求(GB/T22239-2019) 网络安全等级保护设计技术要求(GB/T25070-2019) 网络安全等级保护测评要求(GB/T28448-2019) 网络安全等级保护测评过程指南(GB/T28449-2018) >>>关键信息基础设施标准体系框架如下: 关键信息基础设施保护条例(征求意见稿)(总要求/上位文件) 关键信息基础设施安全保护要求(征求意见稿) 关键信息基础设施安全控制要求(征求意见稿) 关键信息基础设施安全控制评估方法(征求意见稿)
(上位标准)
主要标准的特点和变化
标准的主要特点
01 将对象范围由原来的信息系统改为等级保护对象(信息系统、通信网络设施和数据资源等),对象包括网络基础设施(广电网、电信网、专用通信网络 等)、云计算平台/系统、大数据平台/系统、物联网、工业控制 系统、采用移动互联技术的系统等。 02 在1.0标准的基础上进行了优化,同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。 03 采用了“一个中心,三重防护”的防护理念和分类结构,强化了建立纵深防御和精细防御体系的思想。 04 强化了密码技术和可信计算技术的使用,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。
标准的主要变化
01 名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。 02 将原来各个级别的安全要求分为安全通用要求和安全扩展要求,其中安全扩展要求包括安全扩展要求云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求。 03 基本要求中各级技术要求修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;各级管理要求修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。 04 取消了原来安全控制点的S、A、G标注,增加一个附录A“关于安全通用要求和安全扩展要求的选择和使用”,描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级的S、A结果选择安全要求的相关条款,简化了标准正文部分的内容。增加附录C描述等级保护安全框架和关键技术、增加附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。
主要标准的框架和内容
标准的框架结构
例如,《GB/T 22239-2019》采用的框架结构如图1所示。
图1 安全通用要求框架结构
安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。
安全通用要求
安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。
1 安全物理环境 2 安全通信网络 3 安全区域边界 4 安全计算环境 5 安全管理中心 6 安全管理制度 7 安全管理机构 8 安全管理人员 9 安全建设管理 10 安全运维管理
安全扩展要求
安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。包括以下四方面:
1.云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
2.移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求,与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。
3.物联网安全扩展要求是针对感知层提出的特殊安全要求,与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
4.工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
千呼万唤始出来,2019年5月13日,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准(以下简称 等保2.0标准)正式发布,将于2019年12月1日开始实施。
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
究竟等保2.0标准与等保1.0标准相比,有哪些变化?又有哪些工作保持不变?
等级保护的概念自1994年提出后,经过20多年的发展和演进,在2.0时代已经有了不小的变化。但万变不离其宗,等级保护的五个等级不变、五项工作不变、主体职责不变。
第一级:用户自主保护级
第二级:系统保护审计级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保2.0标准仍然将围绕这5个规定动作开展工作。
运营使用单位对定级对象的等级保护职责不变
上级主管单位对所属单位的安全管理职责不变
第三方测评机构对定级对象的安全评估职责不变
网安对定级对象的备案受理及监督检查职责不变
近年来,随着信息技术的发展和网络安全形势的变化,传统等保安全要求已无法有效应对安全风险和新技术应用所带来的新威胁,以被动防御为主的防御已经out了,急需建立主动保障体系。等保2.0标准适时而出,应对新形势、新风险,满足新要求,扩大新内容。如此“新”的等保2.0标准,从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”:
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法。
《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,不开展等级保护等于违法!
等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
这里我们重点谈,安全扩展要求是等保2.0标准的“亮点”,要求细则必看:
云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:
原则性要求:
应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。
自身防护要求:
应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。
提供能力要求:
应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。
管理流量与业务流量分离
大数据授权与分类分级管理
大数据层面入侵防范与告警
大数据应用安全管理
网络安全入侵防范与认证授权
感知节点设备安全
非法感知节点设备识别与防范
抗数据重放,数据融合处理
感知节点管理
工业控制系统隔离与安全区域划分
工业控制数据加密传输
工业无线通信安全
工业控制设备自身安全
工业安全运维管理
无线边界控制与入侵防范
SSID广播与WEP认证
MDM、MCM管理
移动端应用安全管控
移动端数据安全管控
等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。
建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 。
在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0标准进行了优化和调整。
等保1.0定级的对象是信息系统,等保2.0标准的定级的对象扩展至:基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级。
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,测评达到75分以上才算基本符合要求。基本分高了,要求更严苛了。
当新技术不断冲击传统安全和传统等保,“与时俱进”的等保2.0标准,为保障云计算、大数据等新技术下的安全合规提供了基础保障。并且有助于增强未知威胁防范和攻击溯源的能力,打造包含感知预警、安全分析、动态防护、全面检测、应急处置并重等于一体的主动安全保障体系。此外,数据安全和个人信息保护也是等保2.0标准的重点,当数据价值被无限放大的当下,数据安全保护是一门“必修课”。
变化1:法律法规方面:从条例法规提升到法律层面,不做等级保护意味着违法,要追究法律责任。
变化2:标准要求方面:等级保护2.0系列标准全部修订,基本要求进一步扩展要求和优化。
变化3:实施环节方面:等级保护的实施环节有了优化改变,定级备案的对象从信息系统增加到基础信息网络、工业控制系统、云计算平台等,定级的等级、定级备案流程、测评周期和测评力度也有了比较明显的变化。
变化4:安全体系方面:等级保护从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。
除通用要求外还新增了5个(云大物工移)安全扩展要求,以应对新技术和新应用。在进行等级保护建设和测评时,需要考虑等级保护对象采用的技术对基本要求进行组合使用。
