信息安全人员必知的等级保护新标准2.0
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,近期,等级保护2.0正式发布。据了解,等级保护2.0在标准名称、保护对象、章节结构、控制措施等部分均进行了修改和更新,相较于等级保护1.0版本,等级保护2.0经过不断的完善、更新、充实,实用性与操作性更高。
此次等级保护2.0的正式推出,标志着我国网络安全等级保护工作正式进入“2.0时代”。在带来一系列新技术、新产业蓬勃发展的同时,也带来了新的挑战,对于强势来袭的等级保护2.0,网络安全的治理将走向何方?信息安全人员是否倍感压力?又该如何应对?
我们结合等级保护2.0的新标准,以“一线”视角为广大用户进行详细解读,并为企业用户做到标准合规提出建议。
1. 网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。做好等级保护工作可以实现:满足国家相关法律法规和制度的要求;降低信息安全风险,提高定级对象的安全防护能力;合理地规避或降低风险;履行和落实网络信息安全责任义务。
2. 等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
3. 等级保护2.0横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求,纵向扩展了对等保测评机构的规范管理。
4. 相较于等级保护1.0,等级保护2.0重新对部分内容的顺序作了调整,从整体显得更加的合理。并且,增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。
5. 等级保护2.0新增定级流程,从确定定级对象、初步确认等级、专家评审、主管部门审核到公安机关备案审查,最后到最终确定的等级。
6. 等级保护2.0重新对定级对象进行调整,并进行相应的介绍。等级保护2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。
7. 云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。云计算服务模式包括:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS),在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
8. 在云计算环境中,考虑到不同的安全建设和管理责任,应将云服务方侧的云计算平台和云租户侧的等级保护对象也应作为单独的定级对象定级。而大型云计算平台应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
9. 等级保护2.0云计算扩展要求中,对于IaaS层来说,在设施方面的控制要求,增加了:一是提出物理位置的选择的要求,例如云计算的所有物理设备和数据均存放在国内;二是提出服务供应商选择和供应链管理的要求,例如选择云服务商和供应商的过程须符合国家的要求。而在硬件方面的控制要求,增加了:一是提出身份鉴别的要求,例如设备之间建立双向身份验证机制。二是提出访问控制的要求,例如在远程管理设备时不能直接连接其他网络。三是提出数据保密性的要求,例如保证设备之间网络通信的保密性。
10. 等级保护2.0云计算扩展要求中,对于PaaS层来说,增加了:一是提出对数据集中审计的、职责划分的要求;二是提出了对开发环境访问控制的要求。
11. 等级保护2.0云计算扩展要求中,对于SaaS层来说,增加了:一是接口安全的控制要求。二是提出了对应用系统监测、数据备份/存储/迁移/审计的控制要求。三是提出了对职责与权限划分、数据安全审计、恶意代码检测、资源控制的要求。除此之外,还特别增加了:一是供应链管理、监控和审计管理的控制要求,二是提出了对选择服务商、测试验收、平台接口安全、授权审批的控制要求。
此次等级保护2.0的正式推出,标志着我国网络安全等级保护工作正式进入“2.0时代”。在带来一系列新技术、新产业蓬勃发展的同时,也带来了新的挑战,对于强势来袭的等级保护2.0,网络安全的治理将走向何方?信息安全人员是否倍感压力?又该如何应对?
我们结合等级保护2.0的新标准,以“一线”视角为广大用户进行详细解读,并为企业用户做到标准合规提出建议。
1. 网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。做好等级保护工作可以实现:满足国家相关法律法规和制度的要求;降低信息安全风险,提高定级对象的安全防护能力;合理地规避或降低风险;履行和落实网络信息安全责任义务。
2. 等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
3. 等级保护2.0横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求,纵向扩展了对等保测评机构的规范管理。
4. 相较于等级保护1.0,等级保护2.0重新对部分内容的顺序作了调整,从整体显得更加的合理。并且,增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。
5. 等级保护2.0新增定级流程,从确定定级对象、初步确认等级、专家评审、主管部门审核到公安机关备案审查,最后到最终确定的等级。
6. 等级保护2.0重新对定级对象进行调整,并进行相应的介绍。等级保护2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。
7. 云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。云计算服务模式包括:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS),在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
8. 在云计算环境中,考虑到不同的安全建设和管理责任,应将云服务方侧的云计算平台和云租户侧的等级保护对象也应作为单独的定级对象定级。而大型云计算平台应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
9. 等级保护2.0云计算扩展要求中,对于IaaS层来说,在设施方面的控制要求,增加了:一是提出物理位置的选择的要求,例如云计算的所有物理设备和数据均存放在国内;二是提出服务供应商选择和供应链管理的要求,例如选择云服务商和供应商的过程须符合国家的要求。而在硬件方面的控制要求,增加了:一是提出身份鉴别的要求,例如设备之间建立双向身份验证机制。二是提出访问控制的要求,例如在远程管理设备时不能直接连接其他网络。三是提出数据保密性的要求,例如保证设备之间网络通信的保密性。
10. 等级保护2.0云计算扩展要求中,对于PaaS层来说,增加了:一是提出对数据集中审计的、职责划分的要求;二是提出了对开发环境访问控制的要求。
11. 等级保护2.0云计算扩展要求中,对于SaaS层来说,增加了:一是接口安全的控制要求。二是提出了对应用系统监测、数据备份/存储/迁移/审计的控制要求。三是提出了对职责与权限划分、数据安全审计、恶意代码检测、资源控制的要求。除此之外,还特别增加了:一是供应链管理、监控和审计管理的控制要求,二是提出了对选择服务商、测试验收、平台接口安全、授权审批的控制要求。