一文讀懂 | 等保標準演變史(1.0~2.0)

一文讀懂 | 等保標準演變史(1.0~2.0)

2019-05-14 16:22    原創  作者: 山石網科 編輯:
0購買

 摘要:

  在業界呼聲極高的等保2.0,於2019年5月13日正式發布。山石網科資深專家第一時間為您分析解讀,等保2.0發生了哪些重要變化?

  進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。

隨着雲計算、移動互聯、大數據、物聯網、人工智能等新技術不斷湧現,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯。雲計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎,而其中網絡和信息系統作為新興產業的承載者,構建起了整個經濟社會的神經中樞,保證其安全性不言而喻。

由於業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有基礎信息網絡、信息系統、雲計算平台、大數據平台、物聯網系統、工業控制系統等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標準體系需要提升台階,去適應新技術的發展,等級保護的相關標準也需要跟上新技術的變化。“等保1.0”的標準體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此“等保2.0“應運而生。

等級保護2.0安全框架

  針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防禦體系。應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。

  • 名稱的變化

首先安全的內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),並進一步演進為面向網絡空間的網絡安全。網絡安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網絡安全法》明確規定“國家實行網絡安全等級保護制度“,相關法律條文和標準也需保持一致性,“等保2.0“與時俱進的將原標準的”信息系統安全等級保護“改為”網絡安全等級保護“,例如《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。

等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標準進行修訂和完善,以滿足新形勢下等級保護工作的需要,其中《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全安全等級保護基本要求》、《信息安全技術 網絡安全等級保護安全設計要求》已於2019年5月10日發布,並將在2019年12月1日實施。

  • 等級保護對象的演變

在開展網絡安全等級保護工作中應首先明確等級保護對象。

 等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統。隨着雲計算平台、物聯網、工業控制系統等新形態的等級保護對象不斷湧現,原定義內涵局限性日益顯現。

等保2.0定義等級保護對象為:包括基礎信息網絡、雲計算平台/系統、大數據應用/平台/資源、物聯網、工業控制系統和採用移動互聯技術的系統等。

  • 內容的變化(以基本要求為例)

 等保1.0:安全要求

  等保2.0:安全通用要求和安全擴展要求

• 安全通用要求

• 雲計算安全擴展要求

• 移動互聯安全擴展要求

• 物聯網安全擴展要求

• 工業控制系統安全擴展要求

等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求;針對雲計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求。

雲計算安全擴展要求針對雲計算的特點提出特殊保護要求。雲計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“雲服務商選擇”和“雲計算環境管理”等方面。

針對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件採購”和“移動應用軟件開發”等方面。

物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。

工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。

  • 控制措施分類結構的變化

以基本要求為例,充分體現一个中心,三重防禦的思想(和GB/T 25070保持一致,與設計要求融合)。

  • 總結一下

1、等級保護的基本要求、測評要求和設計技術要求統一框架,構建“一个中心,三重防護“的體系框架;

2、通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制系統等列入標準規範;

基於此,進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

一文讀懂 | 等保標準演變史(1.0~2.0)