乾貨·原創 等保2.0時代下的通用要求和安全擴展要求解讀

2020-12-13 世平信息

等保1.0和等保2.0的一個顯要的區別:等保2.0相關一系列標準已經由信息系統安全更名為網絡安全。

如其中的《信息系統安全等級保護基本要求》更名為《網絡安全等級保護基本要求》,通過名稱的變化,可以看出等保2.0的涉及對象的改變,定級對象由信息系統變成了等級保護對象。

覆蓋範圍變得更廣了,這也是針對新技術的發展擴大了新內容,這個後文會進行闡述。那為什麼會叫網絡安全呢?我認為自然也和2016年《網絡安全法》落地實施有所關聯,其中《網絡安全法》第二十一條明確規定:「國家實施網絡安全等級保護制度」。所以在《中華人民共和國網絡安全法》落地以後,等級保護工作已經上升到法律層面,網絡運營者不開展等級保護工作可能違法並追究網絡運營者及主管人員的法律責任。

等保2.0的落地自然會帶來新增需求,包括產品和服務兩部分。等保2.0帶來的市場增量約為54.27%,產品加服務總的新增空間為271.35億元。可見等保2.0的落地促進了一大批安全廠商和安全服務商的市場,也從側面反映出等保2.0的重要性。那麼等保2.0對比等保1.0究竟發生了怎樣的變化呢?

我們從《網絡安全等級保護基本要求》的目錄結構進行分析(如下圖)。

首先是第五章網絡安全等級保護概述中,關於等級保護對象,《網絡安全等級保護基本要求》中寫道:「等級保護對象是指網絡安全等級保護工作中的對象,通常是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,主要包括基礎信息網絡、雲計算平臺/系統、大數據應用/平臺/資源、物聯網(IoT)、工業控制系統和採用移動互聯技術的系統等。等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,由低到高被劃分為五個安全保護等級。」

這裡就涉及到如何劃分五個安全保護等級?如上圖,等保1.0提出自主定級,等保2.0就要求二級及以上系統必須經過專家評審和主管部門審核才能進行備案。其中2.0中對公民、法人和其他組織的合法權益造成特別嚴重損害的已由1.0的二級提升到了三級。

另外等保2.0還提出如果第三級及以上系統有特別重要的系統,稱之為關鍵信息基礎設施,那麼我們還需要依據關鍵信息基礎設施的標準加強保護。

網絡安全等級保護制度是我國網絡安全保障領域普適性的制度,是關鍵信息基礎設施保護的基礎,而關鍵信息基礎設施是網絡安全等級保護制度保護的重中之重。

目前關於關鍵信息基礎設施的標準還在起草過程中。網絡安全等級保護制度和關鍵信息基礎設施保護是網絡安全的兩個重要方面,不可分割。網絡運營者應當在安全保護等級為第三級(含)以上網絡中確定關鍵信息基礎設施,其安全保護等級不低於第三級。

前面提到等級保護對象明顯覆蓋範圍更加廣了,也在基本要求目錄中剩下的幾個章節可以看出。您可以清楚的發現每一章結構是一樣的,先是五個不同安全等級的安全要求,然後分別是安全通用要求、雲計算擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。等保1.0的標準是在2008年陸續推出,期間經過了十餘年的實踐,自然出現了許多新威脅與新技術。那麼從目錄可以看出這次針對雲計算、移動互聯、物聯網和工業控制系統都提出了安全擴展要求。類比08版的等保1.0標準,等保1.0的基本要求下直接是安全要求,然後劃分為技術要求和管理要求。而2.0的標準是安全要求,中間多了一層安全通用要求和安全擴展要求,然後分別在安全通用要求和安全擴展要求下劃分技術要求和管理要求。

如果再繼續細分,就會發現結構變化的差距更大了,主要體現在技術要求。

如下圖,如何理解這張圖,首先要先了解什麼是控制點和要求項。

舉個慄子

比如安全計算環境中有身份鑑別、訪問控制等控制點,控制點下面對應的abc不同要求就叫要求項。2.0中安全物理環境和1.0的物理安全中的控制點沒什麼差別,只是更改了部分要求項。但1.0的網絡安全可以從圖中看到,分別指向了2.0的安全通信網絡、安全區域邊界和安全計算環境,發生了比較大的變化。

具體是1.0的網絡安全中結構安全變成了2.0安全通信網絡中的網絡架構,並增加了通信傳輸和可信驗證。

1.0的網絡安全中的邊界完整性檢查對應更改為2.0中的邊界防護並增加了新的要求項,1.0的網絡安全的惡意代碼防範對應更改為了2.0中的惡意代碼和垃圾郵件防範,從控制點的變化可以看出2.0對垃圾郵件防護提出了要求。安全區域邊界中還增加了可信驗證,可信驗證是新版本的前瞻性要求。

那麼網絡設備防護和1.0中的應用安全、主機安全和數據及備份恢復都統一對應更改到了2.0的安全計算環境,並增加了可信驗證和個人信息保護。

最後1.0中的安全管理中心由原來的管理要求變成了技術要求,控制點分別為系統管理、審計管理、安全管理和集中管控。

說了這麼多變化,大家可能會產生疑問:安全通用要求和安全擴展要求到底怎麼去使用呢?

不必擔心,關於安全通用要求和安全擴展要求的選擇和使用在附錄中給大家詳細介紹了,並有針對性的對雲、移、物、工、大等應用場景進行說明。簡單舉例說明,如果某單位系統是託管於雲平臺,那麼用戶單位進行等保測評的時候,自然就是安全通用要求加上雲計算擴展要求,而且必須要求雲服務商等保安全等級大於客戶單位系統並通過等保測評。而針對不同雲計算的服務模式,如圖所示,雲服務商和雲服務客戶對計算資源擁有不同的控制範圍,控制範圍決定了安全責任的邊界。

在IaaS模式下,雲計算平臺/系統由設施、硬體、資源抽象控制層組成;

在PaaS模式下,雲計算平臺/系統包括設施、硬體、資源抽象控制層、虛擬化計算資源和軟體平臺;

在SaaS模式下,雲計算平臺/系統包括設施、硬體、資源抽象控制層、虛擬化計算資源、軟體平臺和應用軟體。

由此可知,雲服務商和雲服務客戶又會根據不同的模式在等保合規時要分開定級並進行測評。

以上就是關於等保2.0《網絡安全等級保護基本要求》的變化講解。由於新標準要求系統綜合得分75分以上才算是通過等保2.0了,並且變成了優、良、中、差四個測評結論,可以看出等保2.0的要求更加嚴格了。作為等級保護對象的我們該如何應對新標準的每個要求項新變化,從而達到等保2.0的合規建設要求?我們有機會再進行分享。

相關焦點

  • 等保2.0 擴展項 移動安全防護
    在沒有網絡安全就沒有國家安全的新形勢下,網絡安全等級保護制度2.0,已於2019年12月1日正式實施,安全保護要求全面升級,針對移動互聯提出了明確的安全擴展要求。如何構建移動安全移動互聯技術等級保護對象和安全防護重點,主要針對行動裝置、移動應用和無線網絡,在物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個技術層面進行擴展,在新的安全要求下,如何建設移動業務的安全防護體系,成為企業面臨的主要問題。
  • 金融等保與通用等保之間的差異(擴展篇)
    前兩期介紹了金融等保中通用安全要求的技術及管理的新增要求,本期將對擴展要求(雲計算、移動互聯、物聯網)中的新增要求進行介紹,安言將以直觀的形式提煉出JR/T 0071中三級系統的擴展要求相比於GB/T 22239中三級系統擴展要求的新增項,並對重點控制項進行解釋說明。
  • 東拉西扯 | 透過等保2.0,解讀當前網絡安全新趨勢
    網絡安全等級保護2.0標準擴展了等級保護對象,將網絡基礎設施、雲計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統納入保護範圍,並在通用要求的基礎上,補充提出了雲計算安全、移動網際網路安全、物聯網安全和工業控制系統安全的擴展要求。
  • 信息等保2.0:三級以上系統測評時間有變(附等保1.0與2.0區別分析)
    國家市場監督管理總局、國家標準化管理委員會5月13日召開的新聞發布會上,發布了新修訂的《信息安全技術網絡安全等級保護基本要求》(下稱《基本要求》)、《信息安全技術網絡安全等級保護測評要求》(下稱《測評要求》)和《信息安全技術網絡安全等級保護安全設計技術要求》(下稱《技術要求》)三個網絡安全領域的國家標準。
  • 「星·園計劃」走進蘇州 騰訊安全攜手安全專家解讀「等保2.0」
    騰訊雲高級運營經理李雲朋以騰訊雲協助某企業完成「七天恢復被刪除數據」為例闡釋了安全的重要價值,「沒有安全這個1,前面做的再多都是0」。他還表示,騰訊雲「星·園計劃」致力於將頂級的服務體系和標準下沉到園區,將騰訊外溢的安全能力開放給企業,與更多具有潛力的高新企業一同成長,合作共贏。
  • 「星·園計劃」走進蘇州,騰訊安全攜手安全專家解讀「等保2.0」
    騰訊雲高級運營經理李雲朋以騰訊雲協助某企業完成「七天恢復被刪除數據」為例闡釋了安全的重要價值,「沒有安全這個1,前面做的再多都是0」。他還表示,騰訊雲「星·園計劃」致力於將頂級的服務體系和標準下沉到園區,將騰訊外溢的安全能力開放給企業,與更多具有潛力的高新企業一同成長,合作共贏。
  • 等保2.0 | 安全物理環境基本要求
    以三級等級保護對象為例,描述安全通用要求的安全物理環境。安全物理環境是針對物理機房提出安全控制要求,主要對象為物理環境、物理設備和物理設施等;❖ 機房場地應選擇在具有防震、防風和防雨等能力的建築內;1)核查所在建築物是否具有建築物抗震設防審批文檔;2)核查機房是否不存在雨水滲漏;3)核查門窗是否不存在因風導致的塵土嚴重;
  • 等保2.0標準個人解讀(五):安全物理環境
    等保2.0標準個人解讀(一):新坑開放等保2.0標準個人解讀(二):安全通信網絡等保2.0標準個人解讀(三):安全區域邊界
  • 一文讀懂丨等保2.0與等保1.0的不同
    等保2.0的特點1、 對象範圍擴大:「等保2.0」在技術標準上,雲計算、移動網際網路、物聯網、工業控制系統等技術列入新標準中,構成了「安全通用要求+新型應用安全擴展要求」要求內容,在聚焦於等級保護的基本要求時,更多用技術思維解讀標準。
  • 「星·園計劃」網絡安全專場:安全專家齊聚蘇州暢談「等保2.0」
    「星·園計劃」網絡安全專場:安全專家齊聚蘇州暢談「等保2.0」 投入數億資源扶持全國30萬中小企業的騰訊雲「星·園計劃」,同樣關注企業在數位化轉型之路上的安全建設。
  • 《等保2.0體系網際網路合規實踐白皮書》發布,騰訊聯合編制
    等保2.0全稱為「網絡安全等級保護標準2.0」,以《網絡安全法》等法律為頂層規範性文件,於2019年12月1日起正式實施。   等保2.0標準具有以下特點:第一,基本要求、測評要求和技術要求框架統一,採用安全管理中心支持下的三重防護結構框架;第二,通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制等列入標準規範,其中雲計算擴展要求作為重點內容被第一個單獨列出來。
  • ISC2020等保2.0分論壇:共享可信計算紅利 推動等保2.0制度持續深化
    等保2.0標準中的技術要求分類體現了從外部到內部的縱深防禦思想,對等保對象的安全防護應考慮從通信網絡、區域邊界到計算環境的從外到內的整體防護。本次論壇邀請等保建設行業專家,將從政策解讀及熱點問題等方面做獨道見解分享。
  • 騰訊安全專家解讀最新《網絡安全等級保護定級指南》
    一、定級原理及流程1、安全保護等級如何劃分?本部分變化較小,依舊是五個等級,從一級到五級由低到高。現在對於定級系統的稱呼統一改為等級保護對象(舊標準中稱為信息系統),這也與等保2. 0 其他系列標準保持一致。2、等保定級要素都有哪些?
  • 騰訊雲推出「等保2.0」套餐包 一站式助力企業解決過保難題
    2019年5月13日,網絡安全等級保護2.0國家標準(等保2.0)發布,並於同年12月1日正式實施。在宣告我國網絡等級保護制度進入了一個全新時代的同時,也讓「過等保」成為企業合規運營的關鍵詞。在等保2.0一周年之際,騰訊安全基於過去一年助力企業開展等保工作的實踐經驗,正式推出等保2.0套餐包,包含等保二級、等保三級、等保三級(增強)的一站式過保方案,助力企業平穩、快速通過等保「大考」。等保2.0施行一周年,企業過保需要重點關注什麼?
  • 「天府杯」2020 | 時代新威王新傑解讀網絡安全專業人員能力要求
    2020年11月7日,「『天府杯』2020國際網絡安全大賽暨2020天府國際網絡安全高峰論壇」在中國成都拉開帷幕。本次「天府杯」包含破解大賽、高峰論壇以及主題論壇三大部分,時代新威總經理王新傑受邀出席「網絡安全人才培養」分論壇,為大家解讀《網絡安全專業人員能力要求及國外標準介紹》。
  • 國金證券:雲計算和網絡安全性價比凸顯
    自2016年以來,公安部每年開展針對關鍵信息基礎設施的實戰攻防演習,被稱為「護網行動」,隨著等保2.0時代的到來,2019年「護網行動」涉及範圍擴大至工信、安全、武警、交通、鐵路、民航、能源、新聞廣電、電信運營商等單位,等保2.0落地給網絡安全行業帶來新成長動力。
  • 等級保護2.0標準解讀——等保2.0與1.0的區別
    等保2.0與1.0的區別GB17859-1999《計算機信息系統安全保護等級劃分準則》的區別1.0時代2.0時代>三點:正式更名為網絡安全等級保護標準;橫向拓展了對於雲計算、移動網際網路、物聯網、工業控制系統的安全要求; 縱向擴展了對等級保護測評機構的規範管理定級要求:重新對部分內容的順序作了調整
  • QC超人知識庫:開學季,學生用品安全通用要求看這一篇就夠了
    本周關鍵詞:學生用品的安全通用要求本周,QC超人先帶大家來了解學生用品的安全通用要求。今年,國家市場監管總局和國家標準化委員會全新發布GB 21027-2020 《學生用品的安全通用要求》,新標準將替代舊版GB 21027-2007,並於2022年2月1日正式生效。
  • 幾維安全等保2.0要點解析及落地實施技術攻略
    為助力等保2.0落地實施,幾維安全以等保安全要求及國家相關標準文件為指導,結合公司對行業安全需求和相關安全加固技術產品的研究,進行安全加固實施策略設計,旨在助推國家安全要求落地、助力行業企業安全環境構建。
  • 國網河北信通公司:網絡安全等級保護正式進入「2.0時代」
    12月9日,國網河北信通公司順利完成管理信息大區信息系統2020年等級保護測評服務工作,標誌著公司網絡安全等級保護正式進入「2.0時代」。此次等級保護測評是首次依據國家網絡安全領域、等級保護2.0相關的系列標準進行,該系列標準於去年12月正式實施,相較於之前的1.0標準,內涵更加豐富,標準更加嚴格,特別是在雲平臺、移動互聯、物聯網和工業控制系統等領域提出了安全擴展要求,更能夠滿足新技術、新應用領域的安全發展需求,可以有效指導公司開展網絡安全等級保護安全技術方案的設計和實施,讓測評工作更加規範化、標準化。