等保 2.0 解读 信息安全等级保护更名为网络安全等级保护 五标合一
发布时间:2017 年 10 月 19 日 11:03 浏览量:11545
等保 2.0 正在积极推动过程中,以后将会影响到云计算安全、移动互联安全、物联网安全、工业控制系统
安全等领域的产品、服务合规要求,而 从网络安全法解读等级保护工作, 59 条规定不做等保测评要罚款 ,
所以引发各界的关注。来自 等级保护 测评公众号的信息给出了解读,其中重要信息如下
1. 以前的信息安全等级保护现在改名叫网络安全等级保护,也就是网络安全法里面说的网络安全等级
保护。
2. 将等级保护之前在编的 5 个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安
全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求)进行了合并形成《网络安全等级
保护基本要求》一个标准。
3. 控制措施分类由原先的 10 个分类调整为 8 个分类,分别为技术部分(物理和环境安全、网络和通信
安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人
员、安全建设管量、安全运维管理)。
4. 新标准里面 2 级和 3 级对应的要求项总数分别为 145 项和 231 项,相对以前变少了。
2017 年 10 月 15-19 日,全国信息安全标准化技术委员会 2017 年第二次会议周在厦门召开,16 日上午
WG5 工作组 191 个成员单位中 121 家单位的 231 位专家参加了工作会议。公安部三所马力老师对 《信
息安全技术 网络安全等级保护基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送审稿进
行了解读。
2017 年 8 月,公安部评估中心根据网信办和安标委的意见将等级保护在编的 5 个基本要求分册标准进行
了合并形成《网络安全等级保护基本要求》一个标准。下面小编将给大家介绍一下最新的网络安全等保基
本要求(定级、设计与测评方面的变化将在后续文章中介绍)与原标准相比发生了什么变化。
标准修订过程回顾
2014 年全国安标委秘书处下达对《信息安全技术 信息系统等级保护基本要求》( GB/T 22239—2008)
进行修订的任务,修订工作由公安部第三研究所(公安部信息安全等保护评估中心)主要承担。
2015 年 4 月第一次专家评审会、2015 年 12 月第二次专家评审会、2016 年 7 月第三次专家评审会、201
6 年 9 月再次修订形成标准征求意见稿。先后征求了网信办、工信部、保密局、公安部、国家密码管理局、
国家认监委、信息安全测评中心的意见,共收到 44 条意见,采纳 36 条。
2017 年 8 月,根据网信办和公安部的意见将 5 个分册进行整合形成一册送审稿,后收到 10 条修改意见并
全部采纳。
新旧标准变化内容
1.名称的变化
将原来的信息系统安全等级保护相关标准名称更改为信息安全等级保护,再更名为网络安全等级保护相关
标准,与《中华人民共和国网络安全法》保持一致。
2.内容的变化
基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工
业控制)。在 GB/T 22239 网络安全等级保护基本要求合并了如下 5 部分:
安全通用要求(公安部信息安全等级保护评估中心)
云计算安全扩展要求(公安部信息安全等级保护评估中心)
移动互联安全扩展要求(北京鼎普科技股份有限公司)
物联网安全扩展要求(公安部第一研究所)
工业控制系统安全扩展要求(浙江大学)
同样,针对设计要求(GB/T 25070)与测评要求(GB/T 28448)也由 5 个分册分别整合成一册。
3.标准章节的变化
拿基本要求的第 8 章节为列, 为第三级安全要求:
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工业控制系统安全扩展要求
4.控制措施分类结构的变化
由原来的 10 个分类调整为 8 分,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、
应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管
理)。
5.环境安全扩展了哪些要求
针对云计算环境安全扩展要求主要增加的内容包括:“基础设施的位置”、“虚拟化安全保护”、“镜像
和快照保护”、“云服务商选择”、“云计算环境管理”等。
对移动互联环境主要增加的内容包括:“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、
“移动应用软件采购”、“移动应用软件开发”等。
对物联网环境主要增加的内容包括:“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点
设备安全”、“感知节点的管理”、“数据融合处理”等。
对工业控制系统主要增加的内容包括:“室外控制设备防护”、“工业控制系统网络架构安全”、“拔号
使用控制”、“无线使用控制”、“控制设备安全”。
6.增加了应用场景说明
增加了描述等级保护安全框架和关键技术、云计算应用场景、移动互联应用场景、物联网应用场景、工业
控制系统应用场景。
7.取消了安全控制点的标注
为适应定级方法的变化,取消对控制点的“S”、“A”、“G”标注的使用,调整原标准附录 B,增加安
全控制措施选择时,控制点的标注及使用说明。
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为 S);
保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为
A);其他通用性安全保护类要求(简记为 G),所有管理安全要求均为通用性安全保护类要求。
8.标准控制点与要求项的变化
新标准在控制点要求项目并没有明显的增加,通过合并整合后反而减少了。各级的要求项明细如下表所示:
安全要求类 层面
一级
二级
三级
四级
物理和环境安
全
网络和通信安
全
7
4
技术要求
设备和计算安 4
10
10
10
6
6
8
6
8
6
全
应用和数据安
全
安全策略和管
理制度
安全管理机构
和人员
5
1
7
安全建设管理 7
管理要求
安全运维管理 8
9
4
9
10
14
10
4
9
10
14
新标准控制
点
旧标准控制
点
新标准要求
项
旧标准要求
项
/
/
/
/
以上内容转自公众号:赛博朔方
划重点
10
4
9
10
14
71
77
43
68
71
48
66
73
59
145
231
241
85
175
290
318
1. 以前的信息安全等级保护现在改名叫网络安全等级保护,也就是网络安全法里面说的网络安全等级
保护。
2. 将等级保护之前在编的 5 个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安
全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求)进行了合并形成《网络安全等级
保护基本要求》一个标准。
3. 控制措施分类由原先的 10 个分类调整为 8 个分类,分别为技术部分(物理和环境安全、网络和通信
安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人
员、安全建设管量、安全运维管理)。
4. 新标准里面 2 级和 3 级对应的要求项总数分别为 145 项和 231 项,相对以前变少了。
《中华人民共和国网络安全法》已于 2017 年 6 月 1 日正式施行,作为网络安全基础法律,
第 21 条明确规定了“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全
等级保护制度要求,履行安全保护义务”。
第 31 条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点
保护”。
等级保护制度在今天已上升为法律,并在法律层面确立了其在网络安全领域的基础和核心地
位。
可以这样说,等级保护 2.0 相关规范,不管你是不是安全行业从业者,只要你在做产品,不
管是做云计算方向还是物联网还是人工智能,都必须满足网络安全等级保护安全设计技术要
求、网络安全等级保护测评要求、网络安全等级保护基本要求、网络安全等级保护定级指南、
网络安全等级保护实施指南这些标准规范的要求。这一系列的规范标准构筑了等级保护 2.0。
所有的信息产业都无法忽视!
鉴于相关规范还在送审阶段,离实施颁布还有一段时间,安智客整理了相关规范文档,供大
家参考。
在等保 2.0 时代,相关企业面临巨大挑战,同时也是巨大机会!
信息系统已大量向云计算、移动互联、大数据、物联网等方面扩展,终端已不再是传统意义
的计算机终端,而可以说一切具有信息输入或输出及信息处理的装置都可以称为终端,即泛
终端。
在等保 2.0 时代,信息系统的安全防护已从传统被动防御向主动防御的理念转变,安全防御
策略也将由静态策略转向动态策略。
等保 2.0 时代如何应对各种挑战,安智客认为,唯有从多个方面大力开展技术创新,推出多
种类型的安全产品实现泛终端、大数据、移动以及工控等方面的全新安全要求才是积极拥抱
时代的大趋势!