作者:马闽
导读
2019年5月10日,国家市场监督管理总局、中国国家标准化管理委员会正式发布GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,标志着等级保护步入新的阶段—等级保护标准2.0时代。等保2.0的正式落地,既是形势所迫、国情所需,也是顺应《网络安全法》、《网络安全等级保护条例》等法律法规要求。网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,作为我国非涉密领域的网络安全基本防护框架,在应对新形势、满足新要求、针对新风险、扩大新内容方面,从政策、标准体系层面都迈入2.0时代。等保2.0将释放国内网络安全市场巨大需求空间,极大促进我国网络安全相关产业发展。那么,等保2.0建设新要求是什么?新思路有哪些?网御星云将对等保2.0进行全方位专业解读。
等保2.0新变革针对共性安全保护需求提出安全通用要求;针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护标准。新标准修订遵循提高体系性、提升先进性、突出可行性、注重协调性、保持连续性等修订原则。
简明概括等保2.0新变革的十二方面内容如下:
一、等保对象范围扩大,国务院有关部门确保落实
等级保护对象是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络运营者应当在第三级以上的网络中,确定关键基础设施。
二、系列标准名称变更,通用目录架构优化
从信息安全1.0到网络安全2.0。安全通用要求目录分类由物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理的8类,调整为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理的10类。调整各个级别的云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求分类与安全通用要求一致。
三、明确各扩展要求,对应各系列标准
云计算安全扩展要求、移动互联安全扩展要求、物理网安全扩展要求、工业控制系统安全扩展要求、大数据安全扩展要求,各部分分项要求合并到系列标准里的扩展要求。最新版《信息安全技术 网络安全等级保护定级指南》新增云、大、物、移及工等级保护对象,《信息安全技术 网络安全等级保护设计要求》沿用并体现“一个中心三重防护”,《信息安全技术 网络安全等级保护基本要求》与《信息安全技术 网络安全等级保护测评要求》保持一致、对应检验,形成系列对应的等保2.0标准体系。
四、增加安全管理中心,提高监测预警水平
在“第二级”开始增加“安全管理中心”的“系统管理”和“审计管理”要求。在“第三级”调整了系统管理、审计管理、安全管理及集中管控,其中集中管控要求应划分出特定的管理区、建立安全信息传输路径,对网络链路、安全设备、网络设备和服务器等运行状况进行集中监测,收集分析各个设备审计数据,审计记录留存时间的符合法律法规要求。对安全策略、恶意代码、补丁升级、安全事件进行识别、报警和分析。地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警、应急处置、追踪溯源、安全保护和侦查打击等工作。行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息、报告网络安全事件。
五、 可信部件调整为可选
从“一级”到“四级”均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。可选配基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行处理,包括但不限于:终止运行,强制恢复或报警等。
六、新计算,增加云计算安全扩展要求
云计算平台/系统由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。云客户通过安全的通信网络以网络直接访问、API接口访问和WEB服务访问等方式安全访问云服务商提供的安全计算环境;云服务商对设施、硬件、资源抽象层、虚拟化计算资源层、软件平台及应用软件有不同安全要求,云计算安全扩展要求主要增加了虚拟网络之间安全隔离、虚拟化安全监测、虚拟机之间资源安全隔离、云计算环境安全管理、数据安全、剩余信息保护、镜像快照保护,对物理资源和虚拟资源按照策略做统一管理调度与分配等安全管控。
七、新应用,增加移动互联安全扩展要求
调整新增无线边界防护、入侵防范、移动终端管控、移动应用管控、移动应用软件采购、移动应用软件开发与配置管理等安全要求。
八、新融合,增加物联网安全扩展要求
调整新增感知节点设备安全、区域边界接入控制、入侵防范、抗数据重放、数据融合处理、感知节点运维管理等安全要求。
九、新制造,增加工业控制系统安全扩展要求
调整新增室外设备和现场设备的防护要求,新增单向隔离技术、数据交换加密认证、访问控制、数据加密传输、拨号控制、无线控制等安全要求。
十、参考大数据安全架构,逐步细化大数据安全
大数据应用是基于大数据平台对数据的处理过程,通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节,上述各个环节均需要对数据进行保护,通常需考虑的安全控制措施包括数据采集授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分级分类销毁机制等安全要求。
十一、调整安全管理策略,形成管理体系
描述网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。在“第二级”以上安全建设管理,应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定,在“第三级”以上要求每年等级保护测评及时整改。
十二、补充了应用场景说明,实践证明可行性
1)云计算应用场景说明
云计算在不同的服务模式(SaaS、PaaS、IaaS)中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。在基础设施即服务模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在平台即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。
2)工业控制系统应用场景说明
工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。
3)移动互联应用场景说明
采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为,后台的移动终端管理系统负责对移动终端的管理,包括向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略等。
4)物联网应用场景说明
物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点,或RFID标签和RFID读写器,也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线)部分;网络传输层包括将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网等,以及几种不同网络的融合;处理应用层包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。
5)大数据应用场景说明
大数据系统通常由大数据平台、大数据应用以及处理的数据集合构成。大数据系统的特征是数据体量大、种类多、聚合快、价值高,受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成影响,大数据安全涉及大数据平台的安全和大数据应用的安全。
