网安 - 专业的网络安全产业、社区、知识平台

等保标准演变史

VSole2019-05-15 22:02:02

在业界呼声极高的等保2.0,于2019年5月13日正式发布。山石网科资深专家第一时间为您分析解读,等保2.0发生了哪些重要变化?

进入等保2.0时代,我们应重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。

随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显。云计算、大数据、工业控制系统、物联网、移动互联等新技术的不断拓展已经成为产业结构升级的坚实基础,而其中网络和信息系统作为新兴产业的承载者,构建起了整个经济社会的神经中枢,保证其安全性不言而喻。

由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式有基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。形态不同的保护对象面临的威胁有所不同,安全保护需求也会有所差异。现有的标准体系需要提升台阶,去适应新技术的发展,等级保护的相关标准也需要跟上新技术的变化。“等保1.0”的标准体系在适用性、时效性、易用性、可操作性上需要进一步扩充和完善,因此“等保2.0“应运而生。


图注:等级保护2.0安全框架

针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

名称的变化

首先安全的内涵由早期面向数据的信息安全,过度到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全。网络安全(cybersecurity)以其更丰富的内涵逐步取待信息安全成为安全领域共识,《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度“,相关法律条文和标准也需保持一致性,“等保2.0“与时俱进的将原标准的”信息系统安全等级保护“改为”网络安全等级保护“,例如《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。


 


 

保护对象的变化

在开展网络安全等级保护工作中应首先明确等级保护对象。

等保1.0定义等级保护对象为:信息安全等级保护工作直接作用的具体信息和信息系统。随着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现,原定义内涵局限性日益显现。

等保2.0定义等级保护对象为:包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

内容的变化

(以基本要求为例)

等保1.0:安全要求

等保2.0:安全通用要求和安全扩展要求

安全通用要求

云计算安全扩展要求

移动互联安全扩展要求

物联网安全扩展要求

工业控制系统安全扩展要求

注:等保2.0安全通用要求是普适性要求,是不管等级保护对象形态如何,必须满足的要求;针对云计算、移动互联、物联网和工业控制系统,除了满足安全通用要求外,还需满足的补充要求称为安全扩展要求。

扩展要求1云计算

云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

扩展要求2移动互联

针对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。

扩展要求3物联网

物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

扩展要求4工业控制系统

工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。

控制措施分类结构的变化

以基本要求为例,充分体现一个中心,三重防御的思想(和GB/T 25070保持一致,与设计要求融合)。

 总结一下

1、等级保护的基本要求、测评要求和设计技术要求统一框架,构建“一个中心,三重防护“的安全体系;

2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入了标准规范。

基于这些变化,进入等保2.0时代,我们应重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。

网络安全云计算
本作品采用《CC 协议》,转载必须注明作者和本文链接
CCF计算机安全专委会发布 2023年网络安全十大发展趋势
2023-02-13 10:11:42
当前,关键信息基础设施认定和保护越来越成为各方的关注焦点和研究重点。《关键信息基础设施安全保护条例》于2021年9月正式施行,对关键信息基础设施安全防护提出专门要求。《关键信息基础设施安全保护条例》及相关国家标准的贯彻施行将带动重要行业和重要领域网络安全建设投入快速增长,关基市场将成为下一个网络安全行业的增长点。2023年,《网络数据安全管理条例》有望正式出台。
原生时代下新安全范式的思考与应对
2022-08-03 20:02:03
多种形式和生命周期的工作负载会长期共存并共同演进,因此需要解决好对每类负载做好安全保护。原生安全与过去边界原生安全的差异点在于,在应用的全生命周期阶段将安全内嵌进来,而不是过去外挂式的干预措施来保障开发、分发、部署和运行时的安全。最后,需要业务系统持续安全运行,实现原生安全管理和响应闭环。原生安全是内生式安全,通过平台与生俱来的安全特性来保障安全,驱动平台提供商提供更安全的服务。
网络安全超越计算成最热门IT技能
2022-05-19 09:35:02
根据最新发布的报告《提升IT技能2022》,网络安全在热门IT技能榜中的排名大幅提升至榜首。
医疗器械网络安全计算研讨会在中国信通院举办
2022-08-09 16:00:00
8月5日,医疗器械网络安全计算研讨会在中国信息通信研究院举办。在医疗器械计算研讨环节,彭亮从医疗器械使用计算服务的审评要求、风险管理、验证与确认、维护计划等方面进行了全面解读。中国信通院计算与大数据所高级业务主管何友斌针对医疗器械计算服务能力的关键要素进行了系统阐述。
医疗器械网络安全计算研讨会在中国信通院召开
2022-08-09 07:50:28
2022年8月5日,医疗器械网络安全计算研讨会在中国信息通信研究院召开。近年来,医疗器械网络安全问题愈发凸显,同时医疗器械使用计算服务日益普遍也引发新的风险。医疗器械网络安全保障能力和计算服务能力事关人民群众生命健康,也是国家网络安全的重要组成部分。
计算服务主要安全风险及应对措施初探
2022-08-02 13:12:43
近年来,计算技术得到了迅速发展和广泛应用,受到政府、金融、教育等各行业单位的青睐,出现了政务、教育、金融、医疗等行业服务型态。计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,计算服务也面临诸多挑战,如云计算技术基础平台安全性、上数据的安全管理、计算服务安全专业人才匮乏等安全风险问题,导致平台
计算服务主要安全风险及应对措施初探
2022-07-31 18:26:11
近年来,计算技术得到了迅速发展和广泛应用,受到政府、金融、教育等各行业单位的青睐,出现了政务、教育、金融、医疗等行业服务型态。计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。
计算服务主要安全风险及应对措施
2022-07-27 16:35:29
计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,计算服务也面临诸多挑战,如云计算技术基础平台安全性、上数据的安全管理、计算服务安全专业人才匮乏等安全风险问题,导致平台数据安全事件层出不穷。
工信部发布《计算综合标准化体系建设指南(征求意见稿)》
2024-01-11 17:03:49
1 月 9 日消息,工信部征集对《计算综合标准化体系建设指南》(征求意见稿)的意见。到 2025 年,计算标准体系更加完善。
VSole
网络安全专家