公司动态 行业动态 安全通告

等保2.0新变革(一),第一时间深度解读

日期:2019-05-15 10:04:04 投稿人:


image.png


等保2.0新变革针对共性安全保护需求提出安全通用要求;针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护标准。新标准修订遵循提高体系性、提升先进性、突出可行性、注重协调性、保持连续性等修订原则。

简明概括等保2.0新变革的十二方面内容如下:

1等保对象扩大,国务院有关部门确保落实

等级保护对象通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络运营者应当在第三级以上的网络中,确定关键基础


image.png


2系列标准名称变更,通用目录架构优化

从信息安全1.0到网络安全2.0,安全通用要求目录分类由物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理的8类,调整为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理的10类。调整各个级别的云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求分类与安全通用要求一致。

image.png

3明确各扩展要求,对应各系列标准

云计算安全扩展要求、移动互联安全扩展要求、物理网安全扩展要求、工业控制系统安全扩展要求、大数据安全扩展要求,各部分分项要求合并到系列标准里的扩展要求。最新版《信息安全技术 网络安全等级保护定级指南》新增云、大、物、移及智等级保护对象,《信息安全技术 网络安全等级保护基本要求》与《信息安全技术 网络安全等级保护设计要求》保持一致,沿用并体现“一个中心三重防护”。最新版《信息安全技术 网络安全等级保护测评要求》既增加对设计要求测评验证表,又增加和基本要求的测评对应表,形成系列对应的等保2.0标准体系。

image.png

4、增加安全管理中心,提高监测预警水平

在“第二级”开始增加“安全管理中心”的“系统管理”和“审计管理”要求。在“第三级”调整了系统管理、审计管理、安全管理及集中管控,其中集中管控要求应划分出特定的管理区、建立安全信息传输路径,对网络链路、安全设备、网络设备和服务器等运行状况进行集中监测,收集分析各个设备审计数据,审计记录留存时间的符合法律法规要求。对安全策略、恶意代码、补丁升级、安全事件进行识别、报警和分析。地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警、应急处置、追踪溯源、安全保护和侦查打击等工作。行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息、报告网络安全事件。

image.png

5可信部件调整为可选

“一级”到“四级”均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行处理,包括但不限于:终止运行,强制恢复或报警等。

image.png

文章来源:网御星云