半导体EDA行业IT整体解决方案服务商

等保2.0 | 两分钟读懂等保标准新变化

发布时间:2019-06-18 14:53

5月13日下午,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布(2019年12月1日开始实施)。5月16日,在公安部网络安全保卫局主导下,网络安全等级保护制度2.0国家标准宣贯会在北京召开。等级保护正式迈入2.0时代。

自2007年以来,中国的网络安全等级保护技术主要应用1.0版本。为了配合《网络安全法》,同时为了满足云计算、大数据、物联网、移动互联、工业控制等新技术新应用的安全要求,相关部门在等保1.0基础上起草并制定了等保2.0相关标准,并于近日发布。网络安全等级保护制度2.0国家标准的发布,对加强我国网络安全保障工作,提升网络安全保护能力具有重要意义。

等保2.0无论是在总体结构还是内容方面均发生了变化,以下针对等保2.0的细节变化进行简要介绍(以等保三级系统为例):

结构的变化:

2

等保1.0与等保2.0基本要求均为10大类,只不过原来技术要求中的“物理安全”“网络安全”“主机安全”“应用安全”“数据安全及备份恢复”修订为“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”。原来管理要求的“安全管理制度”“安全管理机构”“人员安全管理”“系统建设管理”“系统运维管理”修订为“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”。

等保1.0 的“网络安全”拆分成了“安全通信网络”“安全区域边界”。同时将边界内部所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等纳入“安全计算环境”。“安全计算环境”自然就包括了之前1.0的“网络安全”“主机安全”“应用安全”“数据安全及备份恢复”部分内容。

技术要求中增加了安全管理中心,安全管理中心部分是针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理。等保2.0充分体现了“一个中心三重防御“的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全通信网络”。

内容的变化:

3

等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。

要求项的变化:

4

从等保1.0跟2.0基本要求项对比可以看出,2.0对基本要求项进行了优化,通用安全要求中测评指标比之前减少了。

增加了扩展要求:

5

等保2.0增加了扩展要求,针对云计算、移动互联、物联网、工业控制的系统除了满足通用要求以往,还需要满足扩展要求内容。

针对大数据应用系统,除了满足通用要求以往,还需要满足大数据安全控制措施(大数据安全控制措施作为等保2.0的《基本要求》附录H进行呈现,不作为扩展要求的一部分)。

在这里进行一下总结,等保2.0并不是一个标准,而是一系列的标准与法律法规共同构成的安全体系。目前区块链、人工智能等新技术、新应用在不断地呈现,等保2.0还将不断丰富与完善,以更好地确保我国网络空间的安全。

扫一扫在手机上阅读本文章