可信计算技术使能者
首页:等保2.0

等保2.0标准解读(一)

网络安全等级保护2.0标准解读(一)


一、等级保护制度发展历程


    • 1994年——国务院147号令 《中华人民共和国计算机信息系统安全保护条例》(以下简称《计算机信息系统安全保护条例》)首次提出等级保护的概念

    • 2003年——中办发【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》,等级保护开始实行

    • 2007年——公通字【2007】43号《信息安全等级保护管理办法》发布,意味着等级保护制度正式走上正轨

    • 2014年3月,公安部牵头组织开展了等级保护重点标准申报国家标准的工作,并从2015年开始陆续对外发布草稿、征集意见稿,网络上开始有了等保2.0的叫法

    • 2017年6月1日实施的《中华人民共和国网络安全法》第二十一条指出:“国家实行网络安全等级保护制度”,从法律层面明确其地位

    • 2019年5月13日,国家市场监督管理总局正式发布《信息安全技术 网络安全等级保护基本要求》等网络安全等级保护2.0标准系列文件(以下简称“等保2.0标准”),并将于2019年12月1日开始实施


二、等保2.0标准体系


等保2.0标准体系.png


三、等保2.0特点解析


    1.名称和地位的变化

    • 等保2.0标准名称中的“信息系统安全等级保护”一律更名为“网络安全等级保护”。

    • 2017年6月1日正式实施的《中华人民共和国网络安全法》第二十一条指出“国家实行网络安全等级保护制度”,正式将等保2.0相关要求上升到法律层面。

    

    2.监管对象的变化

    • 监管对象扩充:等保1.0主要面向传统的信息系统,等保2.0在此基础上扩展到了云计算、移动互联、物联网、工业控制系统、大数据等新型业务应用的安全。

    • 安全要求扩展:安全要求扩展为安全通用要求和安全扩展要求两部分,其中扩展要求包括云计算、移动互联、物联网、工业控制系统以及大数据方向。

    • 等级保护对象安全侧重点:

      (1)基础信息网络/平台类:关注其系统服务安全,并依据系统服务安全等级确定定级对象的等级。

      (2)信息系统:既关注业务信息安全也关注系统服务安全,并依据就高不就低原则确定二者的共同等级。

      (3)大数据:关注业务信息安全,依据业务信息重要性确定最终等级。


    3.定级原则的变化

    • 由等保1.0时代的“自主定级、自主保护”变更为等保2.0时代的“专家评审,主管部门审核”,二级以上系统定级均需要专家评审,定级流程更为严格。

    • 关键信息基础设施定级为第三级(含)以上。


    4.提出综合防御思想

    • 提出了“一个中心 三重防御“的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”。

    • 变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护。


    5.强化“可信计算技术”的使用

    等保2.0标准强化可信计算技术使用要求,把可信验证功能要求列入各个级别并逐级提出各个环节的具体要求。

    • 一级:可基于可信根对设备的系统引导程序、系统程序进行可信验证,并在检测到其可信性受到破坏后进行报警;

    • 二级:在一级基础上增加了对重要配置参数和应用程序的可信验证,并要求将验证结果形成审计记录送至安全管理中心;

    • 三级:在二级基础上增加了在应用程序的关键执行环节进行动态可信验证;

    • 四级:在三级基础上扩展到对应用程序的所有执行环节进行动态可信验证,并要求进行动态关联感知。


    6.强化“密码技术”的使用和国密要求

等保2.0密码技术要求.png

   

 7.管理制度的调整

    • 打破省市界限:跨省业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。

    • 定级备案调整至县级公安机关:相较等保1.0需要到地市级公安机关进行定级备案的要求,等保2.0定级备案调整至县级公安机关,并且备案时间也由30天缩短到10个工作日。

    • 颁布了配套管理法规:《网络安全等级保护测评机构管理办法》、《公安机关信息安全等级保护检查工作规范》等。


四、等保2.0与关键信息基础设施保护的关系


    • 网络安全法规定,国家实行网络安全等级保护制度,关键信息基础设施是在网络安全等级保护制度的基础上,实行重点保护。

    • 关键信息基础设施安全保护与网络安全等级保护,在法律法规、政策、标准、措施等方面保持一致。

    • 等级保护是国家的基本制度,具有普适性,全覆盖;关键信息基础设施是等级保护制度保护的重点,需要加强保护、保卫和保障。