今年3月,阿里云宣布其IoT安全平台(Link Security)成功通过基于网络安全等级保护2.0(第三级)的物联网安全评估,IOT也因此成为国内首个通过该评估的物联安全服务平台。据悉,该评估由公安部信息安全等级保护评估中心执行完成。
2019年5月13日,网络安全等级保护2.0(简称等保2.0)相关的国家标准正式对外发布,网络安全等级保护也正式进入了2.0时代。
相对于等保1.0而言,等保2.0的保护对象从传统的网络和信息系统转向物联网,将大数据中心、云计算平台、物联网系统、公众服务平台等都纳入了等级保护的范围。同时,为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等保2.0要求分为安全通用要求和安全扩展要求。《网络安全等级保护基本要求》针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。
以下是安全扩展要求的应用场景说明:
(一)云计算应用场景
云计算平台/系统由设施、硬件、 资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、 基础设施即服务(IaaS)是三种基本的云计算服务模式。在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
(二)移动互联应用场景
采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为。等保2.0移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求,与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。
(三)物联网应用场景
对物联网的安全防护包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护。物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。
(四)工业控制系统应用场景
等保2.0参考IE C 62264-1的层次结构模型划分,同时将SC ADA 系统、DCS系统和 PLC 系统等模 荆的共性进行抽象,对工业控制系统采用层次模型进行说明。层次模型从上到下共分为5个层级,依次为企业资源层、生产管理 层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。
