2017年6月1日,《网络安全法》正式实施,网络安全等级保护制度成为网络安全的基本制度;2019年12月1日起,等保2.0相关标准正式实施,我国正式进入等保2.0时代。
以“一个中心,三重防护”作为网络安全技术设计总体思路,等保2.0更加注重全方位主动防御、动态防御、整体防控和精准防护。同时,由于等保2.0的对象范围扩大,将云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统都包括在内,等保2.0还形成了安全通用要求+新应用安全扩展要求构成的标准要求。
换句话说,等保2.0对各个级别的信息系统的要求分为安全通用要求和安全扩展要求:安全通用要求指每个级别的信息系统都要符合的要求,安全扩展要求则是针对云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等新纳入等级保护范围的信息系统的要求。
安全通用要求和安全扩展要求共同组成了等保2.0标准的框架结构。安全通用要求的内容如下图所示,所有定级对象都需要按照安全通用要求进行测评。安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求,包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业扩展系统安全扩展要求。
一、安全通用要求
| 1 | 安全物理环境 | 针对物理机房提出的安全控制要求。 | 主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。 |
| 2 | 安全通信网络 | 针对通信网络提出的安全控制要求。 | 主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。 |
| 3 | 安全区域边界 | 针对网络边界提出的安全控制要求。 | 主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。 |
| 4 | 安全计算环境 | 针对边界内部提出的安全控制要求。 | 主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。 |
| 5 | 安全管理中心 | 针对整个系统提出的安全管理方面的技术控制要求。 | 通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。 |
| 6 | 安全管理制度 | 针对整个管理制度体系提出的安全控制要求。 | 涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。 |
| 7 | 安全管理架构 | 针对整个管理组织架构提出的安全控制要求。 | 涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。 |
| 8 | 安全管理人员 | 针对人员管理提出的安全控制要求。 | 涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。 |
| 9 | 安全建设管理 | 针对安全建设过程提出的安全控制要求。 | 涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。 |
| 10 | 安全运维管理 | 针对安全运维过程提出的安全控制要求。 | 涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。 |
二、安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
