公安部张宇翔:须知等保2.0主要标准的调整
2019-09-15
没有网络安全就没有国家安全。从1.0到2.0,我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,对等级保护制度提出了新的要求。
近日,公安部信息安全等级保护评估中心常务副主任张宇翔对安全等级保护2.0主要标准的调整进行了简明扼要的介绍。
标准名称的变化
由原来的“信息系统安全等级保护××××”变为“网络安全等级保护××××”,这背后是两个战略的调整。主要特点如下:
对象范围扩大: 新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
分类结构统一: 新标准“基本要求、设计要求和测评要求” 分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心” 支持下的三重防护体系架构。
强化可信计算: 新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
强化可信计算技术使用
从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。
一级:设备的系统引导程序、系统程序等进行可信验证
二级:增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心
三级:增加应用程序的关键执行环节进行动态可信验证
四级:增加应用程序的所有执行环节进行动态可信验证
其中着重强调了三级:可基于可信根对设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
等级保护对象的扩展
增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
增加了移动互联安全扩展要求
注:采用移动互联技术的等级保护对象应作为整体对象定级,移动终端、移动应用和无线网络等要素不单独定级。
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
增加了物联网安全扩展要求
注:物联网系统应将采集、感知、网络传输和处理应用等要素作为一个整体对象定级,各要素不单独定级。
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
增加了工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
增加了应用场景的说明
增加附录C 描述等级保护安全框架和关键技术 ,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景。