权威解读-网络安全等级保护2.0标准体系及主要标准

【.com原稿】在近日召开的网络安全等级保护2.0国家标准公示会上，部信息安全等级保护测评中心测评处处长公安部、国家级防护标准主要起草人马莉副研究员介绍了网络安全等级防护2.0标准体系和主要标准，并阐述了网络安全等级防护2.0标准的特点和变化，作为以及框架和内容。等级保护2.0标准的主要特点公安部信息安全等级保护测评中心副研究员，首先我们来看一下等级保护2.0网络安全的主要标准，如??图下图中：谈到网络安全等级保护2.0标准的特点，马莉副研究员表示，主要体现在以下三个方面：一是对象范围扩大。新标准将云计算、移动互联网、物联网、工控系统等纳入标准范围，构成“通用安全要求+新应用安全扩展要求”的要求。二是分类结构统一。统一了新标准“基本要求、设计要求、评价要求”的分类框架，形成了以“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理”为支撑的三重保护架构中心”。三是加强可信计算。新标准强化了对可信计算技术的使用要求，将可信验证纳入了各个层面，并逐级提出了各个环节的主要可信验证要求。“标准提出了从一级到四级的可信验证控制。但是，在标准试行期间，可信验证的实施还有很多挑战。因此，我们希望所有参与的硬件制造商和软件制造商都能够参与其中。”本次会议将与安全服务提供商共同努力，将可信验证和可信计算产品产业化，更好地支持新标准。”马莉副研究员说。等级保护2.0标准的十大变化随后，他对等级保护2.0标准的十大变化进行了说明，具体如下：1、名称由原来的《信息系统安全等级保护基本要求》变成《信息安全等级保护基本要求》，再变成《网安全等级保护基本要求》。2、对象的变化原来的对象是信息系统，现在分级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施（无线电网络、电信网络、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联网技术的系统等。3、安全需求的变化由“安全需求”变更为“安全通用需求和安全扩展需求”。通用安全要求是无论被保护对象以何种形式都必须满足的要求，而对云计算、移动互联网、物联网、工控系统提出特殊要求，成为安全扩展要求。4、章节结构的变化三级安全要求的内容与之前的版本有明显不同，之前包括技术要求和管理要求。目前目录包括：通用安全要求、云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求、工控系统安全扩展要求。对此，马莉副研究员指出：“不要小看目录结构的变化，导致整个新标准的不同使用。1.0标准规定，所有的技术要求和管理要求都得到了充分的实现。现在需要根据场景选择性地使用通用需求+特定需求的扩展需求。5.分类结构变化技术部分，从物理安全、网络安全、主机安全、应用安全、数据安全，到安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分，从安全管理体系、安全管理机构、人员安全管理、制度建设管理、系统运维管理，到安全管理体系、安全管理机构、安全管理人员、安全施工管理、安全运维管理。6.增加云计算安全扩展要求云计算安全扩展要求一章针对云计算的特性提出了特殊的保护要求。云计算环境的主要新增内容包括：基础设施选址、虚拟化安全保护、镜像和快照保护、云服务商选择、云计算环境管理等。7、增加了移动互联网安全扩展需求部分，针对移动互联网的特性提出了特殊的保护需求。移动互联网环境的主要新增内容包括：无线接入点物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等。8.物联网安全扩展要求已添加。IoTSecurityExtensionRequirements章节针对物联网的特性提出了特殊的保护要求。物联网环境的主要增加包括：感知节点的物理保护、感知节点的设备安全、感知网关节点的设备安全、感知节点的管理和数据融合处理。9.增加IndustrialControlSystemSecurityExpansionRequirementsIndustrialControlSystemSecurityExpansionRequirements章节，针对工控系统的特性提出特殊的防护要求。工控系统主要新增内容包括：室外控制设备保护、工控系统网络架构安全、拨号使用控制、无线使用控制、控制设备安全。10.增加应用场景描述增加附录C描述分级保护安全框架和关键技术，增加附录D描述云计算应用场景，增加附录E描述移动互联网应用场景，增加附录F描述物联网应用场景，附录G描述工控系统应用场景，附录H描述大数据应用场景（安全扩展需求）。等保2.0标准的主要框架和内容为了让大家更直观的了解等保2.0标准的主要框架和内容，我将重点通过PPT进行讲解。我们先来看看新标准的结构：2008版的基本要求文件结构如下：新的基本要求文件结构如下：通用安全要求中的安全物理部分变化不大，见以下：网络试用版从***版中拆分出来三部分：安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的同时，重新强调系统管理、审计管理、安全管理，构成了新的标准内容。具体如下：演讲***，马莉副研究员总结了几个扩展需求。他强调，GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》，呼吁大家认真研究新版保障要求。【原创稿件，合作网站转载请注明原作者和出处为.com】