2019年5月13日,备受业界关注的MLPS2.0正式发布,山石网科资深专家为您分析解读,有哪些重要变化放置在MLPS2.0中?进入MLPS2.0时代,着眼于云计算、移动互联网、物联网、工业控制、大数据安全等全方位的安全防护。确保关键信息基础设施的安全。随着云计算、移动互联网、大数据、物联网、人工智能等新技术的不断涌现,计算机信息系统的概念已经不能包罗万象,尤其是大数据所带来的价值。互联网的快速发展。云计算、大数据、工控系统、物联网、移动互联网等新技术的不断拓展,成为产业结构升级的坚实基础,网络和信息系统作为新兴产业的载体,建立了整个经济和社会。神经中枢,保证其安全是不言而喻的。由于业务目标不同、采用的技术不同、应用场景不同等因素,不同级别的保护对象会以不同的形式出现,如基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。不同形式的保护对象面临的威胁不同,安全防护要求也会不同。现有标准体系需要升级以适应新技术的发展,等级保护的相关标准也需要跟上新技术的变化。“多保1.0”标准体系在适用性、时效性、易用性、可操作性等方面有待进一步拓展和完善,“多保2.0”应运而生。图注:分级保护2.0安全框架根据分级保护对象的特点,建立安全技术体系和安全管理体系,构建相应等级安全防护能力的综合网络安全防御体系。组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训、资金保障等,按照国家联网标准开展。安全级别保护策略和标准。名称的变化首先,安全的内涵从早期的面向数据的信息安全,转变为面向信息系统的信息保障(informationsystemsecurity),并进一步演变为面向网络空间的网络安全。网络安全以其更丰富的内涵,逐渐使信息安全成为安全领域的共识。明确规定“国家实行网络安全等级保护制度”,相关法律规定和标准也必须保持一致。2.0“与时俱进”将原来的标准“信息系统安全等级保护”改为“网络安全等级保护”,例如《信息系统安全等级保护基本要求》改为?。等级保护2.0修订完善等级指南、基本要求、实施指南、评价过程指南、评价要求、设计技术要求等标准,适应新形势下等级保护工作需要,其中《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》于2019年5月10日发布,2019年12月1日起实施。保护对象变化开展网络安全等级保护工作时,首先要明确等级保护对象。等级保护1.0将等级保护的对象定义为:受信息安全等级保护直接影响的特定信息和信息系统。随着云计算平台、物联网、工业控制系统等新形式的分级保护对象的不断出现,原有定义的局限性日益显现。MLPS2.0将等级保护对象定义为:包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统、采用移动互联网技术的系统等。要求为例)MLG1.0:安全要求M??LG2.0:通用安全要求和安全扩展要求安全通用要求云计算安全扩展要求移动互联网安全扩展要求物联网安全扩展要求工控系统安全扩展要求要求注:通用ClassGuarantee2.0的安全要求是通用的要求,无论被保护对象的形式如何,都必须满足;对于云计算、移动互联网、物联网和工业控制系统,除了满足一般的安全要求外,还有一些补充要求需要满足,称为安全扩展要求。扩展要求1云计算云计算安全扩展要求针对云计算的特点提出了特殊的保护要求。云计算环境的主要新增内容包括“基础设施定位”、“虚拟化安全保护”、“镜像和快照保护”、“云服务提供商选择”和“云计算环境管理”。扩展需求2移动互联网主要针对移动互联网环境增加内容,包括“无线接入点物理位置”、“移动终端管理与控制”、“移动应用管理与控制”、“移动应用软件采购”、“移动应用”软件开发”等方面。扩展要求3物联网安全扩展要求针对物联网的特点提出了特殊的保护要求。物联网环境的主要增加包括“传感节点的物理保护”、“传感节点设备的安全”、“传感网关节点设备的安全”、“传感节点的管理”和“数据融合处理”。4工业控制系统的扩展要求工业控制系统的安全扩展要求针对工业控制系统的特点提出了特殊的保护要求。工控系统主要新增内容包括“室外控制设备保护”、“工控系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”。控制措施分类结构变化以基本要求为例,充分体现一中心三防思想(与GB/T25070一致,与设计要求相结合)。总结1.统一分级保护基本要求、评价要求和设计技术要求框架,构建“一个中心、三重保护”安全体系;2、通用安全需求+新应用安全扩展需求,融合云计算、移动互联网、物联网、工控系统等纳入标准规范。基于这些变化,进入ClassSecurity2.0时代,要着力对云计算、移动互联网、物联网、工业控制、大数据安全等进行全面的安全防护,确保关键信息基础设施的安全。
