『壹』 等保標准演變史(1.0~2.0)
隨著雲計算、移動互聯、大數據、物聯網、人工智慧等新技術不斷涌現,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯。雲計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎,而其中網路和信息系統作為新興產業的承載者,構建起了整個經濟 社會 的神經中樞,保證其安全性不言而喻。
由於業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有 基礎信息網路、信息系統、雲計算平台、大數據平台、物聯網系統、工業控制系統 等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標准體系需要提升台階,去適應新技術的發展,等級保護的相關標准也需要跟上新技術的變化。 「等保1.0」的標准體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此「等保2.0「應運而生。
圖註:等級保護2.0安全框架
針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系。應依據國家網路安全等級保護政策和標准,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。
首先安全的內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),並進一步演進為面向網路空間的網路安全。網路安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網路安全法》明確規定「國家實行網路安全等級保護制度「,相關法律條文和標准也需保持一致性, 「等保2.0「與時俱進的將原標準的」信息系統安全等級保護「改為」網路安全等級保護「 ,例如《信息系統安全等級保護基本要求》改為《網路安全等級保護基本要求》。
等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行修訂和完善, 以滿足新形勢下等級保護工作的需要,其中《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全安全等級保護基本要求》、《信息安全技術 網路安全等級保護安全設計要求》已於2019年5月10日發布,並將在2019年12月1日實施。
在開展網路安全等級保護工作中應首先明確等級保護對象。
等保1.0定義等級保護對象為: 信息安全等級保護工作直接作用的具體信息和信息系統。隨著雲計算平台、物聯網、工業控制系統等新形態的等級保護對象不斷涌現,原定義內涵局限性日益顯現。
等保2.0定義等級保護對象為: 包括基礎信息網路、雲計算平台/系統、大數據應用/平台/資源、物聯網、工業控制系統和採用移動互聯技術的系統等。
(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
註:等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求;針對雲計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求。
雲計算安全擴展要求針對雲計算的特點提出特殊保護要求。雲計算環境主要增加的內容包括「基礎設施的位置」、「虛擬化安全保護」、「鏡像和快照保護」、「雲服務商選擇」和「雲計算環境管理」等方面。
針對移動互聯環境主要增加的內容包括「無線接入點的物理位置」、「移動終端管控」、「移動應用管控」、「移動應用軟體采購」和「移動應用軟體開發」等方面。
物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括「感知節點的物理防護」、「感知節點設備安全」、「感知網關節點設備安全」、「感知節點的管理」和「數據融合處理」等方面。
工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括「室外控制設備防護」、「工業控制系統網路架構安全」、「撥號使用控制」、「無線使用控制」和「控制設備安全」等方面。
以基本要求為例,充分體現一個中心,三重防禦的思想(和GB/T 25070保持一致,與設計要求融合)。
1、等級保護的基本要求、測評要求和設計技術要求統一框架,構建「一個中心,三重防護「的安全體系;
2、通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制系統等列入了標准規范。
基於這些變化,進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。