深度剖析网络安全等级保护2.0意义LOGO时代新威等级保护组前言自《网络安全法》颁布实施之后,等级保护的变化和差异较之前相比还是非常明显的。 以前我们感受最深的是支撑等级保护的都是政令、条例等形式的行政管理规范和标准,现如今,等级保护上升到了法律层面,也是从政府层面上升到 国家层面的一个跃升。今天时代新威为您带来网络安全等级保护系列国家标准的解读,帮助大家将网络安全工作落到实处。《信息系统安全等级保护 基本要求》(GB/T22239-2008)、《信息系统安全等级保护测评要求》(GB/T22239-2008)、《信息系统安全等 级保护设计技术要求》(GB/T25070-2010)在我国推行信息安全等级保护制度的过程中起到了非常重要的作用,被广泛应用于各个 行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。但是随着信息技术的发展,采用新技术、新应用构建的云计算平台、 移动互联接入、物联网、工业控制系统和大数据应用等系统的大量出现,已有10年历史的这三项标准在时效性、易用性、可操作性上需要进一步修 订完善。同时,2017年6月1日,《网络安全法》正式实施,进一步明确了网络安全等级保护制度的法律地位,网络安全等级保护对象、保护措 施要求、范围等都发生了很大的变化,需要修订原来的标准,以适应网络安全等级保护制度要求。目录1网络安全等级保护基本要求01022网 络安全等级保护测评要求3网络安全等级保护安全设计技术要求等级保护主要内容等级保护目的意义等级保护目的意义《网络安全法》明确了“国家 实行网络安全等级保护制度”、“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”等内容,为网络安全等级保护工作赋予了 新的内涵。为配合《网络安全法》的实施和落地,指导网络运营者按照网络安全等级保护制度的要求,履行网络安全保护义务,重新调整和修订等级 保护系列标准意义重大。尤其是等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采 用移动互联技术的系统等,重新调整和修订等级保护系列标准,基于新技术和新要求提出新的技术防护体系和管理措施、安全建设设计实现方式以及 等级测评方法等非常必要,可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评 机构更加规范化和标准化的开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。01等级保护主要内容0212网络安全等级保护测 评要求网络安全等级保护基本要求网络安全等级保护安全设计技术要求31网络安全等级保护基本要求新标准GB/T22239-2019 体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护的基本要求,每个级别的基本要求均由安全通用要求和 安全扩展要求构成。例如GB/T22239-2019提出的第三级安全要求基本结构为:8第三级安全要求8.1安全通用要求8.2 云计算安全扩展要求8.3移动互联安全扩展要求8.4物联网安全扩展要求8.5工业控制系统安全扩展要求1网络安全等级保护基 本要求安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全 管理中心”;管理要求部分为“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”,两者合计共分为10大类 。安全技术要求的分类体现了“从外部到内部”的纵深防御思想,对等级保护对象的安全防护应考虑从通信网络、区域边界和计算环境从外到内的 整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全 管理要求的分类体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”“人员”三要素缺一不可,同时应对系统的建设整改过 程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。网络安全等级保护安全设计技术要求3《网络安全等级 保护安全设计技术要求》规定了第一级到第四级等级保护对象的安全设计技术要求,每个级别的安全设计技术要求均由安全通用设计技术要求和安全 扩展设计技术要求构成。安全扩展设计技术要求包括了云计算、移动互联、物联网、工业控制系统等方面。第一级到第三级的安全设计技术要求均包 含安全计算环境、安全区域边界、安全通信网络、安全管理中心等四个方面。在第四级的安全设计技术要求增加了系统安全保护环境结构化设计技术 要求方面。安全计算环境设计技术要求针对等级保护对象的信息进行存储、处理及实施安全策略的相关部件提出;安全区域边界设计技术要求针对 安全计算环境边界及在安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件提出;安全通信网络设计技术要求针对安全计算环境之 间进行信息传输及实施安全策略的相关部件提出;安全管理中心设计技术要求是针对等级保护对象的安全策略及安全计算环境、安全区域边界和安全 通信网络上的安全机制实施同一管理的平台提出。安全设计技术要求主要从用户身份鉴别、访问控制、安全审计、用户数据完整性和保密性保护、客 体安全重用、可信验证、配置可信性检查、入侵检测和恶意代码防范等方面提出要求。在附录C中对大数据设计技术要求进行了规定。。总结网络 安全等级保护制度是我国网络信息安全保障工作的基本制度、基本策略和基本方法。网络安全等级保护制度是集法律、政策、方针、方法论为一体的 一个体系性的基本制度。时代新威认为网络信息安全是关乎我国国家安全、国民生计、经济命脉、社会稳定、法人及公民权益大事,而一套发展并不断成熟完备的体系,使得我们在网络信息安全工作中不可或缺的指引与行动指南。 |
|