权威解读 | 网络安全等级保护2.0标准体系以及主要标准

在近日召开的网络安全等级保护系统2.0国家标准发布会上,公安部信息安全等级保护评估中心评估司司长、国家等级保护标准主要起草人马莉介绍了网络安全等级保护的2.0标准体系和主要标准,并阐述了网络安全等级保护2.0标准的特点和变化及其框架和内容。

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

公安部信息安全等级保护评估中心马莉副研究员

等级保护2.0标准主要特点

首先,让我们来看看网络安全等级保护2.0的主要标准,如下图所示:

权威解读|网络安全等级保护2.0标准体系以及主要标准

谈到网络安全等级保护2.0标准的特点,马莉副研究员说主要体现在以下三个方面:

首先,对象的范围扩大了。新标准包括云计算、移动互联、物联网、工业控制系统等。在标准的范围内,它构成了“安全一般要求、新应用安全扩展要求”的要求。

第二,分类结构是统一的。新标准“基本要求、设计要求和评估要求”的分类框架统一,形成“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持的三重保护架构。

第三,加强可信计算。新标准加强了对使用可信计算技术的要求,包括所有级别的可信验证,并逐步提出所有链接的主要可信验证要求。

“从1级到4级的标准都提出了可信的身份验证控制。然而,在标准试验期间,可信核查的实现仍然面临许多挑战。因此,我们希望与参加本次会议的所有硬件制造商、软件制造商和安全服务提供商共同努力,将可信验证和可信计算产品产业化,以更好地支持新标准。”副研究员马莉说。

等级保护2.0标准的十大变化

后来,他解释了等级保护2.0标准的十大变化,如下:

1、名称的变化

从原来的《信息系统安全等级保护基本要求》变为《信息安全等级保护基本要求》,然后变为《网安全等级保护基本要求》。

2、对象的变化

最初的对象是信息系统,现在等级保护的对象是网络和信息系统。安全级别保护的对象包括网络基础设施(广播电视网络、电信网络、专用通信网络等)。)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。

3、安全要求的变化

从“安全要求”更改为“一般安全要求和安全扩展要求”。

安全性的一般要求是无论受保护对象的形式如何都必须满足的要求。对云计算、移动互联、物联网和工业控制系统提出了特殊要求,成为安全扩展的要求。

4、章节结构的变化

三级安全要求的目录明显不同于以前的版本,包括技术要求和管理要求。当前目录包括:一般安全需求、云计算安全扩展需求、移动互联网安全扩展需求、物联网安全扩展需求和工业控制系统安全扩展需求。

对此,协理研究员马莉指出:“不要低估目录结构的变化,这种变化会导致新标准的不同使用。完全实现了1.0标准中规定的技术要求和管理要求。现在有必要根据现场情况有选择地使用通用要求。需要扩展要求。

5、分类结构的变化

在技术部分,从物理安全、网络安全、主机安全、应用安全和数据安全转变为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。在管理方面,从安全管理体系、安全管理组织、人员安全管理、系统建设管理和系统运行维护管理到安全管理体系、安全管理体系、安全管理体系等,结构变化不大

6、增加了云计算安全扩展要求

7、增加了移动互联网安全扩展要求

8、增加了物联网安全扩展要求

物联网的安全扩展要求部分根据物联网的特点提出了特殊的保护要求。物联网环境的主要新增内容包括:传感节点的物理保护、传感节点设备的安全性、传感网关节点设备的安全性、传感节点的管理和数据融合处理。

9、增加了工业控制系统安全扩展要求

工业控制系统的安全扩展要求章节针对工业控制系统的特性提出特殊保护要求。工业控制系统的主要新增功能包括:室外控制设备保护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全。

10、增加了应用场景的说明

添加附录C描述分层保护安全框架和关键技术,添加附录D描述云计算应用场景,添加附录E描述移动互联应用场景,添加附录F描述物联网应用场景,添加附录G描述工业控制系统应用场景,添加附录H描述大数据应用场景(安全扩展要求)。

等级保护2.0标准的主要框架和内容

为了让大家更直观地了解等级保护2.0标准的主要框架和内容,我将重点介绍PPT。

首先看一下新的标准结构:

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

2008版基本需求文档结构如下:

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

新的基本需求文档结构如下:

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

一般安全需求的安全物理部分没有太大变化,见下文:

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

网络试用版到* * *版已经分成三个部分:安全通信网络、安全区域边界安全管理中心在强调集中控制的同时,再次强调系统管理、审计管理和安全管理,形成了新的标准内容。具体如下:

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

Speech * * *,副研究员马莉总结并演示了几种扩展要求。他强调,GB/T22239-2019 《信息安全技术 网络安全等级保护基本要求》将取代原有的GB/T2239-2008 《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真研究新的要求。

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

权威解读 | 网络安全等级保护2.0标准体系以及主要标准

极牛网精选文章《权威解读 | 网络安全等级保护2.0标准体系以及主要标准》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/5175.html

(42)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年5月24日 上午11:44
下一篇 2019年5月27日 下午11:21

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部