【51CTO.com原創(chuàng)稿件】在近日舉行的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)宣貫會(huì)上，公安部信息安全等級(jí)保護(hù)評(píng)估中心測(cè)評(píng)部主任、等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的主要起草者，馬力副研究員介紹了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)，講解了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的特點(diǎn)和變化，以及框架和內(nèi)容。

[[266294]]

公安部信息安全等級(jí)保護(hù)評(píng)估中心馬力副研究員

等級(jí)保護(hù)2.0標(biāo)準(zhǔn)主要特點(diǎn)

首先，我們來(lái)看看網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的主要標(biāo)準(zhǔn)，如下圖：

說(shuō)起網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的特點(diǎn)，馬力副研究員表示，主要體現(xiàn)在以下三個(gè)方面：

一是，對(duì)象范圍擴(kuò)大。新標(biāo)準(zhǔn)將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的要求內(nèi)容。

二是，分類(lèi)結(jié)構(gòu)統(tǒng)一。新標(biāo)準(zhǔn)“基本要求、設(shè)計(jì)要求和測(cè)評(píng)要求”分類(lèi)框架統(tǒng)一，形成了“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”和“安全管理中心”支持下的三重防護(hù)體系架構(gòu)。 

三是，強(qiáng)化可信計(jì)算。新標(biāo)準(zhǔn)強(qiáng)化了可信計(jì)算技術(shù)使用的要求，把可信驗(yàn)證列入各個(gè)級(jí)別并逐級(jí)提出各個(gè)環(huán)節(jié)的主要可信驗(yàn)證要求。

“標(biāo)準(zhǔn)從一級(jí)到四級(jí)全部提出了可信驗(yàn)證控件。但在標(biāo)準(zhǔn)的試用期間，對(duì)于可信驗(yàn)證的落地還存在諸多挑戰(zhàn)。所以，我們希望與這次參會(huì)的所有硬件廠(chǎng)商、軟件廠(chǎng)商、安全服務(wù)商共同努力，把可信驗(yàn)證、可信計(jì)算這方面的產(chǎn)品產(chǎn)業(yè)化，來(lái)更好地支撐新標(biāo)準(zhǔn)。” 馬力副研究員說(shuō)到。

等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的十大變化

隨后，他為大家解讀了等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的十大變化，具體如下：

1、名稱(chēng)的變化

從原來(lái)的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全等級(jí)保護(hù)基本要求》，再改為《網(wǎng)安全等級(jí)保護(hù)基本要求》。

2、對(duì)象的變化

原來(lái)的對(duì)象是信息系統(tǒng)，現(xiàn)在等級(jí)保護(hù)的對(duì)象是網(wǎng)絡(luò)和信息系統(tǒng)。安全等級(jí)保護(hù)的對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施(廣電網(wǎng)、電信網(wǎng)、專(zhuān)用通信網(wǎng)絡(luò)等)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

3、安全要求的變化

由“安全要求”改為“安全通用要求和安全擴(kuò)展要求”。

安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿(mǎn)足的要求，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，成為安全擴(kuò)展要求。

4、章節(jié)結(jié)構(gòu)的變化

第三級(jí)安全要求的目錄與之前版本明顯不同，以前包含技術(shù)要求、管理要求。現(xiàn)在的目錄包含：安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

對(duì)此，馬力副研究員指出：“別小看只是目錄架構(gòu)的變化，這導(dǎo)致整個(gè)新標(biāo)準(zhǔn)的使用不同。1.0標(biāo)準(zhǔn)規(guī)定技術(shù)要求和管理要求全部實(shí)現(xiàn)?，F(xiàn)在需要根據(jù)場(chǎng)景選擇性的使用通用要求+某一個(gè)擴(kuò)展要求。”

5、分類(lèi)結(jié)構(gòu)的變化

在技術(shù)部分，由物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心;在管理部分，結(jié)構(gòu)上沒(méi)有太大的變化，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理，調(diào)整為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

6、增加了云計(jì)算安全擴(kuò)展要求

云計(jì)算安全擴(kuò)展要求章節(jié)針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求。對(duì)云計(jì)算環(huán)境主要增加的內(nèi)容包括：基礎(chǔ)設(shè)施的位置、虛擬化安全保護(hù)、鏡像和快照保護(hù)、云服務(wù)商選擇和云計(jì)算環(huán)境管理等方面。

7、增加了移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求

移動(dòng)互聯(lián)安全擴(kuò)展要求章節(jié)針對(duì)移動(dòng)互聯(lián)的特點(diǎn)提出特殊保護(hù)要求。對(duì)移動(dòng)互聯(lián)環(huán)境主要增加的內(nèi)容包括：無(wú)線(xiàn)接入點(diǎn)的物理位置、移動(dòng)終端管控、移動(dòng)應(yīng)用管控、移動(dòng)應(yīng)用軟件采購(gòu)和移動(dòng)應(yīng)用軟件開(kāi)發(fā)等方面。

8、增加了物聯(lián)網(wǎng)安全擴(kuò)展要求

物聯(lián)網(wǎng)安全擴(kuò)展要求章節(jié)針對(duì)物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求。對(duì)物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括：感知節(jié)點(diǎn)的物理防護(hù)、感知節(jié)點(diǎn)設(shè)備安全、感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全、感知節(jié)點(diǎn)的管理和數(shù)據(jù)融合處理等方面。

9、增加了工業(yè)控制系統(tǒng)安全擴(kuò)展要求

工業(yè)控制系統(tǒng)安全擴(kuò)展要求章節(jié)針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)提出特殊保護(hù)需求。對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括：室外控制設(shè)備防護(hù)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全、撥號(hào)使用控制、無(wú)線(xiàn)使用控制和控制設(shè)備安全等方面。

10、增加了應(yīng)用場(chǎng)景的說(shuō)明

增加附錄C描述等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)，增加附錄D描述云計(jì)算應(yīng)用場(chǎng)景，附錄E描述移動(dòng)互聯(lián)應(yīng)用場(chǎng)景，附錄F描述物聯(lián)網(wǎng)應(yīng)用場(chǎng)景，附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景，附錄H描述大數(shù)據(jù)應(yīng)用場(chǎng)景(安全擴(kuò)展要求)。

等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的主要框架和內(nèi)容

為了讓大家更為直觀(guān)的了解等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的主要框架和內(nèi)容，我重點(diǎn)通過(guò)PPT來(lái)闡述。 

首先來(lái)看看新標(biāo)準(zhǔn)結(jié)構(gòu)：

2008版基本要求文檔結(jié)構(gòu)如下：

新基本要求文檔結(jié)構(gòu)如下：

安全通用要求中的安全物理部分變化不大，見(jiàn)下面：

網(wǎng)絡(luò)試用版到***版被拆分了三個(gè)部分：安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心。安全管理中心在強(qiáng)調(diào)集中管控的時(shí)候，再次強(qiáng)調(diào)了系統(tǒng)管理，審計(jì)管理，安全管理，構(gòu)成新的標(biāo)準(zhǔn)內(nèi)容。具體如下：

 演講***，馬力副研究員對(duì)幾個(gè)擴(kuò)展要求進(jìn)行了總結(jié)展示。他強(qiáng)調(diào)，GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》將替代原來(lái)的GB/T2239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，并呼吁大家認(rèn)真學(xué)習(xí)新版等保要求。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】