关于等保2.0,你需要了解的

时间:2024-04-13 09:31:03

等保2.0全称为信息安全技术网络安全等级保护基本要求2.0。GB/T 22239-2019代替22239-2008。是*部颁发,针对全行业进行定级、备案、建设整改、等级测评、监督检查的强制性文件。与此同时,也是当今我国的网络安全领域的一项基本制度,基本国策

 

首先是关于执行等保2.0的必要性。在《*网络安全法》中针对这方面有明文要求:

  • 第二十一条要求:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
  • 第二十五条要求:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
  • 第三十一条要求:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
  • 第五十九条要求:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

 

因此不展开等级保护等于违法。

 

那怎么样才能落实等保2.0,其具体要求是怎样的呢?与等保1.0相比,等保2.0在很多方面都进行了细化,同时也提出了更高的要求。从法律法规、标准要求、安全体系、实施环节等方面都有了变化。主要变化如下:

  • 将标准名称变更为《信息安全技术 网络安全等级保护基本要求》;
  • 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;
  • 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;
  • 取消了原来安全控制点的S、A、G标注,增加一个附录A 描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求;
  • 调整了原来附录A 和附录 B的顺序,增加了附录C描述网络安全等级保护总体框架,并提出关键技术使用要求。

 

以上是等保2.0中提出的变化。接下来谈谈详细的规程规制。信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由高到低分为五级:

  • 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
  • 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
  • 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
  • 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
  • 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。

 

等保2.0主要是对各级保护对象提出了详细要求。其中由于第五等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在等保2.0中进行描述。

 

在之前的等保1.0,各级安全要求是分为两大部分,技术要求和管理要求,而最新的等保2.0已不再划分,更加整洁和扼要。

 

在等保2.0中,各级安全要求都是围绕五项要求展开的,即安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求,无外乎具体细则要求的强度不同。

 

第一级的安全通用要求包括,物理环境、通信网络、区域边界、计算环境、管理制度、管理机构、管理人员、建设管理、运维管理。具体要求做到物理访问控制、防盗、防破坏、防雷击、防火、防水、防潮、温湿度控制、电力供应等。

 

针对不同对象的要求都是围绕这些项目展开的。例如:云计算安全扩展要求包括,物理环境、通信网络、区域边界、计算环境、建设管理;移动互联安全扩展要求包括,物理环境、区域边界、计算环境、建设管理;物联网安全扩展要求包括,物理环境、区域边界、运维管理;工业控制系统安全扩展要求包括,物理环境、通信网络、区域边界、计算环境。

 

而针对第二级,各项要求都有了更高要求的补充,例如在安全通用要求中加了电磁防护,或是对原先的入侵防范多了三项要求等。以此类推,第三级、第四级的要求也是在原有基础上添加和补充。

 

由于篇幅原因,不能够对等保2.0中所有的细则进行对比分析,此处着重分析对于各级保护对象关于管控中心的要求。在等保2.0中,针对第一级保护对象,并没有安全管理中心的相关要求,只需要做到建立安全管理制度。

 

针对第二级保护对象,在第7.1.5条中关于安全管理中心的要求,提出管理中心的功能主要包括系统管理和审计管理两部分。系统管理主要是对系统管理员进行身份鉴别和对相关操作进行审计,并能够通过系统管理员进行各类资源配置。审计管理主要是对审计操作的命令进行约束,以及能够对审计人员的操作进行审计,分析结果便于查询。

 

针对第三级保护对象,在第8.1.5条中关于安全管理中心的要求,比第二级的要求多出两项,除了原有的系统管理和审计管理,新增加了安全管理、集中管控。

  • 安全管理提出对安全管理员的相关操作命令进行约束,以及能够对其操作进行审计,并能够通过安全管理员进行安全策略的配置。
  • 集中管控,这是最重要的功能。这项要求从功能上和技术实现上,跟前两级要求划分了界限。其要求划分特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;建立安全的信息传输路径,对网络链路、安全设备、网络设备和服务器等进行集中监测;对分散设备的审计数据进行收集汇总和集中分析;对安全策略,恶意代码、补丁升级等进行集中管理;对网络中的各类安全事件进行识别、报警和分析。

 

针对第四级保护对象,在第9.1.5条中关于安全管理中心的要求,在集中管控要求比第三级的要求多出一项。保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析在时间上的一致性。

 

集中管控的功能是第三级、第四级的重点。要求对三重防护,通讯网络、区域边界、计算环境中的安全设备或安全组件进行集中管控,包括纵向认证、路由器、交换机、横向隔离、防火墙、恶意代码防范、入侵检测、主机加固、安全审计、安全自评估工具等,这是过去极少实现的,以致于听过有人说现在不存在可用统一管控的产品。

 

但考虑到国家文件已经下发,肯定是有看到技术的可行性,以及成熟的产品。现如今的安全厂家肯定有能够实现的产品,但肯定不会多。

 

这是等保2.0中附录C的安全框架图。其体系架构特点可以概括为1+3,即一个安全管理中心支持下的三重防护体系架构:

关于等保2.0,你需要了解的

 

 

最后,说下现状。由于等保2.0是2019年12月1日发行的,因此今年是采用全新要求来做等保测评的。而做等保测评先要到*部备案定级,*部通过后再根据定级来做防护,部分地区会刻意让下属厂站定在第二等级,这样在管控平台的相关要求会低很多。但其实,只要单位遭受破坏后,会对国家安全造成损害,都会定在三级以上,电厂是电网的一个点,经常被用来当做跳板攻击中调,配电公司也是同样的道理。因此厂站理论上来说都是要至少做三级的,即要实现能够统一管控安全设备和安全组件。

 

以上就是关于等保2.0的一部分解读,也希望今年等保测评都能顺利通过。关注公众号:IT学子,回复等保2.0,可获取等保1.0,等保2.0,以及相关解读资料。回复网络安全法,可获取*网络安全法。

相关文章