健康界

05-15 00:00

備受關注的網(wǎng)絡安全等級保護系列新國家標準(新國標)5月13日正式公布。據(jù)了解，新國標將等級保護對象從信息系統(tǒng)擴展到云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)等等。

備受關注的網(wǎng)絡安全等級保護系列新國家標準(新國標)5月13日正式公布。據(jù)了解，新國標將等級保護對象從信息系統(tǒng)擴展到網(wǎng)絡基礎設施、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等等。

國家市場監(jiān)督管理總局、國家標準化管理委員會5月13日召開的新聞發(fā)布會上，發(fā)布了新修訂的《信息安全技術網(wǎng)絡安全等級保護基本要求》(下稱《基本要求》)、《信息安全技術網(wǎng)絡安全等級保護測評要求》(下稱《測評要求》)和《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》(下稱《技術要求》)三個網(wǎng)絡安全領域的國家標準。

陳廣勇解讀《信息安全技術 網(wǎng)絡安全等級保護基本要求》國家標準

據(jù)悉，《基本要求》、《測評要求》和《技術要求》已被廣泛應用于各個行業(yè)或領域指導用戶開展信息系統(tǒng)安全等級保護的建設整改、等級測評等工作。但隨著云計算、互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術、新應用的大量涌現(xiàn)，這三項標準亟須修訂完善。

公安部信息安全等級保護保護評估中心咨詢服務部主任陳廣勇介紹說，信息安全等級保護標準原國標的上位文件是公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室于2007年頒布的《信息安全等級保護管理辦法》。

為順應當前的網(wǎng)絡安全要求，等級保護從原來的“信息安全等級保護”變更為“網(wǎng)絡安全等級保護”，標志著實施了10余年之久的信息安全等級保護制度從1.0跨入了2.0的新階段。

陳廣勇表示，“從07年開始，已經(jīng)過去十幾年了，技術發(fā)展很快，所以我們對標準的修訂也是基于兩點，第一是采用新技術、新標準的構建的云計算平臺、物聯(lián)網(wǎng)、大數(shù)據(jù)出現(xiàn)，等級保護的內容和覆蓋需要隨時變化，第二是《網(wǎng)絡安全法》的頒布對推進等級保護標準修訂工作注入了強心劑?！?/p>

同時，相比“等保1.0”，此次新標準的保護對象從信息系統(tǒng)變?yōu)榫W(wǎng)絡和信息系統(tǒng)，包括網(wǎng)絡基礎設施、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等。

與此對應，《基本要求》對每個級別的基本要求均由安全通用要求和安全擴展要求構成。除了“不管等級保護對象形態(tài)如何必須滿足”的安全通用要求外，還有針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出的特殊要求，稱為安全擴展要求。

“新標準GB/T 22239-2019體現(xiàn)了綜合防御、縱深防御、主動防御思想，規(guī)定了第一級到第四級等級保護對象的安全保護的基本要求”，陳廣勇說。

值得注意的是，新國標明確了云計算平臺的運維應設在中國境內，境外對境內云計算平臺實施運維操作應遵循國家相關規(guī)定。在進行物聯(lián)網(wǎng)系統(tǒng)安全設計時，應通過系統(tǒng)管理員對感知設備、感知網(wǎng)關等進行統(tǒng)一身份標識管理;應通過系統(tǒng)管理員對感知設備狀態(tài)(電力供應情況、是否在線、位置等)進行統(tǒng)一監(jiān)測和處理。陳廣勇表示，上述標準都是根據(jù)云計算和物聯(lián)網(wǎng)技術特點提出的。

與此同時，《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》的起草單位有20余家，除了公安部第一研究所、北京工業(yè)大學等部門和大學之外，阿里云計算技術有限公司、華為技術有限公司等企業(yè)在列。

2017年6月1日起正式實施的《網(wǎng)絡安全法》明確，國家實行網(wǎng)絡安全等級保護制度。2018年6月27日至7月27日，公安部就《網(wǎng)絡安全等級保護條例(征求意見稿)》供開征求意見。該《征求意稿》擬規(guī)定，根據(jù)網(wǎng)絡在國家安全、經(jīng)濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，按照從低到高排列，網(wǎng)絡分為五個安全保護等級。此外，網(wǎng)絡運營者應當在規(guī)劃設計階段確定網(wǎng)絡的安全保護等級。陳廣勇表示，正在制定中的《網(wǎng)絡安全等級保護條例》是新國標的上位文件和總要求。

“等保1.0”和“等保2.0”區(qū)別分析

一、核心法律依據(jù)和主要制定依據(jù)的相關效力位階；

二、根據(jù)受害客體對象進行等級評定，等保2.0加入了網(wǎng)絡劃分；

三、以三級為例，管理要求和技術要求內容和數(shù)量的變化；

四、新舊標準控制點和要求點的數(shù)量變化；

五、等保2.0第三級安全要求結構；

六、測評周期的變化；

相較于等保1.0，等保2.0標準測評周期、測評結果評定有所調整。等保2.0標準要求，第三級以上的系統(tǒng)每年開展一次測評，修改了原先1.0時期要求四級系統(tǒng)每半年進行一次等保測評的要求。