安全資訊

為適應新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統的等級保護工作的需要，近期，等級保護2.0正式發(fā)布。據了解，等級保護2.0在標準名稱(chēng)、保護對象、章節結構、控制措施等部分均進(jìn)行了修改和更新，相較于等級保護1.0版本，等級保護2.0經(jīng)過(guò)不斷的完善、更新、充實(shí)，實(shí)用性與操作性更高。

此次等級保護2.0的正式推出，標志著(zhù)我國網(wǎng)絡(luò )安全等級保護工作正式進(jìn)入“2.0時(shí)代”。在帶來(lái)一系列新技術(shù)、新產(chǎn)業(yè)蓬勃發(fā)展的同時(shí)，也帶來(lái)了新的挑戰，對于強勢來(lái)襲的等級保護2.0，網(wǎng)絡(luò )安全的治理將走向何方?信息安全人員是否倍感壓力?又該如何應對?

我們結合等級保護2.0的新標準，以“一線(xiàn)”視角為廣大用戶(hù)進(jìn)行詳細解讀，并為企業(yè)用戶(hù)做到標準合規提出建議。

1. 網(wǎng)絡(luò )安全等級保護為信息系統、云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統等定級對象的網(wǎng)絡(luò )安全建設和管理提供系統性、針對性、可行性的指導和服務(wù)，幫助用戶(hù)提高定級對象的安全防護能力。做好等級保護工作可以實(shí)現：滿(mǎn)足國家相關(guān)法律法規和制度的要求;降低信息安全風(fēng)險，提高定級對象的安全防護能力;合理地規避或降低風(fēng)險;履行和落實(shí)網(wǎng)絡(luò )信息安全責任義務(wù)。

2. 等級保護2.0時(shí)代，將根據信息技術(shù)發(fā)展應用和網(wǎng)絡(luò )安全態(tài)勢，不斷豐富制度內涵、拓展保護范圍、完善監管措施，逐步健全網(wǎng)絡(luò )安全等級保護制度政策、標準和支撐體系。

3. 等級保護2.0橫向擴展了對云計算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統的安全要求，縱向擴展了對等保測評機構的規范管理。

4. 相較于等級保護1.0，等級保護2.0重新對部分內容的順序作了調整，從整體顯得更加的合理。并且，增加了新的內容和流程，例如擴展了定級的對象，包括基礎信息網(wǎng)絡(luò )、工業(yè)控制系統、云計算平臺、物聯(lián)網(wǎng)、其他信息系統、大數據等;新增加的流程為“定級工作一般流程”，并對舊版本“定級一般流程”更名為“定級方法流程”。

5. 等級保護2.0新增定級流程，從確定定級對象、初步確認等級、專(zhuān)家評審、主管部門(mén)審核到公安機關(guān)備案審查，最后到最終確定的等級。

6. 等級保護2.0重新對定級對象進(jìn)行調整，并進(jìn)行相應的介紹。等級保護2.0定級對象分為基礎信息網(wǎng)絡(luò )、信息系統和其他信息系統，其中信息系統再細分為工業(yè)控制系統、物聯(lián)網(wǎng)、大數據、移動(dòng)互聯(lián)以及云計算平臺。

7. 云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。云計算服務(wù)模式包括：軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)、基礎設施即服務(wù)(IaaS)，在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶(hù)對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。

8. 在云計算環(huán)境中，考慮到不同的安全建設和管理責任，應將云服務(wù)方側的云計算平臺和云租戶(hù)側的等級保護對象也應作為單獨的定級對象定級。而大型云計算平臺應將云計算基礎設施和有關(guān)輔助服務(wù)系統劃分為不同的定級對象。

9. 等級保護2.0云計算擴展要求中，對于IaaS層來(lái)說(shuō)，在設施方面的控制要求，增加了：一是提出物理位置的選擇的要求，例如云計算的所有物理設備和數據均存放在國內;二是提出服務(wù)供應商選擇和供應鏈管理的要求，例如選擇云服務(wù)商和供應商的過(guò)程須符合國家的要求。而在硬件方面的控制要求，增加了：一是提出身份鑒別的要求，例如設備之間建立雙向身份驗證機制。二是提出訪(fǎng)問(wèn)控制的要求，例如在遠程管理設備時(shí)不能直接連接其他網(wǎng)絡(luò )。三是提出數據保密性的要求，例如保證設備之間網(wǎng)絡(luò )通信的保密性。

10. 等級保護2.0云計算擴展要求中，對于PaaS層來(lái)說(shuō)，增加了：一是提出對數據集中審計的、職責劃分的要求;二是提出了對開(kāi)發(fā)環(huán)境訪(fǎng)問(wèn)控制的要求。

11. 等級保護2.0云計算擴展要求中，對于SaaS層來(lái)說(shuō)，增加了：一是接口安全的控制要求。二是提出了對應用系統監測、數據備份/存儲/遷移/審計的控制要求。三是提出了對職責與權限劃分、數據安全審計、惡意代碼檢測、資源控制的要求。除此之外，還特別增加了：一是供應鏈管理、監控和審計管理的控制要求，二是提出了對選擇服務(wù)商、測試驗收、平臺接口安全、授權審批的控制要求。