“等保2.0”新国家标准发布:针对云计算、物联网提出安全要求
南方都市报报道,5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,发布了一批重要国家标准。
其中包括新修订的
《信息安全技术 网络安全等级保护基本要求》(下称《基本要求》)
《信息安全技术 网络安全等级保护测评要求》(下称《测评要求》)和
《信息安全技术 网络安全等级保护安全设计技术要求》(下称《技术要求》)等三个网络安全领域的国家标准。
公安部信息安全等级保护评估中心相关负责人陈广勇指出,上述标准可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。
标志着等保从1.0跨入2.0
南都记者了解到,等级1.0中体系中的《信息系统安全等级保护基本要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护基本要求》已经被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。
但是,随着云计算、互联网、移动互联网、工业控制系统等新技术、新应用的大量涌现,这三项标准亟需修订完善。2017年6月1日,《中华人民共和国网络安全法》正式实施。其中第二十一条明确规定,国家实行网络安全等级保护制度,进一步明确了网络安全等级保护制度的法律地位。
为顺应当前的网络安全要求,等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”,标志着实施了十余年之久的信息安全等级保护制度从1.0跨入了2.0的新阶段。
据陈广勇介绍,相比等保1.0,此次新标准的保护对象从信息系统变为网络和信息系统,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
与此对应,《基本要求》对每个级别的基本要求均由安全通用要求和安全扩展要求构成。除了“不管等级保护对象形态如何必须满足”的安全通用要求之外,还有针对云计算、移动互联、物联网和工业控制系统提出的特殊要求,称为安全扩展要求。
“新标准GB/T22239-2019体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护的基本要求”,陈广勇表示,安全要求细分为技术要求和管理要求,其中技术要求的分类体现了“从外部到内部”的纵深防御思想,而管理要求的分类则体现了“从要素到活动”的综合管理思想。
技术要求包含用户数据完整性
另外两个新标准——《测评要求》、《技术要求》则围绕《基本要求》提出了更加细化的要求。
《测评要求》以《基本要求》的要求项为测评指标,规定了第一级到第四级等级保护对象的测评要求,用于规范和指导测评机构和测评人员的活动和行为。
陈广勇介绍,《测评要求》与《基本要求》形成了一致对应的标准文本结构,其中技术方面分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面展开;管理方面则包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全系统运维管理等五个方面。
《技术要求》对第一级到第四级等保对象的安全设计技术要求分为安全通用设计技术要求和安全扩展设计技术要求两个方面,后者包括了云计算、移动互联、物联网、工业控制系统等方面。
“安全设计技术要求主要从用户身份鉴别、访问控制、安全审计、用户数据完整性和保密性保护、客体安全重用、可信验证、配置可信性检查、入侵检测和恶意代码防范等方面提出要求”,陈广勇解释说。
值得注意的是,第一级到第三级的安全设计技术要求均包含安全计算环境、安全区域边界、安全通信网络、安全管理中心等四个方面,而第四级的安全设计技术要求增加了系统安全保护环境结构化设计技术要求。
采写:南都记者蒋琳
评论