信息安全|系統集成|軟件開發 | 全國服務熱線:028-87059958 | 移動電話:13808203880

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

作者等級保護評估 發表日期:2020/9/11 22:43:59 瀏覽次數:

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

2020-06-09 22:30 來源:自主可控新鮮事

2019年12月24日,在2019龍芯新產品發布暨用戶大會上,公安部信息安全等級保護評估中心 馬力副研究員為現場參會者進行了《網絡安全等級保護2.0標準體系介紹》的演講。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

以下為現場演講原文:

今天,我時間比較短,我簡單把2019年大家見到的一些等級保護內容做一些簡單介紹。內容分為兩個部分:

第一部分,主要帶大家回顧一些等級保護的歷程。等保并不是現在才出現,過去10年,我們一直在推廣等級保護。這一部分講一些過去的等保與現在的區別。第二部分,給大家介紹一些新的標準的變化。

2007年,公安部會同相關部門發布了一個非常重要的紅頭文件——《信息安全等級保護管理辦法》,俗稱“43號文件”。在這個文件中,明確了等級保護要做的事,包括定級備案、建設整改、等級測評。用戶必須完成這三件事,并接受安全檢查。這就是2007年提出的“規定動作”。為了支持這些規定動作,公安部會同相關部門起草了相關的標準,我們稱之為“標準體系”。三個動作中最為重要的動作就是建設整改。保護是核心,定級備案和等級測評只是輔助動作。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

那么,二級標準、三級標準保護到什么水平,國家標準說了算。這就是國標——《信息系統安全等級保護基本要求》,英文叫“Base Line”,這是我們的底線,底線做不到,那就不達標,公安會給你開出整改通知書,強行要求整改,因此,基本要求起著非常重要的作用。

2019年5月13日,新的基本要求跟大家見面了。這個基本要求來源于很多重要要求,它包含技術,也包含管理。其中,重要的技術比如1.0時期的“加密技術”,2.0時期的“可信計算”,這些和芯片緊密掛鉤。

總結一下,等級保護1.0標準體系構成了基本要求體系。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

2007年到2017年,這期間使用等保1.0。為什么從2017年后叫做等保2.0了呢?原因是2017年6月1號,《中華人民共和國網絡安全法》出臺,它提到,國家實行等級安全保護制度,注意,這時候等級保護已經成為法律制度,不做等保就是違法。同時,第31條說,如果單位系統非常非常重要,稱之為“關鍵信息基礎設施”,那么這個系統做等保還不夠,還要在等保的基礎上做重點保護。

2.0的思想導致我們要調整在1.0的法律法規。這時候,要在《網絡安全法》基礎上添加《網絡安全等級保護條例(起草中)》、《關鍵信息基礎設施保護條例(起草中)》。現在,這兩個條例即將和大家見面。標準體系也相應地做了調整,這些標準已經在2019年與大家見面了,并在12月1日正式實施,這也是今年標準為何如此受到重視。

也就是說,未來等級保護用的就是這個新標準。當然,這只是等保標準,在此基礎上還有關鍵基礎設施保護標準。如果你們單位系統非常重要,除了等保,還要做相應的關鍵基礎設施保護。這套標準馬上也要和大家見面了。

總結一下,等級保護對象分為五級,第一二級國家認為是一般資產,三級以上包含重要資產以及關鍵資產。這些不同對象對應的監管力度也不一樣。這里我不做贅述。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

等級保護2.0時期,所有保護對象,不管你叫什么名字,比如云平臺、大數據、物聯網、工控系統等,都要做等保,落實國家安全等級保護制度。注意,不落實是違法的。

那怎么做呢?完成以下幾個動作:定級備案、安全建設、等級測評,如果等級測評出現問題還需要接受安全整改,接受監督檢查。這幾個動作,不做就違反了法律要求。如果你是關鍵基礎設施,除了等級保護,還需要完成關鍵信息基礎設施保護。只有這樣,2.0的目標才真正完成。

接下來,給大家介紹一些第二部分:新標準的變化。

第一,對象范圍擴大。新標準將云計算、移動互聯、物聯網、工業控制系統等列入標準范圍,構成了“安全通用要求+新型應用安全擴展要求”的要求內容。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

注意:等級保護把所有系統都納入了,包括云計算、物聯網等等。這些系統只需要使用一個標準就可以了,這個標準的要求是通用要求加擴展要求。比如,云計算系統,是云計算擴展;工控系統是工控擴展。概括起來是:一個標準做等保。

第二,分類結構統一。新標準“基本要求、設計要求和測評要求”分類框架統一,形成了“安全通信網絡”、“安全區域邊界"安全計算環境”和“安全管理中心”支持下的三重防護體系架構。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

注意:安全措施的分類,各有各的說法,1.0的分類是層次分類:物理安全、網絡安全、主機安全、應用安全、數據安全,我們很容易接受。2.0強調縱深防御。請看,從外到內,通訊網絡、區域邊界、內部計算環境、通訊邊界計算環境保護,形成縱深防御體系。同時這個防御體系上的控制措施要受大腦控制。大腦速成安全管理中心,一個中心,三重防御。

第三:強化可信計算。新標準強化了可信計算技術使用的要求把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

注意:新的2.0標準強調可信計算新技術的使用。1.0強調密碼技術使用。

另外,簡單介紹一下等保2.0的變化。

第一,名字變化,2.0叫網絡安全等級保護。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

第二,2.0的對象擴展到了所有系統。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

第三,2.0的安全要求變化通用要求加擴展要求構成。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

第四,章節結構發生了變化。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

第五,縱深防御。

最后,關于等級測評結論發生了變化,分為:優、良、中、差幾個級別,70分以上才算及格,90分以上算優秀。

等級保護評估中心馬力副研究員:網絡安全等級保護2.0標準體系介紹

來源:自主可控新鮮事

等保2.0

華為代理商 思科代理商 Juniper代理商 Aruba代理商 360網絡安全 浪潮思科代理商


聯系我們
地址:四川省成都市成華區萬科路9號凱德廣場
手機:13808203880(微信同號)
座機:028-87059958
聯系人:先生
郵箱:Qiu_np@aochinese.com
公司代理網絡產品:華為代理商 天融信 網絡安全 信銳無線 思科代理商 Juniper代理商 Aruba代理商 海康威視 視頻會議 信息安全 等級保護
關注奧華信息
幸运赛车前一有哪些技巧 pk10牛牛 捕鱼来了宣传图 水果拉霸游戏辅助软件 20选5走势图大星彩票走势图 中国体育彩票山西11选5 最大的比特币矿池 xin上海麻将连连看 浙江体彩app下载软件 竞彩混合过关中奖规则 北京赛车pk开奖直播手机版富贵 以太币行情 财神捕鱼打财神秘诀 四川麻将血战到底制胜秘籍 哈尔滨福彩中心开发公交车 hi彩分分彩走势图 福建11选5开奖