网络安全等级保护2.0标准于2019年12月1日正式实施,等级保护2.0时代今日正式开启。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
(以上信息整理于微信公众号:信息安全国家工程研究中心)
关于等保2.0的若干问题小结:
1、单位自建的云计算平台如何开展等级保护工作?
在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的最高等级。
针对私有云用户,也要按照云平台和云租户信息系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。
对于云计算平台和云租户信息系统,则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
2、部署在公有云上的信息系统如何开展等级保护工作?
依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:
(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统。
(2)应确保云计算基础设施位于中国境内。
(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
公有云开展等级保护一般分为两个部分:
(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
(2)是云租户信息系统,比如政府单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:
(1)对于IaaS(基础设施即服务)模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。
(2)对于PaaS(平台即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
(3)对于SaaS(软件即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
3、对于工业控制系统如何开展等级保护工作?
依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。
工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。
4、等保2.0测评是否更加严格?
等保测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。
简单而言,“差”是在系统中存在高危风险或得分低于70分。相当于等保1.0时代中的不符合。但是可以看出来等保的及格线已经由原先的60分提高到了70分,等保对安全的最低要求已经在显然提高。因此,未来想通过等保测评需要扎扎实实地把安全工作做好才行。当然,等保不仅是一项合法合规工作,更是一项基本的安全工作,通过落实等级保护可以提高网络安全综合防御能力和水平,实现动态防御、主动防御、纵深防御、精准防护、整体防控以及联防联控。让更多的网络运营者从等保2.0时代中获取等保建设的红利。