网络安全等级保护2.0时代,将于2019年12月1日正式开始。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
1、等保2.0相比1.0主要有哪些变化?
(1)名称上的变化
名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。
(2)法律效力不同
《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。
(3)保护对象有扩展
等保1.0主要是信息系统。而等保2.0将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。
(4)控制措施分类不同
等保1.0按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外,等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性,即“一个中心,三重防护”。
(5)内容进行了扩充
等保1.0有五个规定性动作,包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。
2、单位如何开展等级保护建设的相关工作?
等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、建设整改、等级测评、监督检查。
(1)系统定级
对拟定为第二级及以上的对象,其运营者应当组织专家评审;有行业主管部门的,应当在专家定级评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
(2)系统备案
定级对象的运营使用单位应准备定级备案材料,材料包括:定级报告、等级保护备案表、单位基本情况、信息系统情况等材料。第二级以上网络运营者应当在定级对象安全保护等级确定后10个工作日内,到县级以上公安机关备案。
公安机关在接到备案材料后,于10个工作日内完成材料审查,并对定级对象安全等级进行初步审核,并出具网络安全等级保护备案证明。
(3)建设整改
对于新建的等级保护对象,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。
对于已有的等级保护对象,等级保护对象运营使用单位负责对其进行风险评估和整改建设工作, 重要等级保护对象的运营使用单位应形成等级保护整改建设方案,并根据整改方案组织集成建设。
对于三级以上的等级保护对象建设整改方案,要组织专家进行评审,形成专家评审意见,并最终形成等级保护整改建设方案。
(4)等级测评
等级保护对象的运营使用单位应落实等级测评资金保障工作,同时开展等级测评工作。
等级保护对象建设完成后,运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对等级保护对象开展等级测评。第三级及以上定级对象应当每年至少进行一次等级测评(等保1.0标准里面等级保护四级系统需要每半年一次,现在调整为每年一次),第五级定级对象应当依据特殊安全需求进行等级测评。
3、什么样的系统要求定级?系统备案去哪里?找谁备案?
除等保1.0规定的信息系统外,对于如下对象,均属于等级保护定级备案的范畴,具体包括:
(1)对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。
(2)对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。
(3)对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。
(4)对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。
(5)采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。
(6)对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
第二级以上网络运营者应当在安全保护等级确定后10个工作日内,到县级以上公安机关备案。
4、等保2.0安全通用要求与安全扩展要求之间的关系?
等保2.0基本要求分为安全通用要求和安全扩展要求。其中安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或者特定的应用场景实现安全扩展要求。
5、单位自建的云计算平台如何开展等级保护工作?
在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的最高等级。
针对私有云用户,也要按照云平台和云租户信息系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。
对于云计算平台和云租户信息系统,则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
6、部署在公有云上的信息系统如何开展等级保护工作?
依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:
(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统。
(2)应确保云计算基础设施位于中国境内。
(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
公有云开展等级保护一般分为两个部分:
(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
(2)是云租户信息系统,比如政府单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:
(1)对于IaaS(基础设施即服务)模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。
(2)对于PaaS(平台即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
(3)对于SaaS(软件即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
7、对于工业控制系统如何开展等级保护工作?
依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。
工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。
8、等保2.0测评是否更加严格?
等保测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。
简单而言,“差”是在系统中存在高危风险或得分低于70分。相当于等保1.0时代中的不符合。但是可以看出来等保的及格线已经由原先的60分提高到了70分,等保对安全的最低要求已经在显然提高。因此,未来想通过等保测评需要扎扎实实地把安全工作做好才行。当然,等保不仅是一项合法合规工作,更是一项基本的安全工作,通过落实等级保护可以提高网络安全综合防御能力和水平,实现动态防御、主动防御、纵深防御、精准防护、整体防控以及联防联控。让更多的网络运营者从等保2.0时代中获取等保建设的红利。