2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》,标志着《网络安全法》所确立的网络安全等级保护制度有了具体的实施依据与有力抓手,标志着等级保护正式迈入2.0时代。2018年12月28日,全国信息安全标准化技术委员会归口的《信息安全技术 网络安全等级保护测评过程指南》等27项国家标准正式发布,为等保对象进行网络安全等级保护的落地实施进行了细化指引。
为助力等保2.0落地实施,几维安全以等保安全要求及国家相关标准文件为指导,结合公司对行业安全需求和相关安全加固技术产品的研究,进行安全加固实施策略设计,旨在助推国家安全要求落地、助力行业企业安全环境构建。
等保2.0要点解析
等保2.0针对共性安全保护需求提出安全通用要求,并针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求。
2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“指南”),为等保的具体适用提供了指引,并细化明确网络安全等级保护制度定级对象范围具体包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。
等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
在确定定级对象时,基础信息网络、工业控制系统、云计算平台、物联网、 采用移动互联技术的网络和大数据需满足三个基本特征:
(1)具有确定的主要安全责任主体;
(2)承载相对独立的业务应用;
(3)包含相互关联的多个资源。且在此基本特征的基础上,还要遵循各自不同要求,如:
物联网:物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
移动互联网:采用移动互联技术的网络主要包括移动终端、 移动应用、无线网络等特征要素,应与相关有线网络业务系统作为一个整体对象定级。
根据要求和指南内容分析,等保2.0安全要求涵盖了多行业多系统和多个关键节点,是以整体安全保障为目标,以“纵深防御、分层防护”为总体策略贯穿始终的体系,细化到具体行业有定级指导意见的可结合参考相关行业定级指南,如金融行业可参考《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)。