等级保护概念
《中华人民共和国计算机系统安全保护条例》就对“等级保护”提出规定: 计算机信息系统实行安全等级保护 。《计算机信息系统安全等级划分准则》,定义了等级保护的五个级别,第一级: 用户自主保护级 ;第二级: 系统审计保护级 ;第三级: 安全标记保护级 ;第四级: 结构化保护级 ;第五级: 访问验证保护级 。
等保2.0发展:
等级保护1.0:信息安全等级保护
等级保护2.0;网络空间安全等级保护
2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。2019年5月13日,网络安全等级保护制度2.0标准(以下简称等保2.0标准)正式发布,并于2019年12月1日开始实施。等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。等保2.0是从“信息安全等级保护制度”到“网络安全等级保护制度”的变更,这不仅从信息安全扩大到网络安全,更从国家制度变更为国家法律,这将为逐步健全国家网络安全提供有力保障及支撑作用。
网络空间安全等级框架
等保2.0的安全通用基本要求标准框架
采用了“一个中心,三重防护”的防护理念和分类结构,强化了建立纵深防御和精细防御体系的思想
1安全物理环境
针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
2
安全通信网络
针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。
3
安全区域边界
针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
4
安全计算环境
针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
5
安全管理中心
针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
6
安全管理制度
针对整个管理制度体系提出的安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。
7
安全管理机构
针对整个管理组织架构提出的安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。
8
安全管理人员
针对人员管理提出的安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。
9
安全建设管理
针对安全建设过程提出的安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。
10
安全运维管理
针对安全运维过程提出的安全控制要求,涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。
等保2.0的安全扩展要求
安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。包括以下四方面:
1.云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
2.移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求,与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。
3.物联网安全扩展要求是针对感知层提出的特殊安全要求,与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
4.工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
网络安全等级保护是我国信息安全保障的基本制度性工作,是网络空间安全保障体系的重要支撑,也是应对强敌APT攻击的有效措施。在法律支撑层面,我国的计算机系统等级保护条例提升为国家基础性法律制度,即“网络安全法”中的网络安全等级保护制度;在科学技术层面,由分层被动防护发展到了科学安全框架下的主动免疫防护;在工程应用层面,由传统的计算机信息系统防护转向了新型计算环境下的网络空间主动防御体系建设。等保2.0时代重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。
3401
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
