2.1 等级保护2.0标准和1.0的差异分析
2.1.1 概述
网络安全等级保护是国家信息安全保障的基本制度和方法。等保是对信息和信息载体按照重要性级别分级别进行保护的一种工作。等保分为五级,第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。本文主要研究的是等级保护第三级(第三级以上的信息系统涉及地市级以上各级政府机关、保险和能源等国家重点行业,具有保密性,第三级以下的信息系统涉及个人以及一般小型企业,研究价值较低)。对于定级要素如图所示,根据受侵害对象层次,个人、社会、国家依次递增级别。第三级保护能力:应能够在同一安全策略下钢护免受来自外部有组织的团体、拥有较丰富资源的威胁源发起的恶意攻击,比较严重的自然灾害,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、检测攻击行为和处置安全事件,在自身遭遇到损害后,能够比较快恢复大部分功能[1].[10]。
2.1.2 区别概述
1)2.0纳入了《中华人民共和国网络安全法》。
2)1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管。
3)2.0把监管对象从体制内拓展到了全社会。
2.1.3 标准的内容变化
首先是将基本要求变化为安全通用要求和安全扩展要求。GB/T 22239 网络安全等保基本要求合并为五部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
逐步将等级保护涉及范围扩大,几乎将涉及信息系统的单位囊括。
2.1.4 定级对象变化
等保1.0定级对象:信息系统
等保2.0定级对象:基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联网技术的网络以及大数据等多个系统平台。
2.1.5 定级的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象[1].[6]。详细对比,如图 2.1所示
2.1.6 控制措施分类结构的变化
将分类整合化,更加的专业化。如将应用安全和数据安全及备份恢复整合为应用及数据安全、将安全管理机构和人员安全管理整合为安全管理机构和人员;将物理安全更改为更专业和更全面的物理和环境安全;其他具体变化如图 2.2所示。