Y u TiQQ^S K ji^S B P^关+两绺安全等狻保护2.0赖 刘俊
(哈尔滨铁路减速顶调速研究有限公司,黑龙江哈尔滨150006)
摘要:随着我国等级保护工作的发展,等级保护2.0标准的发布标志着网络安全等级保护工作进入新时代,对保障国家网络安全具有重大意义,通过对等级保护标准变化的分析,探讨了落实等级保护2.0的思路。 空间种植塔
关键词:网络安全;等级保护;标准;实施
中图分类号:U285.9 文献标识码:B文章编号:1674-2427 ( 2019 ) 02-0005-06
等级保护是国家网络安全的基本制度,2007年 我国信息安全等级保护制度正式实施,经过十多年 的发展,2019年等级保护2.0标准的发布和实施,标志着网络安全等级保护工作进人新时代,对保障 国家网络安全具有重大意义。
1等级保护工作发展
近年来,国家法律、法规、标准的陆续出台和 完善,为推进网络安全工作提供了政策保障。1994 年,《中华人民共和国计算机信息系统安全保护条 例》首次提出计算机信息系统实行安全等级保护;1999年《计算机信息系统安全等级保护划分准则》(GB 17859-1999 )发布,规定了计算机信息系统安 全保护能力的五个等级;2008年以后,等级保护1.0 系列标准发布,包括《信息安全技术信息系统安全 等级保护基本要求》(GB/T 22239_2〇〇8)、《信息 安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008 )、《信息安全技术信息系统安全等级 保护实施指南》(GB/T 25058-2010)等,等级保护 工作开始逐步推广实施。 党的十八大以来,党和国家更加重视网络安全 工作,习近平总书记做出了“努力把我国建设成为 网络强国”、“没有网络安全就没有国家安全”的重要指示。2016年《中华人民共和国网络安全法》发布,明确提出国家实行网络安全等级保护制度;关键信息基础设施在网络安全等级保护制度基础上,实行重点保护,落实等级保护制度已经上升到法律层面;《网络安全等级保护条例》、《关键信息基 础设施安全保护条例》等正在加快制定,有望近期 颁布。2019年5月,随着《信息安全技术网络安全 等级保护基本要求》(GB/T 22239-2019 )、《信 息安全技术网络安全等级保护测评要求》(GB/T 28448-20丨9)、《信息安全技术网络安全等级保护 设计技术要求》(GB/T25〇7〇-2019 )等标准的发布,于2019年12月1日开始实施,标志着我国网络安 全等级保护进人2.0时代。 2等级保护2.0特点
通过等级保护1.0、等级保护2.0相关要求的对 比,等级保护2.0新增或修订的部分主要有以下几个 方面。
2.1保护对象更全
等级保护1.0中,安全等级保护对象是信息系统。等级保护2.0中,为了适应云计算、大数据、物联网 等新技术的应用,安全等级保护对象包括基础信息 网络、云计算平台、大数据平台、物联网、工业控 制系统和采用移动互联技术的系统等。dc-ac
2.2安全要求更多
等级保护2.0中,安全通用要求包括原有的技术 要求、管理要求,增加了安全扩展要求。
全自动真石漆生产设备安全通用要求是针对所有保护对象提出的的共 性要求,其中技术要求包括安全物理环境、安全通 信网络(对应原有的网络安全)、安全区域边界(对 应原有的网络安全)、安全计算环境(对应原有的
收稿日期:2019—03—06- 5
年第2期
主机安全、应用安全、数据安全及备份恢复)、安 全管理中心;管理要求包括安全管理制度、安全管 理机构、安全管理人员、安全建设管理、安全运维 管理。是必须采用的保护措施。语音输入系统
安全扩展要求是针对特殊保护对象的个性要求,包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。如物联网系统一般从结构上分为感知层、网络传输 层和处理应用层,感知层要满足物联网安全扩展要 求,包括感知节点设备物理防护、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理等 方面,网络传输层和处理应用层要满足安全通用要 求,通过安全通用要求+安全扩展要求,建立系统 的整体安全保护。
2.3安全保护更强
(1 )综合防御体系
突出“一个中心三重防护”理念,以安全管理中 心为中心,以通信网络安全防护、区域边界安全防护、计算环境安全防护为保障,变被动防御为主动防御,提高等级保护对象的整体安全保护能力。在此基础上 建立风险管理体系、安全管理体系、安全技术体系、网络信任体系,形成网络安全综合防御体系。
(2)安全管理中心
亚克力灯箱制作
二级到四级强化了安全管理中心,对系统管理、审计管理、安全管理和集中管控等方面提出要求,保证在统一的管理下实现分散的安全功能。如集中 管控要求能够进行设备运行状况的集中监测、审计 数据的汇总分析、安全事项的集中管理、安全事件 的报警分析等,通过技术手段实现集中管理。
(3 )可信验证技术
一级到四级的安全通信网络、安全区域边界、安全计算环境中都增加了可信验证,基于可信根对 通信设备、边界设备、计算设备的系统程序和应用 程序等进行可信验证,如三级提出动态可信验证、四级又增加了动态关联感知,构建以可信计算技术 为基础的等级保护核心技术体系。
2.4实施流程更严
等级保护2.0对定级、备案、测评等实施流程等 更加严格,如定级由自主定级改为专家评审、主管 部门审核,备案时间由30天缩短为10个工作曰,测评基本符合分数由60分上调为75分等。
3等级保护2.0落实
网络安全等级保护工作是一个系统工程,定级、备案、建设整改、等级测评和监督检查等每一个环
—6 —节都扎实推进,才能保证等级保护2.0落到实处。3.1运营单位要加大实施力度
等级保护实施以来,运营单位在关键信息基础 设施、重要信息系统的保护方面做了大量工作,等 级保护2.0实施后对网络安全等级保护工作提出了更 高的要求,需要更积极地推进落实。一是定级备案,明确等级保护对象后,需要经过专家评审、主管部 门审核,二级以上等级保护对象要到公安机关办理 备案审核,才能确定安全保护等级,关键信息基础 设施安全保护等级不能低于三级。二是建设整改,按照信息化与网络安全同步规划、同步建设、同步 使用的原则,进行安全方案设计、组织安全建设,并对发现的安全问题及时进行整改;三是等级测评,新建的二级等级保护对象运行前要进行安全测试;新建的三级以上等级保护对象运行前要委托有资质 的测评机构进行等级测评,通过测评后方可投入运 行,运行后每年要进行一次网络安全等级测评。四是开展自查,对网络安全等级保护制度落实情况每 年至少开展一次自查,通过不断完善安全管理体系、安全技术体系等,构建网络安全综合防御体系,保 障网络安全稳定运行。
3.2安全厂商要加大支持力度
等级保护2.0提出的新要求,需要产品、服务为 新标准真正落地提供支持。在产品方面,如可信验 证的实现,安全管理中心的集成等,通过硬件厂商、软件厂商、安全服务商共同努力,尽快推出产品解 决方案,更好地支撑新标准;在服务方面,如等级 保护定级、测评、整改等阶段,由测评机构协助运 营单位,结合实际情况提供更多的专业支持。
图像拼接
3.3主管部门要加大监管力度
网络安全监管需要各个部门密切配合,网信部 门要加大网络安全等级保护工作统筹协调力度;公 安部门作为主管部门,要加强网络安全等级保护工 作的监督、检查、指导;行业主管部门要组织、指 导落实网络安全等级保护制度,加强网络安全监管,提高网络安全保护水平。
4结束语
等级保护2.0即将实施,在对新的法律、法规、标准深人研究的基础上,还要思考如何将网络安全 等级保护制度真正落地到实处,从整体上提升我们 的网络安全水平,为实现网络强国战略提供更好的 网络安全保障。
关于网络安全等级保护2.0的探讨
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议