2019-12-02 09:17:00
來源:深信服科技
在監管部門的指導下、公安部信息安全等級保護評估中心等機構的專家大力支持下,深信服已在全國范圍內承辦或協辦超過200場網絡安全等級保護制度2.0國家標準宣貫會,其中省級行政區網絡安全等級保護制度2.0國家標準宣貫會19場,全情助力各地區用戶了解并掌握網絡安全等級保護制度2.0國家標準。
那么在200+場網絡安全等級保護2.0制度國家標準宣貫會中,企事業單位都真正關注哪些問題?12月1日網絡安全等級保護制度2.0國家標準正式實施,網絡安全等級保護相關工作如何開展?
1.等保2.0相比1.0主要有哪些變化?
(1) 名稱上的變化
名稱上由“信息系統安全等級保護”轉變為“網絡安全等級保護”。
(2) 法律效力不同
《網絡安全法》第21條規定“國家實行網絡安全等級保護制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務”。落實網絡安全等級保護制度上升為法律義務。
(3)保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網絡基礎設施(廣電網、電信網、專用通信網絡等)、云計算平臺/系統、采用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
(4) 控制措施分類不同
等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復,管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外,等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性,即“一個中心,三重防護”。
(5) 內容進行了擴充
等保1.0有五個規定性動作,包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。
2.單位如何開展等級保護建設的相關工作?
等級保護工作是一個系統性工程,根據網絡安全等級保護相關標準,等級保護工作總共分五個階段,分別為:系統定級、系統備案、建設整改、等級測評、監督檢查。
(1)系統定級
對擬定為第二級及以上的對象,其運營者應當組織專家評審;有行業主管部門的,應當在專家定級評審后報請主管部門核準;跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級,統一組織定級評審。
(2)系統備案
定級對象的運營使用單位應準備定級備案材料,材料包括:定級報告、等級保護備案表、單位基本情況、信息系統情況等材料。第二級以上網絡運營者應當在定級對象安全保護等級確定后10個工作日內,到縣級以上公安機關備案。
公安機關在接到備案材料后,于10個工作日內完成材料審查,并對定級對象安全等級進行初步審核,并出具網絡安全等級保護備案證明。
(3)建設整改
對于新建的等級保護對象,要按照等級保護相關標準,撰寫等級保護建設方案,并根據建設方案組織集成實施。
對于已有的等級保護對象,等級保護對象運營使用單位負責對其進行風險評估和整改建設工作, 重要等級保護對象的運營使用單位應形成等級保護整改建設方案,并根據整改方案組織集成建設。
對于三級以上的等級保護對象建設整改方案,要組織專家進行評審,形成專家評審意見,并最終形成等級保護整改建設方案。
(4)等級測評
等級保護對象的運營使用單位應落實等級測評資金保障工作,同時開展等級測評工作。
等級保護對象建設完成后,運營使用單位或者其主管部門應當選擇符合資質要求的第三方測評機構,依據《網絡安全等級保護測評要求》等技術標準,定期對等級保護對象開展等級測評。第三級及以上定級對象應當每年至少進行一次等級測評(等保1.0標準里面等級保護四級系統需要每半年一次,現在調整為每年一次),第五級定級對象應當依據特殊安全需求進行等級測評。
3.什么樣的系統要求定級?系統備案去哪里?找誰備案?
除等保1.0規定的信息系統外,對于如下對象,均屬于等級保護定級備案的范疇,具體包括:
(1) 對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。
(2)對于工業控制系統,應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。
(3)對于云計算平臺,則應區分為服務提供方與租戶方,各自分別作為定級對象。
(4)對于物聯網,雖然其包括感知、網絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素并不單獨定級。
(5)采用移動互聯技術的網絡與物聯網類似,應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。
(6)對于大數據,除安全責任主體相同的平臺和應用可以整體定級外,應單獨定級。
第二級以上網絡運營者應當在安全保護等級確定后10個工作日內,到縣級以上公安機關備案。
4.等保2.0安全通用要求與安全擴展要求之間的關系?
等保2.0基本要求分為安全通用要求和安全擴展要求。其中安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現,必須根據安全保護等級實現相應級別的安全通用要求。
安全擴展要求針對個性化保護需求提出,需要根據安全保護等級和使用的特定技術或者特定的應用場景實現安全擴展要求。
5.單位自建的云計算平臺如何開展等級保護工作?
在云計算環境中,將云計算平臺作為基礎設施、云租戶系統作為信息系統,分別作為定級對象進行定級。對于大型云計算平臺,當運管平臺共用時,可將云計算基礎設施與運管平臺系統分開定級,責任分離,分別定級、各自備案。云計算基礎設施的安全保護等級不低于其所支撐的業務系統的最高等級。
針對私有云用戶,也要按照云平臺和云租戶信息系統,分別進行定級。并且云平臺的安全等級不低于其所支撐的業務系統的最高等級。
對于云計算平臺和云租戶信息系統,則分別依據等保2.0基本要求中的通用要求和云計算安全擴展要求來開展等級保護工作。對于私有云,定級流程為云平臺先定級測評,再將已定級應用系統向云平臺遷移。
6.部署在公有云上的信息系統如何開展等級保護工作?
依據等保2.0,在對公有云環境下開展等級保護工作應遵循如下原則:
(1)應確保云計算平臺不承載高于其安全保護等級的業務應用系統。
(2)應確保云計算基礎設施位于中國境內。
(3)云計算平臺的運維地點應位于中國境內,如需境外對境內云計算平臺實施運維操作應遵循國家相關規定。
(4)云計算平臺運維過程產生的配置數據、鑒別數據、業務數據、日志信息等存儲于中國境內,如需出境應遵循國家相關規定。
公有云開展等級保護一般分為兩個部分:
(1)是云平臺本身,在等保2.0里面明確提出:對于公有云定級流程為云平臺先定級測評,再提供云服務。
(2)是云租戶信息系統,比如政府單位門戶網站系統,在遷入公有云平臺后,還需要對這個門戶網站獨立定級備案、進行等保測評。其中,涉及云平臺部分的內容可以不重復測評,測評結論直接引用即可。
不同云計算服務模式需要采取不同職責劃分方式:
(1)對于IaaS(基礎設施即服務)模式,云服務商的職責范圍包括虛擬機監視器和硬件,云租戶的職責范圍包括操作系統、中間件和應用數據。
(2)對于PaaS(平臺即服務)模式,云服務商的職責范圍包括硬件、虛擬機監視器、操作系統和中間件。云租戶的職責范圍為應用和數據。
(3)對于SaaS(軟件即服務)模式,云服務商的職責范圍包括硬件、虛擬機監視器、操作系統、中間件和應用,云租戶的職責范圍包括部分應用職責及用戶使用職責。
7.對于工業控制系統如何開展等級保護工作?
依據等保基本要求中的安全通用要求和工控擴展要求來對工業控制系統開展等級保護工作。
工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中,現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級,各要素不單獨定級;生產管理要素可單獨定級。
對于大型工業控制系統,可以根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。
工控擴展要求保護主要包括:室外控制設備防護、工業控制系統、網絡架構安全、撥號使用控制無線使用控制、控制設備安全、漏洞和風險管理、惡意代碼防范管理等方面內容。
工業控制系統安全擴展要求主要針對現場控制層和現場設備層提出特殊安全要求,其他層次使用安全通用要求條款,對工業控制系統的保護需要根據實際情況使用基本要求。
8.等保2.0測評是否更加嚴格?
等保測評結論由1.0時代的符合、基本符合、不符合改為2.0時代的優、良、中、差四個等級。其中測評結論“差”的判別依據是被測對象中存在安全問題,而且會導致被測對象面臨高等級安全風險,或被測對象綜合得分低于70分。
簡單而言,“差”是在系統中存在高危風險或得分低于70分。相當于等保1.0時代中的不符合。但是可以看出來等保的及格線已經由原先的60分提高到了70分,等保對安全的最低要求已經在顯然提高。因此,未來想通過等保測評需要扎扎實實地把安全工作做好才行。當然,等保不僅是一項合法合規工作,更是一項基本的安全工作,通過落實等級保護可以提高網絡安全綜合防御能力和水平,實現動態防御、主動防御、縱深防御、精準防護、整體防控以及聯防聯控。讓更多的網絡運營者從等保2.0時代中獲取等保建設的紅利。
未來,深信服仍將積極參與、全情投入、踐行網絡安全等級保護2.0,并與監管單位、測評機構和其他安全廠商一道共建生態,共同為中國廣大用戶的網絡安全保駕護航。
