健康界

05-15 00:00

備受關(guān)注的網(wǎng)絡(luò)安全等級保護(hù)系列新國家標(biāo)準(zhǔn)(新國標(biāo))5月13日正式公布。據(jù)了解，新國標(biāo)將等級保護(hù)對象從信息系統(tǒng)擴(kuò)展到云計(jì)算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)等等。

備受關(guān)注的網(wǎng)絡(luò)安全等級保護(hù)系列新國家標(biāo)準(zhǔn)(新國標(biāo))5月13日正式公布。據(jù)了解，新國標(biāo)將等級保護(hù)對象從信息系統(tǒng)擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等等。

國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)5月13日召開的新聞發(fā)布會(huì)上，發(fā)布了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(下稱《基本要求》)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(下稱《測評要求》)和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》(下稱《技術(shù)要求》)三個(gè)網(wǎng)絡(luò)安全領(lǐng)域的國家標(biāo)準(zhǔn)。

陳廣勇解讀《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》國家標(biāo)準(zhǔn)

據(jù)悉，《基本要求》、《測評要求》和《技術(shù)要求》已被廣泛應(yīng)用于各個(gè)行業(yè)或領(lǐng)域指導(dǎo)用戶開展信息系統(tǒng)安全等級保護(hù)的建設(shè)整改、等級測評等工作。但隨著云計(jì)算、互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的大量涌現(xiàn)，這三項(xiàng)標(biāo)準(zhǔn)亟須修訂完善。

公安部信息安全等級保護(hù)保護(hù)評估中心咨詢服務(wù)部主任陳廣勇介紹說，信息安全等級保護(hù)標(biāo)準(zhǔn)原國標(biāo)的上位文件是公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室于2007年頒布的《信息安全等級保護(hù)管理辦法》。

為順應(yīng)當(dāng)前的網(wǎng)絡(luò)安全要求，等級保護(hù)從原來的“信息安全等級保護(hù)”變更為“網(wǎng)絡(luò)安全等級保護(hù)”，標(biāo)志著實(shí)施了10余年之久的信息安全等級保護(hù)制度從1.0跨入了2.0的新階段。

陳廣勇表示，“從07年開始，已經(jīng)過去十幾年了，技術(shù)發(fā)展很快，所以我們對標(biāo)準(zhǔn)的修訂也是基于兩點(diǎn)，第一是采用新技術(shù)、新標(biāo)準(zhǔn)的構(gòu)建的云計(jì)算平臺、物聯(lián)網(wǎng)、大數(shù)據(jù)出現(xiàn)，等級保護(hù)的內(nèi)容和覆蓋需要隨時(shí)變化，第二是《網(wǎng)絡(luò)安全法》的頒布對推進(jìn)等級保護(hù)標(biāo)準(zhǔn)修訂工作注入了強(qiáng)心劑?！?/p>

同時(shí)，相比“等保1.0”，此次新標(biāo)準(zhǔn)的保護(hù)對象從信息系統(tǒng)變?yōu)榫W(wǎng)絡(luò)和信息系統(tǒng)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

與此對應(yīng)，《基本要求》對每個(gè)級別的基本要求均由安全通用要求和安全擴(kuò)展要求構(gòu)成。除了“不管等級保護(hù)對象形態(tài)如何必須滿足”的安全通用要求外，還有針對云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出的特殊要求，稱為安全擴(kuò)展要求。

“新標(biāo)準(zhǔn)GB/T 22239-2019體現(xiàn)了綜合防御、縱深防御、主動(dòng)防御思想，規(guī)定了第一級到第四級等級保護(hù)對象的安全保護(hù)的基本要求”，陳廣勇說。

值得注意的是，新國標(biāo)明確了云計(jì)算平臺的運(yùn)維應(yīng)設(shè)在中國境內(nèi)，境外對境內(nèi)云計(jì)算平臺實(shí)施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定。在進(jìn)行物聯(lián)網(wǎng)系統(tǒng)安全設(shè)計(jì)時(shí)，應(yīng)通過系統(tǒng)管理員對感知設(shè)備、感知網(wǎng)關(guān)等進(jìn)行統(tǒng)一身份標(biāo)識管理;應(yīng)通過系統(tǒng)管理員對感知設(shè)備狀態(tài)(電力供應(yīng)情況、是否在線、位置等)進(jìn)行統(tǒng)一監(jiān)測和處理。陳廣勇表示，上述標(biāo)準(zhǔn)都是根據(jù)云計(jì)算和物聯(lián)網(wǎng)技術(shù)特點(diǎn)提出的。

與此同時(shí)，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》的起草單位有20余家，除了公安部第一研究所、北京工業(yè)大學(xué)等部門和大學(xué)之外，阿里云計(jì)算技術(shù)有限公司、華為技術(shù)有限公司等企業(yè)在列。

2017年6月1日起正式實(shí)施的《網(wǎng)絡(luò)安全法》明確，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。2018年6月27日至7月27日，公安部就《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》供開征求意見。該《征求意稿》擬規(guī)定，根據(jù)網(wǎng)絡(luò)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素，按照從低到高排列，網(wǎng)絡(luò)分為五個(gè)安全保護(hù)等級。此外，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)等級。陳廣勇表示，正在制定中的《網(wǎng)絡(luò)安全等級保護(hù)條例》是新國標(biāo)的上位文件和總要求。

“等保1.0”和“等保2.0”區(qū)別分析

一、核心法律依據(jù)和主要制定依據(jù)的相關(guān)效力位階；

二、根據(jù)受害客體對象進(jìn)行等級評定，等保2.0加入了網(wǎng)絡(luò)劃分；

三、以三級為例，管理要求和技術(shù)要求內(nèi)容和數(shù)量的變化；

四、新舊標(biāo)準(zhǔn)控制點(diǎn)和要求點(diǎn)的數(shù)量變化；

五、等保2.0第三級安全要求結(jié)構(gòu)；

六、測評周期的變化；

相較于等保1.0，等保2.0標(biāo)準(zhǔn)測評周期、測評結(jié)果評定有所調(diào)整。等保2.0標(biāo)準(zhǔn)要求，第三級以上的系統(tǒng)每年開展一次測評，修改了原先1.0時(shí)期要求四級系統(tǒng)每半年進(jìn)行一次等保測評的要求。