登录
EN

TASS学院|网络安全等级保护制度2.0国家标准最新解读

2019-05-21

5月13日《GB/T 22239—2019网络安全等级保护基本要求》、《GB/T 25070—2019网络安全等级保护安全设计要求》、《GB/T 28448—2019 网络安全等级保护测评要求》三项网络安全等级保护2.0国家标准正式发布,并将于2019年12月1日实施,这标志这等保2.0时代正式来临。


为什么要升级到等保2.0

1.与《网络安全法》名称相适应。

2.解决新技术新应用场景适应问题。

3.完善新形势下的网络安全保障新要求,例如可信计算、强制访问控制、审计追查、结构化保护等。

6369405867553125001898658.png

 等级保护政策发展过程 


6369405870434375002962030.png

修订后网络安全等级保护2.0整体框架


等保2.0通用要求和扩展要求的变化

1.安全通用要求内容组织形式

技术部分包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。

管理部分包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。

6369405874845312504587510.jpeg

通用要求和扩展要求

2.新技术应用安全相关要求

等保2.0增加了对新技术的应用,包括云计算、移动互联、物联网和工业控制系统等,除了满足安全通用要求外,还需要满足安全扩展要求。

云计算。云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

移动互联。针对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。

物联网。物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

工业控制系统。工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。


网络安全等级保护2.0标准显著特点

扩大对象范围。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

统一分类结构。所以标准采用统一的“一个中心、三重防护”分类框架,即“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”。

强化可信计算。新标准强化可信计算技术使用的要求,把可信验证列入各个级别,并逐级提出各个环节的主要可信验证要求。


江南天安等级保护2.0安全服务内容

网络安全等级保护工作内容包括:定级、备案、建设整改、等级测评、监督检查五个阶段内容。定级对象建设完成后,运营使用单位或者其主管部门选择符合国家要求的测评机构,根据《网络安全等级保护测评要求》等技术标准,定期对定级对象开展安全等级测评工作。

定级。江南天安协助客户明确定级对象,根据《网络安全等级保护定级指南》、《信息安全等级保护管理办法》及行业相关定级指导文件,为用户提供定级咨询服务。

备案。江南天安依据国家相关机构发布的备案需要提交的相关资料及流程,指导用户填写备案材料,并协助用户到公安机关完成等级保护备案工作。

建设整改。江南天安依据相应等级要求,结合用户当前实际情况,对目标系统进行差距分析,并针对不符合项及行业特征性要求,协助完成安全整改工作。

等级测评。江南天安与多家测评机构保持长期合作关系,在测评阶段,指导用户配合测评机构开展等级保护测评工作,使得用户顺利通过测评并获取测评报告。

在等保2.0时代,江南天安以丰富的安全服务经验和安全产品优势,立足于国家技术标准,依照并满足2.0的网络安全要求,为用户提供标准、合规的安全服务。