健康界

05-15 00:00

備受關(guān)注的網(wǎng)絡(luò)安全等級(jí)保護(hù)系列新國(guó)家標(biāo)準(zhǔn)(新國(guó)標(biāo))5月13日正式公布。據(jù)了解，新國(guó)標(biāo)將等級(jí)保護(hù)對(duì)象從信息系統(tǒng)擴(kuò)展到云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)等等。

備受關(guān)注的網(wǎng)絡(luò)安全等級(jí)保護(hù)系列新國(guó)家標(biāo)準(zhǔn)(新國(guó)標(biāo))5月13日正式公布。據(jù)了解，新國(guó)標(biāo)將等級(jí)保護(hù)對(duì)象從信息系統(tǒng)擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等等。

國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)5月13日召開(kāi)的新聞發(fā)布會(huì)上，發(fā)布了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(下稱(chēng)《基本要求》)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(下稱(chēng)《測(cè)評(píng)要求》)和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(下稱(chēng)《技術(shù)要求》)三個(gè)網(wǎng)絡(luò)安全領(lǐng)域的國(guó)家標(biāo)準(zhǔn)。

陳廣勇解讀《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》國(guó)家標(biāo)準(zhǔn)

據(jù)悉，《基本要求》、《測(cè)評(píng)要求》和《技術(shù)要求》已被廣泛應(yīng)用于各個(gè)行業(yè)或領(lǐng)域指導(dǎo)用戶開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)整改、等級(jí)測(cè)評(píng)等工作。但隨著云計(jì)算、互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的大量涌現(xiàn)，這三項(xiàng)標(biāo)準(zhǔn)亟須修訂完善。

公安部信息安全等級(jí)保護(hù)保護(hù)評(píng)估中心咨詢服務(wù)部主任陳廣勇介紹說(shuō)，信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)原國(guó)標(biāo)的上位文件是公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室于2007年頒布的《信息安全等級(jí)保護(hù)管理辦法》。

為順應(yīng)當(dāng)前的網(wǎng)絡(luò)安全要求，等級(jí)保護(hù)從原來(lái)的“信息安全等級(jí)保護(hù)”變更為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”，標(biāo)志著實(shí)施了10余年之久的信息安全等級(jí)保護(hù)制度從1.0跨入了2.0的新階段。

陳廣勇表示，“從07年開(kāi)始，已經(jīng)過(guò)去十幾年了，技術(shù)發(fā)展很快，所以我們對(duì)標(biāo)準(zhǔn)的修訂也是基于兩點(diǎn)，第一是采用新技術(shù)、新標(biāo)準(zhǔn)的構(gòu)建的云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、大數(shù)據(jù)出現(xiàn)，等級(jí)保護(hù)的內(nèi)容和覆蓋需要隨時(shí)變化，第二是《網(wǎng)絡(luò)安全法》的頒布對(duì)推進(jìn)等級(jí)保護(hù)標(biāo)準(zhǔn)修訂工作注入了強(qiáng)心劑。”

同時(shí)，相比“等保1.0”，此次新標(biāo)準(zhǔn)的保護(hù)對(duì)象從信息系統(tǒng)變?yōu)榫W(wǎng)絡(luò)和信息系統(tǒng)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

與此對(duì)應(yīng)，《基本要求》對(duì)每個(gè)級(jí)別的基本要求均由安全通用要求和安全擴(kuò)展要求構(gòu)成。除了“不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足”的安全通用要求外，還有針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出的特殊要求，稱(chēng)為安全擴(kuò)展要求。

“新標(biāo)準(zhǔn)GB/T 22239-2019體現(xiàn)了綜合防御、縱深防御、主動(dòng)防御思想，規(guī)定了第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全保護(hù)的基本要求”，陳廣勇說(shuō)。

值得注意的是，新國(guó)標(biāo)明確了云計(jì)算平臺(tái)的運(yùn)維應(yīng)設(shè)在中國(guó)境內(nèi)，境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施運(yùn)維操作應(yīng)遵循國(guó)家相關(guān)規(guī)定。在進(jìn)行物聯(lián)網(wǎng)系統(tǒng)安全設(shè)計(jì)時(shí)，應(yīng)通過(guò)系統(tǒng)管理員對(duì)感知設(shè)備、感知網(wǎng)關(guān)等進(jìn)行統(tǒng)一身份標(biāo)識(shí)管理;應(yīng)通過(guò)系統(tǒng)管理員對(duì)感知設(shè)備狀態(tài)(電力供應(yīng)情況、是否在線、位置等)進(jìn)行統(tǒng)一監(jiān)測(cè)和處理。陳廣勇表示，上述標(biāo)準(zhǔn)都是根據(jù)云計(jì)算和物聯(lián)網(wǎng)技術(shù)特點(diǎn)提出的。

與此同時(shí)，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》的起草單位有20余家，除了公安部第一研究所、北京工業(yè)大學(xué)等部門(mén)和大學(xué)之外，阿里云計(jì)算技術(shù)有限公司、華為技術(shù)有限公司等企業(yè)在列。

2017年6月1日起正式實(shí)施的《網(wǎng)絡(luò)安全法》明確，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2018年6月27日至7月27日，公安部就《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》供開(kāi)征求意見(jiàn)。該《征求意稿》擬規(guī)定，根據(jù)網(wǎng)絡(luò)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素，按照從低到高排列，網(wǎng)絡(luò)分為五個(gè)安全保護(hù)等級(jí)。此外，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。陳廣勇表示，正在制定中的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》是新國(guó)標(biāo)的上位文件和總要求。

“等保1.0”和“等保2.0”區(qū)別分析

一、核心法律依據(jù)和主要制定依據(jù)的相關(guān)效力位階；

二、根據(jù)受害客體對(duì)象進(jìn)行等級(jí)評(píng)定，等保2.0加入了網(wǎng)絡(luò)劃分；

三、以三級(jí)為例，管理要求和技術(shù)要求內(nèi)容和數(shù)量的變化；

四、新舊標(biāo)準(zhǔn)控制點(diǎn)和要求點(diǎn)的數(shù)量變化；

五、等保2.0第三級(jí)安全要求結(jié)構(gòu)；

六、測(cè)評(píng)周期的變化；

相較于等保1.0，等保2.0標(biāo)準(zhǔn)測(cè)評(píng)周期、測(cè)評(píng)結(jié)果評(píng)定有所調(diào)整。等保2.0標(biāo)準(zhǔn)要求，第三級(jí)以上的系統(tǒng)每年開(kāi)展一次測(cè)評(píng)，修改了原先1.0時(shí)期要求四級(jí)系統(tǒng)每半年進(jìn)行一次等保測(cè)評(píng)的要求。