公安部马力:网络安全等级保护2.0标准体系解读
2019年12月24日,在2019龙芯新产品发布暨用户大会上,公安部信息安全等级保护评估中心 马力副研究员为现场参会者进行了《网络安全等级保护2.0标准体系介绍》的演讲。
以下为现场演讲原文:
今天,我时间比较短,我简单把2019年大家见到的一些等级保护内容做一些简单介绍。内容分为两个部分:
第一部分,主要带大家回顾一些等级保护的历程。等保并不是现在才出现,过去10年,我们一直在推广等级保护。这一部分讲一些过去的等保与现在的区别。第二部分,给大家介绍一些新的标准的变化。
2007年,公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》,俗称“43号文件”。在这个文件中,明确了等级保护要做的事,包括定级备案、建设整改、等级测评。用户必须完成这三件事,并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作,公安部会同相关部门起草了相关的标准,我们称之为“标准体系”。三个动作中最为重要的动作就是建设整改。保护是核心,定级备案和等级测评只是辅助动作。
那么,二级标准、三级标准保护到什么水平,国家标准说了算。这就是国标——《信息系统安全等级保护基本要求》,英文叫“Base Line”,这是我们的底线,底线做不到,那就不达标,公安会给你开出整改通知书,强行要求整改,因此,基本要求起着非常重要的作用。
2019年5月13日,新的基本要求跟大家见面了。这个基本要求来源于很多重要要求,它包含技术,也包含管理。其中,重要的技术比如1.0时期的“加密技术”,2.0时期的“可信计算”,这些和芯片紧密挂钩。
总结一下,等级保护1.0标准体系构成了基本要求体系。
2007年到2017年,这期间使用等保1.0。为什么从2017年后叫做等保2.0了呢?原因是2017年6月1号,《中华人民共和国网络安全法》出台,它提到,国家实行等级安全保护制度,注意,这时候等级保护已经成为法律制度,不做等保就是违法。同时,第31条说,如果单位系统非常非常重要,称之为“关键信息基础设施”,那么这个系统做等保还不够,还要在等保的基础上做重点保护。
2.0的思想导致我们要调整在1.0的法律法规。这时候,要在《网络安全法》基础上添加《网络安全等级保护条例(起草中)》、《关键信息基础设施保护条例(起草中)》。现在,这两个条例即将和大家见面。标准体系也相应地做了调整,这些标准已经在2019年与大家见面了,并在12月1日正式实施,这也是今年标准为何如此受到重视。
也就是说,未来等级保护用的就是这个新标准。当然,这只是等保标准,在此基础上还有关键基础设施保护标准。如果你们单位系统非常重要,除了等保,还要做相应的关键基础设施保护。这套标准马上也要和大家见面了。
总结一下,等级保护对象分为五级,第一二级国家认为是一般资产,三级以上包含重要资产以及关键资产。这些不同对象对应的监管力度也不一样。这里我不做赘述。
等级保护2.0时期,所有保护对象,不管你叫什么名字,比如云平台、大数据、物联网、工控系统等,都要做等保,落实国家安全等级保护制度。注意,不落实是违法的。
那怎么做呢?完成以下几个动作:定级备案、安全建设、等级测评,如果等级测评出现问题还需要接受安全整改,接受监督检查。这几个动作,不做就违反了法律要求。如果你是关键基础设施,除了等级保护,还需要完成关键信息基础设施保护。只有这样,2.0的目标才真正完成。
接下来,给大家介绍一些第二部分:新标准的变化。
第一,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
注意:等级保护把所有系统都纳入了,包括云计算、物联网等等。这些系统只需要使用一个标准就可以了,这个标准的要求是通用要求加扩展要求。比如,云计算系统,是云计算扩展;工控系统是工控扩展。概括起来是:一个标准做等保。
第二,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界"安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
注意:安全措施的分类,各有各的说法,1.0的分类是层次分类:物理安全、网络安全、主机安全、应用安全、数据安全,我们很容易接受。2.0强调纵深防御。请看,从外到内,通讯网络、区域边界、内部计算环境、通讯边界计算环境保护,形成纵深防御体系。同时这个防御体系上的控制措施要受大脑控制。大脑速成安全管理中心,一个中心,三重防御。
第三:强化可信计算。新标准强化了可信计算技术使用的要求把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
注意:新的2.0标准强调可信计算新技术的使用。1.0强调密码技术使用。
另外,简单介绍一下等保2.0的变化。
第一,名字变化,2.0叫网络安全等级保护。
第二,2.0的对象扩展到了所有系统。
第三,2.0的安全要求变化通用要求加扩展要求构成。
第四,章节结构发生了变化。
第五,纵深防御。
最后,关于等级测评结论发生了变化,分为:优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。
本文章转载自http://www.djbh.net/,如有侵权行为,请发送邮件以【文章标题+日期】的方式联系作者删除!tousu@jcxxzx.cn