背景:
2019年5月13日,國家市場監督管理總局、國家标準化管理委員會召開新聞釋出會,正式釋出了等保2.0相關的《資訊安全技術網絡安全等級保護基本要求》、《資訊安全技術網絡安全等級保護測評要求》、《資訊安全技術網絡安全等級保護安全設計技術要求》等國家标準。
依據變化:
等級保護1.0的依據為:《中華人民共和國計算機資訊系統安全保護條例》(國務院令第147号), 1994年2月18日釋出。
等級保護2.0的依據為:《中華人民共和國網絡安全法》,2016年11月7日釋出。
法律條文:
第二十一條 國家實行網絡安全等級保護制度。網絡營運者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的通路,防止網絡資料洩露或者被竊取、篡改:
(一)制定内部安全管理制度和操作規程,确定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運作狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取資料分類、重要資料備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第二十五條 網絡營運者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
第三十一條 國家對公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定。
第五十九條 網絡營運者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
主要檔案:
GB/T 22239-2019 《資訊安全技術 網絡安全等級保護基本要求》
GB∕T 28448-2019 《資訊安全技術網絡安全等級保護測評要求》
GB∕T 25070-2019 《資訊安全技術網絡安全等級保護安全設計技術要求》
等級保護對象變更:
等級保護1.0:計算機資訊系統
等級保護2.0:基礎資訊網絡、雲計算平台/系統、大資料應用/平台/資源、物聯網(IoT)、工業控制系統和采用移動互聯技術的系統等
等級保護對象的變更代表網絡安全等級保護2.0制度的定級對象更符合目前的技術現狀,在1.0基礎上細化了定級的對象,覆寫面更為廣泛。
等級保護要求細分:
分為安全通用要求和安全擴充要求。安全通用要求根據共性化保護需求提出,等級保護對象無論以何種形式出現都要實作安全通用要求。而安全擴充要求針對個性化保護需求提出,标準中對于雲計算、移動互聯、物聯網、工業控制系統提出了安全擴充要求。
定級級别變更:
等級保護1.0定級标準:
分為以下五級,一至五級等級逐級增高:
第一級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級資訊系統營運、使用機關應當依據國家有關管理規範和技術标準進行保護。
第二級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益産生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家資訊安全監管部門對該級資訊系統安全等級保護工作進行指導。
第三級,資訊系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家資訊安全監管部門對該級資訊系統安全等級保護工作進行監督、檢查。
第四級,資訊系統受到破壞後,會對社會秩序和公共利益造成特别嚴重損害,或者對國家安全造成嚴重損害。國家資訊安全監管部門對該級資訊系統安全等級保護工作進行強制監督、檢查。
第五級,資訊系統受到破壞後,會對國家安全造成特别嚴重損害。國家資訊安全監管部門對該級資訊系統安全等級保護工作進行專門監督、檢查。
等級保護2.0定級标準:
公民、法人和其他組織的合法權益産生特别嚴重損害時,相應系統的等級保護級别從1.0的第二級調整到了第三級。
定級流程的變化:
等保2.0标準不再自主定級,而是通過“确定定級對象——>初步确定等級——>專家評審——>主管部門稽核——>公安機關備案審查——>最終确定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門稽核,才能到公安機關備案,整體定級更加嚴格。也就是二級及以上系統定級必須經過專家評審和主管部門稽核,才能到公安機關備案,整體定級更加嚴格。
安全體系的更新:
從等保1.0被動防禦的安全體系向事前防禦、事中相應、事後審計的動态保障體系轉變。建立安全技術體系和安全管理體系,建構具備相應等級安全保護能力的網絡安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、态勢感覺、能力建設、監督檢查、技術檢測、隊伍建設、教育教育訓練和經費保障等工作。
測評合格要求量化:
等級保護1.0結論:符合、基本符合、不符合
等級保護2.0結論:優(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求。
對公有雲使用者的要求和影響:
注:以下内容轉載自阿裡雲
阿裡雲在公安部資訊安全等級保護評估中心指導下,釋出全國首個《阿裡公共雲使用者等保2.0合規能力白皮書》。白皮書從雲服務商和雲上使用者安全合規責任劃分出發,首次公開闡述公共雲上使用者在不同服務模式下的安全合規責任和等保2.0适用條款,基于最典型的IaaS服務模式場景,提供最佳安全合規實踐指引,首次深度解讀雲計算、物聯網擴充要求合規實踐。
按照等保2.0定級指南要求,明确指出雲上使用者應用系統和雲服務商雲計算平台部分要分别作為單獨的定級對象,也就是說雲上使用者自己的應用系統也要單獨進行等保測評 。同時,雲等保2.0測評要求的最新變化,測評結論從原有等保1.0時代的“符合、基本符合、不符合”變成現在的“優、良、中、差”,低于70分就是差,70分以上才算基本符合要求,是以及格分數調高了,測評要求也更嚴格了。對于使用者來說想要拿到“優”,必須同時滿足以下三個條件:
1、選擇的雲平台等級測評結論為優;
2、業務應用系統存在的問題中無中、高風險項;
3、得分高于90分(含90分)。
也就是說,使用者的等保測評結論與雲平台綁定,隻有選擇測評結論為“優”的雲平台,使用者才有可能拿到“優”。
作為雲等保2.0時代的先行者和踐行者,阿裡雲繼2016年成為全國唯一一家雲計算等保新标準試點示範機關後,又再一次成為全國首家以高分通過公安部權威機構等保2.0測評的雲服務商,為雲上使用者拿“優”奠定了良好基礎。
如果使用者是自建雲平台或傳統IDC托管,那麼等保中的所有技術條款都要進行測評。如果是IaaS使用者,隻需關注涉及自身虛拟基礎環境和業務應用系統安全的83項技術名額,不需關注實體機房環境和雲平台網絡等内容,測評條款數約是自建雲平台的62.4%。如果是PaaS使用者則需要測評内容更少,隻需要關注涉及産品配置以及自身業務應用系統安全的49項技術名額,測評範圍是自建雲平台的36.8%。對于SaaS使用者來說,隻需要關注涉及應用安全配置以及業務資料保護的45項技術名額,需要投入的人力和經費成本也最少。
綜合來講,雲時代因服務模式不同帶來的雲上使用者合規責任的變化,使得公共雲使用者比自建雲平台或傳統IDC使用者在等保2.0中投入的合規成本大幅降低,并且在PaaS和SaaS服務模式下優勢更為突出,可以讓使用者将更多精力聚焦自身的業務應用系統和資料安全保護上。