等级保护新标准(2.0)介绍12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析等保1.0时代等保2.0工作展望等级保护发展历程与展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进•1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。•2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。•2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。•2007年6月,四部门联合出台《信息安全等级保护管理办法》。•2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。•2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。•2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。•2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。等保1.0时代等保2.0工作展望等级保护发展历程与展望•2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。•2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”•以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标准,习惯称为等保1.0标准。•2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。•2017年1月至2月,全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。•2017年5月,国家公安部发布《GA/T1389—2017网络安全等级保护定级指南》、《GA/T1390.2—2017网络安全等级保护基本要求第2部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。重要标志2.0系列标准编制工作等保1.0时代等保2.0工作展望等级保护发展历程与展望等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。等级保护上升为法律《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。等级保护对象将不断拓展随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。等级保护工作内容将持续扩展在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。等级保护体系将进行重大升级2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析等保1.0等保2.0等级保护2.0标准体系GB17859-1999《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统等级保护安全设计技术要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评过程指南》《信息系统安全等级保护测评要求》等保1.0等保2.0等级保护2.0标准体系正式更名为网络安全等级保护标准;横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求;纵向扩展了对等保测评机构的规范管理。(注:基于2017年等级保护标准系列征求意见稿)未变化修订内容新增等保1.0等保2.0等级保护2.0标准体系GA/T1390.5—2017《信息安全技术网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求》公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求》等4个行业标准。GA/T1389—2017《信息安全技术网络安全等级保护定级指南》GA/T1390.3—2017《信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求》GA/T1390.2—2017《信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求》在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的信息系统、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。针对移动互联网系统中移动终端、移动应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。定级要求等级保护2.0定级要求解析注:基于GA/T1389—2017《网络安全等级保护定级指南》及GB/T22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程定级对象①定级要求重新对部分内容的顺序作了调整,从整体显得更加的合理。增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;定级一般流程;1.0要求2.0要求更名为“定级方法流程”。新增“定级工作一般流程”。定级要求等级保护2.0定级要求解析注:基于GA/T1389—2017《网络安全等级保护定级指南》及GB/T22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程定级对象原标准新标准定级要求等级保护2.0定级要求解析注:基于GA/T1389—2017《网络安全等级保护定级指南》及GB/T22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程定级对象②新增“定级流程”包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。定级要求等级保护2.0定级要求解析注:基于GA/T1389—2017《网络安全等级保护定级指南》及GB/T22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程定级对象③定级对象重新对定级对象进行调整,并进行相应的介绍。2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。信息系统一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。基础信息网络对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。1.0要求2.0要求工业控制系统工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。云计算平台在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。物联网物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。采用移动互联技术的信息系统采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。大数据应将具有统一安全责任单位的大数据作为一个整体对象定级,或将其与责任主体相同的相关支撑平台统一定级。其他信息系统作为定级对象的其他信息系统应具有如下基本特征:a)具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;b)承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象;c)具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0通用要求解析4等级保护2.0扩展要求解析整体变化等级保护2.0通用要求解析注:基于《网络安全保护基本要求第一部分:通用安全要求》征求意见稿及GB/T22239《信息安全等级保护基本要求》三级要求对比分析。安全控制域划分上有较大变化,原有十个安全域重新整合为十个,定义上更精确,内涵更为丰富。物理安全网络安全主机安全应用安全数据安全安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理制度安全管理人员安全建设管理安全系统运维安全管理中心安全管理机构技术管理技术管理1.02