近日据媒体报道,《网络安全等级保护技术》2.0版本将于5月13日正式发布,“等保2.0”工作最重要的标准依据即将落地执行。
相比于“等保1.0”,“等保2.0”标准提出了哪些新要求,涉及到哪些新应用新技术,背后的新思路是怎样的?未来将产生怎样的深远影响?在标准正式发布前夕,让我们先一探“等保2.0”的部分新变化。
一
“等保2.0”的结构
《网络安全等级保护基本要求》在编制过程中,征求意见稿与报批稿的结构发生了较大变化。
征求意见稿分为5个分册,每个分册单独列出了各级别安全要求。在修订过程中,根据网信办和公安部的意见将安全通用要求及4个扩展要求整合为《网络安全等级保护基本要求》一个标准,形成报批稿。
二
“等保2.0”提出的新要求
“等保2.0”新标准将会对网络安全带来重要改变,等级保护工作也将面临显著的变化,本次从定级对象范围与可信计算的强化两个方面进行解读。
(一)定级对象范围
“等保2.0”新标准中,每一级除通用要求外,均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全(附录形式)这5个扩展要求,以应对新兴技术安全需求。
相比“等保1.0”将定级对象统一定义为信息系统,《网络安全等级保护定级指南》对定级对象的具体范围根据扩展要求进行了细化:
云计算平台方面,定级对象将区分为服务的提供方和租户方;
物联网方面,感知、网络传输和处理应用等特征因素不单独定级,将作为一个整体进行评定;
移动互联方面,移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级;
大数据方面,安全责任主体相同的平台和应用将整体定级,除此之外为单独定级。
网络运营者在实施定级工作时,首先应当确定自身作为定级对象应当满足的基本特征,若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的,还应符合相应的要求。
(二)可信计算的强化
可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。《网络安全等级保护基本要求》(报批稿)中强化了可信计算,充分体现一个中心、三重防御的思想,由被动防御变成主动防御,并强化可信计算安全技术要求的使用。
具体表现为在安全通信网络、安全区域边界、安全计算环境三个分类中,均增加了可信验证控制点。
除了结构和要求的变化,本次“等保2.0”标准还将在测评、控制点和要求项等诸多方面发生变化,相信标准正式实施后会为网络安全市场带来推动升级。
据悉,5月13日《网络安全等级保护技术》2.0版本将正式发布,届时我们将持续追踪最新资讯,获取更多关于等保2.0标准的解读内容敬请持续关注。