欢迎访问等保测评网!

等保服务热线:18122425657

当前位置:主页 > 等保资讯 > 等保快讯 >

等保2.0主要标准的调整有哪些?

2020-06-02 17:48

微信截图_20200602154037

 

等级保护2.0是网络安全的一次重大升级,对等级保护制度提出了新要求。那么,等级保护2.0主要标准的调整有哪些呢?一起来看看吧!

 

1 标准名称变化

由原来的信息系统安全等级保护××××”变为网络安全等级保护××××”,这背后是两个战略的调整。主要特点如下:

微信截图_20200602154530

 

2 对象范围扩大

新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了安全通用要求+新型应用安全扩展要求的要求内容。

 

3 分类结构统一

新标准基本要求、设计要求和测评要求分类框架统一,形成了安全通信网络安全区域边界安全计算环境安全管理中心支持下的三重防护体系架构。强化可信计算: 新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

 

4 强化可信计算技术使用

从一级到四级均在安全通信网络安全区域边界安全计算环境中增加了可信验证控制点。

一级:设备的系统引导程序、系统程序等进行可信验证;

二级:增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心;

三级:增加应用程序的关键执行环节进行动态可信验证;

四级:增加应用程序的所有执行环节进行动态可信验证。

 

其中着重强调了三级:可基于可信根对设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

 

5 等级保护对象的扩展

 

①增加了云计算安全扩展要求。云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

 

微信截图_20200602155245

 

②增加了移动互联安全扩展要求。移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。

 

注意:采用移动互联技术的等级保护对象应作为整体对象定级,移动终端、移动应用和无线网络等要素不单独定级。

 

微信截图_20200602155301

 

③增加了物联网安全扩展要求。物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

 

注意:物联网系统应将采集、感知、网络传输和处理应用等要素作为一个整体对象定级,各要素不单独定级。

 

微信截图_20200602155314

 

④增加了工业控制系统安全扩展要求。工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。

 

微信截图_20200602155325

 

⑤增加了应用场景的说明。增加附录C 描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景。