2019年,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,并于2019年12月1日开始实施,我国也正式迈入等保2.0时代。但很多人还是对等保2.0一知半解:等保2.0为什么诞生?意义是什么?等保2.0有哪些主要变化?核心标准是什么?今天就为大家一一解答这几个问题。 一、等保2.0诞生的原因和意义 1、技术变化:为了配合网络安全法的实施,对新技术的安全建设指导和监管;为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下等级保护工作的开展;原有的等级保护1.0标准体系只针对通用系统环境,缺乏针对这些新技术平台的定级流程规范及相关的技术要求,如规范定级、安全建设整改和等级测评工作等。 2、与时俱进:国际标准对标。(1)国际标准27000系列和美国联邦NIST 800-53系列安全相关标准和规范在2013年和2014年发布了新的版本,内容进行了调整;(2)技术落后的限制性措施删除;在网络安全新形势下,等保1.0已经不能完全满足等级保护工作的需要,风险评估、安全监测、通报预警,应急处置等也都是重要的网络安全工作。 3、国家政策:网络安全法,关键基础设施保护法和可信计算颁布实施,有必要对GB/T 22239-2008进行修订,在适用性、时效性、易用性、可操作性上进一步完善。等级保护由1.0 到2.0是被动防御变成主动防御,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。 二、等级保护2.0主要变化 1、演进变化 主动防护:五个规定动作+新的安全要求。 2、主要测评项变化 根据网络安全等级保护条例,第三级信息系统应当每年至少进行一次网络安全等级测评,第四级信息系统应当每半年至少进行一次网络安全等级测评,第五级信息系统依据特殊安全需求测评。 3、防护体系:一个安全管理中心,三重防护体系;更加偏重整体网络安全的防护建设; 4、防御体系:偏重通报预警,应急处置,态势感知,安全监测等主动防护建设; 5、扩展对象:2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。 三、等保2.0三大核心标准简介 1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 该项标准是等级保护标准体系的核心,对2008版标准中提出的基本要求进行了修改完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。 2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》 该标准主要对共性安全保护目标提出通用安全设计技术要求,该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。 3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》 该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。 四、网络安全等级保护新标准特点 1、基本要求、测评要求和技术要求框架统一,安全管理中心支持下的三重防护结构框架;2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范;3、把基于可信根的可信验证列入各级别和各环节的主要功能要求。