返回
网络安全等级保护(等保2.0)解读(1).docx

网络安全等级保护(等保2.0)解读(1).docx

ID:57649132

大小:55.45 KB

页数:7页

时间:2020-08-30

网络安全等级保护(等保2.0)解读(1).docx_第1页
网络安全等级保护(等保2.0)解读(1).docx_第2页
网络安全等级保护(等保2.0)解读(1).docx_第3页
网络安全等级保护(等保2.0)解读(1).docx_第4页
网络安全等级保护(等保2.0)解读(1).docx_第5页
资源描述:

《网络安全等级保护(等保2.0)解读(1).docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络安全等级保护(等保2.0)解读01前言2018年12月25日,由中关村可信计算产业联盟主办的等级保护新标准解读培训班在北京裕龙国际酒店举行。沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲,公安部范春玲、李秋香和陈广勇三位专家老师对最新的网络安全等级保护制度进行了细致的解读,新华三作为可信计算联盟的理事成员单位,有幸受邀参加了此次培训。同时作为等级保护2.0的参编单位,为了更好的学习贯彻和落实国家网络安全等级保护制度,新华三再次对会上专家的培训内容做个总结。 02等级保护标准变化等级保

2、护新标准在编制过程中总共经历了两次大的变化,第一次是2017年8月根据网信办和公安部的意见将5个分册进行了合并,形成一个标准,并在2017年10月参加信安标委WG5工作组在研标准推进会,介绍合并后的标准送审稿,征求127家成员单位意见,修订完成报批稿;第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算,充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录,其中第6、7、8、9、10章为

3、五个安全等级的安全要求章节,8个附录分别为:安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。标准名称由原来的《信息安全技术信息系统安全等级保护基本要求》变更为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》保持一致。等级保护对象由原来的“信息系统”改为“等级保护对象(网络和信息系统)”,安全等级保护对象包括基础信息网

4、络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。新版安全要求在原有通用安全要求的基础上新增安全扩展要求,安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。03等级保护章节结构调整后每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分:      安全通用要求规定了不管等级保护对象形态如何必须满足的要求。云计算安全扩展要求章节

5、针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。这里需要注意云计算环境的定级,对于云租户的定级仍按照传统的定级思路,而对于云计算平台的定级则分两种情况,一种是中小型云计算平台,可将整个云计算平台作为整体定级对象;另一种是针对大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象(比如大型云计算平台的计费系统可单独作为一个定级对象)。移动互联安全扩展要求章节针对

6、移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、

7、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面,针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。04控制措施分类结构调整后的控制措施分类结构如下:技术要求“从面到点”提出安全要求,“安全物理环境”主要对机房设施提出要求,“安全通信网络”和“安全区域边界”主要对网络整体提出要求,“安全计算环境”主要对构成节点(包括业务应用和数据)提出要求,“安全管理中心”主要对系统管理、集中管控等提出要求。管理要求“从元素到活动

8、”提出安全要求,“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。安全通信网络+安全区域边界+安全管理中心的第四级在第三级的基础上增加了7个条款:1)应按照业务服务的重要程度分配带宽,优先保障重要业务;2)应在通信前基于密码技术对通信的双方进行验证或认证;3)应基于硬件密码模块对重要通信过程进行密码运算和密钥管理;4)应能够在发现非授权设备私自联到内部网络的行为或内

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。