看等保2.0的七個變化 安全管理平臺成剛需!

發布時間 2019-05-17

5月13日,國家市場監督管理總局、國家標準化管理委員會召開新聞發布會,通報國家標準制定流程改革的有關情況,宣布等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》(以下簡稱:等保要求2.0)、《信息安全技術 網絡安全等級保護測評要求》(以下簡稱:等保測評要求2.0)、《信息安全技術 網絡安全等級保護安全設計技術要求》(以下簡稱:等保設計要求2.0)國家標準正式發布,于2019年12月1日開始實施。
 



等級保護2.0國家標準的顯著變化



泰合產品本部早在2018年11月23日發布過等級保護2.0變化內容專項分析文章,得到安全業界轉發和觀點引用。從法律文件命名、保護范圍、標準內容等各方面來看,等級保護1.0國家標準與等級保護2.0國家標準的變化還是有顯著變化的,概括起來看,主要有以下幾個方面。
 
變化看點1名稱優化 更接地氣

為適應網絡安全法,落實網絡安全等級保護制度,標準名稱由“信息系統安全等級保護”變更為“網絡安全等級保護”。名稱的變化所帶來的防護理念變化,以及定級流程等一系列變化,也是顯而易見的。一詞之差,意味著其覆蓋范圍更廣。
 
變化看點2支撐依據 力度加大

等級保護1.0標準GB/T 22239-2008體系是以《中華人民共和國計算機信息系統安全保護條例》以及《國家信息化領導小組關于加強信息安全保障工作的意見》、《信息安全等級保護管理辦法》等相關部門發布的規范性文件為依據,然而,等級保護2.0標準體系則是以《中華人民共和國網絡安全法》為依托,核心是配合《中華人民共和國網絡安全法》的實施,顯然,以前是條例,現在是法律,等級保護2.0所背靠的法律文件決定了其影響范圍更為廣泛。
 
變化看點3保護對象 更為全面

等級保護1.0國家標準的保護對象為信息系統,而等級保護2.0則將基礎信息網絡(廣電網、電信網、企業網等)、信息系統(采用傳統技術的系統)、云計算平臺、大數據平臺、移動互聯網、物聯網和工業控制系統等都納入了等級保護對象范圍。
 
變化看點4標準內容構成要件更為系統

等保2.0的要求由二大核心要件構成,即安全通用要求和安全擴展要求。本次標準修訂是對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。為適應新應用場景下的等級保護工作開展,等級保護2.0標準直接將這些新技術、新應用的特性化安全保護需求列入安全擴展要求。
 

泰合產品本部結合多年等保的跟蹤和方案積累,已經形成了一整套緊密貼合等級保護2.0的滿足度對應關系、產品方案、解決方案、答疑方案等內容,參看《對應關系表》,泰合團隊,無論從等級保護2.0的具體分類項、安全要求情況、擴展滿足情況,到需求理解,都能為不同類型的用戶提供詳細而具體的方案。

等級保護2.0安全通用要求滿足度對應關系表

等級

分類

具體分類

泰合產品圖

一級

管理

要求

安全運維管理

泰合態感企業版、泰合SOC、態勢感知

二級

技術

要求

網絡和通信安全

泰合流分析、泰合態感企業版、泰合SOC、態勢感知、合眾LAS

設備和計算安全

泰合態感企業版、泰合SOC、態勢感知

應用和數據安全

泰合日志審計、合眾LAS

管理

要求

安全管理機構

和人員

泰合態感企業版

安全運維管理

泰合資產管理、泰合態感企業版、泰合SOC、態勢感知、泰合BSM、泰合流分析

三級

技術

要求

網絡和通信安全

泰合流分析+天清異常流量管理與抗拒絕服務系統(ADM)、泰合日志審計、合眾LAS、泰合BSM、泰合SOC、態勢感知、泰合流分析、泰合態感企業版

設備和計算安全

泰合流分析、泰合態感企業版、泰合SOC、態勢感知、泰合日志審計、合眾LAS、泰合BSM

應用和數據安全

泰合日志審計、合眾LAS

管理

要求

安全機構和人員

泰合配置核查

安全運維管理

泰合資產管理、泰合SOC

泰合流分析、泰合態感企業版、態勢感知、泰合配置核查、泰合BSM

四級

技術

要求

網絡和通信安全

泰合流分析、泰合態感企業版、泰合SOC、態勢感知、泰合BSM

 

設備和計算安全

泰合流分析、泰合態感企業版、態勢感知、泰合BSM、泰合SOC

應用和數據安全

泰合日志審計、合眾LAS、泰合SOC

管理

要求

安全管理機構

和人員

泰合配置核查

安全運維管理

泰合資產管理、泰合流分析、泰合態感企業版、態勢感知、泰合配置核查、泰合BSM、泰合SOC


變化看點5安全控制點減少源自防護理念的變化

概括來說,等保2.0的結構變化就是一句話“一個增加一個拆分三個合并”。一個增加:“安全管理中心”,對應的控制項被具體強化。一個拆分:網絡安全拆分為“安全通信網絡和安全區域邊界”;三個合并:合并主機安全、應用安全、數據安全為“安全計算環境”。 為此帶來的控制點數量上發生了變化,如下圖:
 
 
我們從控制點減少可以看到其背后的原因是防護理念的變化。通用要求方面,等保2.0標準的核心是“優化”。刪除了過時的測評項,對測評項進行合理性改寫,新增對新型網絡攻擊行為防護和個人信息保護等新要求。等保2.0標準依然采用“一個中心、三重防護” 的理念,從等保1.0標準被動防御的安全體系向事前預防、事中響應、事后審計的動態保障體系轉變,注重全方位主動防御、安全可信、動態感知和全面審計。
 
變化看點6安全管理平臺將成為剛需

安全管理中心成為本次等保2.0變化最大的亮點。我們從等保2.0的安全框架圖中可以看到“安全管理中心”的技術要求,尤其在二級、三級、四級安全要求中明確了對“安全管理中心”的內容,一方面是在提高監測預警水平,另外一方面是綜合防御體系和等保制度落地的一塊技術支撐,是銜接體系與控制點的關鍵節點。所以,從“第二級”開始,增加了“安全管理中心”的“系統管理”和“審計管理”要求,到“三級、四級”調整了系統管理、審計管理、安全管理及集中管控等。
 
安全管理中心的核心作用被明確,對集中管控的要求被強化,意味著,等保2.0的實施后,集中管理平臺扮演的角色必不可少,更是用戶安全建設的剛需。因此,以SOC安全管理平臺、CSA態勢感知平臺、SA日志審計平臺等具有很強集中管控能力的平臺級產品,會在較長的一段時期里得到快速增長。
 
 
變化看點7定級流程的變化更嚴格

等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關備案審查——>最終確定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格,將促進定級過程更加規范,系統定級更加合理。定級從原來1.0的“定級、備案、建設整改、等級測評和監督檢查”五個規定動作,新增“風險評估、安全監測、通報預警、事件調查、應急演練、災難備份、自主可控、供應鏈管理、效果評價、綜治考核”等重點措施融入到等保2.0之中。