看等保2.0的七个变化 安全管理平台成刚需!

发布时间 2019-05-17

5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,通报国家标准制定流程改革的有关情况,宣布等保2.0相关的《信息安全技术 网络安全等级保护基本要求》(以下简称:等保要求2.0)、《信息安全技术 网络安全等级保护测评要求》(以下简称:等保测评要求2.0)、《信息安全技术 网络安全等级保护安全设计技术要求》(以下简称:等保设计要求2.0)国家标准正式发布,于2019年12月1日开始实施。
 



等级保护2.0国家标准的显著变化



泰合产品本部早在2018年11月23日发布过等级保护2.0变化内容专项分析文章,得到安全业界转发和观点引用。从法律文件命名、保护范围、标准内容等各方面来看,等级保护1.0国家标准与等级保护2.0国家标准的变化还是有显著变化的,概括起来看,主要有以下几个方面。
 
变化看点1名称优化 更接地气

为适应网络安全法,落实网络安全等级保护制度,标准名称由“信息系统安全等级保护”变更为“网络安全等级保护”。名称的变化所带来的防护理念变化,以及定级流程等一系列变化,也是显而易见的。一词之差,意味着其覆盖范围更广。
 
变化看点2支撑依据 力度加大

等级保护1.0标准GB/T 22239-2008体系是以《中华人民共和国计算机信息系统安全保护条例》以及《国家信息化领导小组关于加强信息安全保障工作的意见》、《信息安全等级保护管理办法》等相关部门发布的规范性文件为依据,然而,等级保护2.0标准体系则是以《中华人民共和国网络安全法》为依托,核心是配合《中华人民共和国网络安全法》的实施,显然,以前是条例,现在是法律,等级保护2.0所背靠的法律文件决定了其影响范围更为广泛。
 
变化看点3保护对象 更为全面

等级保护1.0国家标准的保护对象为信息系统,而等级保护2.0则将基础信息网络(广电网、电信网、企业网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围。
 
变化看点4标准内容构成要件更为系统

等保2.0的要求由二大核心要件构成,即安全通用要求和安全扩展要求。本次标准修订是对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。为适应新应用场景下的等级保护工作开展,等级保护2.0标准直接将这些新技术、新应用的特性化安全保护需求列入安全扩展要求。
 

泰合产品本部结合多年等保的跟踪和方案积累,已经形成了一整套紧密贴合等级保护2.0的满足度对应关系、产品方案、解决方案、答疑方案等内容,参看《对应关系表》,泰合团队,无论从等级保护2.0的具体分类项、安全要求情况、扩展满足情况,到需求理解,都能为不同类型的用户提供详细而具体的方案。

等级保护2.0安全通用要求满足度对应关系表

等级

分类

具体分类

泰合产品图

一级

管理

要求

安全运维管理

泰合态感企业版、泰合SOC、态势感知

二级

技术

要求

网络和通信安全

泰合流分析、泰合态感企业版、泰合SOC、态势感知、合众LAS

设备和计算安全

泰合态感企业版、泰合SOC、态势感知

应用和数据安全

泰合日志审计、合众LAS

管理

要求

安全管理机构

和人员

泰合态感企业版

安全运维管理

泰合资产管理、泰合态感企业版、泰合SOC、态势感知、泰合BSM、泰合流分析

三级

技术

要求

网络和通信安全

泰合流分析+天清异常流量管理与抗拒绝服务系统(ADM)、泰合日志审计、合众LAS、泰合BSM、泰合SOC、态势感知、泰合流分析、泰合态感企业版

设备和计算安全

泰合流分析、泰合态感企业版、泰合SOC、态势感知、泰合日志审计、合众LAS、泰合BSM

应用和数据安全

泰合日志审计、合众LAS

管理

要求

安全机构和人员

泰合配置核查

安全运维管理

泰合资产管理、泰合SOC

泰合流分析、泰合态感企业版、态势感知、泰合配置核查、泰合BSM

四级

技术

要求

网络和通信安全

泰合流分析、泰合态感企业版、泰合SOC、态势感知、泰合BSM

 

设备和计算安全

泰合流分析、泰合态感企业版、态势感知、泰合BSM、泰合SOC

应用和数据安全

泰合日志审计、合众LAS、泰合SOC

管理

要求

安全管理机构

和人员

泰合配置核查

安全运维管理

泰合资产管理、泰合流分析、泰合态感企业版、态势感知、泰合配置核查、泰合BSM、泰合SOC


变化看点5安全控制点减少源自防护理念的变化

概括来说,等保2.0的结构变化就是一句话“一个增加一个拆分三个合并”。一个增加:“安全管理中心”,对应的控制项被具体强化。一个拆分:网络安全拆分为“安全通信网络和安全区域边界”;三个合并:合并主机安全、应用安全、数据安全为“安全计算环境”。 为此带来的控制点数量上发生了变化,如下图:
 
 
我们从控制点减少可以看到其背后的原因是防护理念的变化。通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。
 
变化看点6安全管理平台将成为刚需

安全管理中心成为本次等保2.0变化最大的亮点。我们从等保2.0的安全框架图中可以看到“安全管理中心”的技术要求,尤其在二级、三级、四级安全要求中明确了对“安全管理中心”的内容,一方面是在提高监测预警水平,另外一方面是综合防御体系和等保制度落地的一块技术支撑,是衔接体系与控制点的关键节点。所以,从“第二级”开始,增加了“安全管理中心”的“系统管理”和“审计管理”要求,到“三级、四级”调整了系统管理、审计管理、安全管理及集中管控等。
 
安全管理中心的核心作用被明确,对集中管控的要求被强化,意味着,等保2.0的实施后,集中管理平台扮演的角色必不可少,更是用户安全建设的刚需。因此,以SOC安全管理平台、CSA态势感知平台、SA日志审计平台等具有很强集中管控能力的平台级产品,会在较长的一段时期里得到快速增长。
 
 
变化看点7定级流程的变化更严格

等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格,将促进定级过程更加规范,系统定级更加合理。定级从原来1.0的“定级、备案、建设整改、等级测评和监督检查”五个规定动作,新增“风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链管理、效果评价、综治考核”等重点措施融入到等保2.0之中。