1前言
2018年12月25日,由中关村可信计算产业联盟主办的等级保护新标准解读培训班在北京裕龙国际酒店举行 。沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲,公安部范春玲、李秋香和陈广勇三位专家老师对最新的网络安全等级保护制度进行了细致的解读,新华三作为可信计算联盟的理事成员单位,有幸受邀参加了此次培训 。同时作为等级保护2.0的参编单位,为了更好的学习贯彻和落实国家网络安全等级保护制度,新华三再次对会上专家的培训内容做个总结 。
02等级保护标准变化
等级保护新标准在编制过程中总共经历了两次大的变化,第一次是2017年8月根据网信办和公安部的意见将5个分册进行了合并,形成一个标准,并在2017年10月参加信安标委WG5工作组在研标准推进会,介绍合并后的标准送审稿,征求127家成员单位意见,修订完成报批稿;第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算,充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用 。
经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录,其中第6、7、8、9、10章为五个安全等级的安全要求章节,8个附录分别为:安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明 。
标准名称由原来的《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》保持一致 。等级保护对象由原来的“信息系统”改为“等级保护对象(网络和信息系统)”,安全等级保护对象包括基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等 。新版安全要求在原有通用安全要求的基础上新增安全扩展要求,安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求 。
03等级保护章节结构
调整后每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分:
安全通用要求规定了不管等级保护对象形态如何必须满足的要求 。
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求 。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面 。这里需要注意云计算环境的定级,对于云租户的定级仍按照传统的定级思路,而对于云计算平台的定级则分两种情况,一种是中小型云计算平台,可将整个云计算平台作为整体定级对象;另一种是针对大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象(比如大型云计算平台的计费系统可单独作为一个定级对象) 。
推荐阅读
- 和勇者是女孩类似的漫画有哪些
- 和永无止境类似的手机游戏
- 酸菜的保存方法 正确存放酸菜
- 裙带菜做法 裙带菜的烹饪方法
- 和映入眼帘意思一样的四字词语
- 怎样做猪小肚好吃 猪小肚的做法
- 和阴阳有关的成语
- 怎样减肥是最健康的 减肥最健康的方法
- 和异世灵武天下相似的好看的小说
- 制作酥鱼的方法 制作酥鱼的方法是什么