Time: 2020-01-02  信息安全公共服务平台

公安部张宇翔:须知等保2.0主要标准的调整

  没有网络安全就没有国家安全。从1.0到2.0,我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,对等级保护制度提出了新的要求。

  近日,公安部信息安全等级保护评估中心常务副主任张宇翔对安全等级保护2.0主要标准的调整进行了简明扼要的介绍。

  标准名称的变化

  由原来的“信息系统安全等级保护××××”变为“网络安全等级保护××××”,这背后是两个战略的调整。主要特点如下:

等级保护资讯网

  对象范围扩大: 新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

  分类结构统一: 新标准“基本要求、设计要求和测评要求” 分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心” 支持下的三重防护体系架构。强化可信计算: 新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

  强化可信计算技术使用

  从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。

  一级:设备的系统引导程序、系统程序等进行可信验证

  二级:增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心

  三级:增加应用程序的关键执行环节进行动态可信验证

  四级:增加应用程序的所有执行环节进行动态可信验证

  其中着重强调了三级:可基于可信根对设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

  等级保护对象的扩展

  增加了云计算安全扩展要求

等级保护资讯网

  云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。增加了移动互联安全扩展要求

标签: 等保2.0
18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。