等级保护2.0时代正式开启.pdfVIP

等级保护2.0时代正式开启 点击标题下「电⼒安全⽣产」可快速关注 ⽹络安全等级保护2.0标准于2019年12⽉1⽇正式实施，等级保护2.0时代今⽇正式开启。 ⽹络安全等级保护制度是我国⽹络安全领域的基本国策、基本制度，等级保护标准在1.0时代标准的基础上，注重主动 防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全⾯审计，实现了对传统信息系统、基础信息⽹ 络、云计算、⼤数据、物联⽹、移动互联⽹和⼯业控制信息系统等级保护对象的全覆盖。 （以上信息整理于微信公众号：信息安全国家⼯程研究中⼼） 关于等保2.0的若⼲问题⼩结： 1、单位⾃建的云计算平台如何开展等级保护⼯作？ 在云计算环境中，将云计算平台作为基础设施、云租户系统作为信息系统，分别作为定级对象进⾏定级。对于⼤型云计 算平台，当运管平台共⽤时，可将云计算基础设施与运管平台系统分开定级，责任分离，分别定级、各⾃备案。云计算 基础设施的安全保护等级不低于其所⽀撑的业务系统的最⾼等级。 针对私有云⽤户，也要按照云平台和云租户信息系统，分别进⾏定级。并且云平台的安全等级不低于其所⽀撑的业务系 统的最⾼等级。 对于云计算平台和云租户信息系统，则分别依据等保2.0基本要求中的通⽤要求和云计算安全扩展要求来开展等级保护 ⼯作。对于私有云，定级流程为云平台先定级测评，再将已定级应⽤系统向云平台迁移。 2、部署在公有云上的信息系统如何开展等级保护⼯作？ 依据等保2.0，在对公有云环境下开展等级保护⼯作应遵循如下原则： （1）应确保云计算平台不承载⾼于其安全保护等级的业务应⽤系统。 （2）应确保云计算基础设施位于中国境内。 （3）云计算平台的运维地点应位于中国境内，如需境外对境内云计算平台实施运维操作应遵循国家相关规定。 （4）云计算平台运维过程产⽣的配置数据、鉴别数据、业务数据、⽇志信息等存储于中国境内，如需出境应遵循国家 相关规定。 公有云开展等级保护⼀般分为两个部分： （1）是云平台本⾝，在等保2.0⾥⾯明确提出：对于公有云定级流程为云平台先定级测评，再提供云服务。 （2）是云租户信息系统，⽐如政府单位门户⽹站系统，在迁⼊公有云平台后，还需要对这个门户⽹站独⽴定级备案、 进⾏等保测评。其中，涉及云平台部分的内容可以不重复测评，测评结论直接引⽤即可。 不同云计算服务模式需要采取不同职责划分⽅式： （1）对于IaaS （基础设施即服务）模式，云服务商的职责范围包括虚拟机监视器和硬件，云租户的职责范围包括操作 系统、中间件和应⽤数据。 （2）对于PaaS （平台即服务）模式，云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职 责范围为应⽤和数据。 （3）对于SaaS （软件即服务）模式，云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应⽤，云租 （3）对于SaaS （软件即服务）模式，云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应⽤，云租 户的职责范围包括部分应⽤职责及⽤户使⽤职责。 3、对于⼯业控制系统如何开展等级保护⼯作？ 依据等保基本要求中的安全通⽤要求和⼯控扩展要求来对⼯业控制系统开展等级保护⼯作。 ⼯业控制系统主要包括现场采集/执⾏、现场控制、过程控制和⽣产管理等特征要素。其中，现场采集/执⾏、现场控制 和过程控制等要素应作为⼀个整体对象定级，各要素不单独定级；⽣产管理要素可单独定级。 对于⼤型⼯业控制系统，可以根据系统功能、责任主体、控制对象和⽣产⼚商等因素划分为多个定级对象。 ⼯控扩展要求保护主要包括：室外控制设备防护、⼯业控制系统、⽹络架构安全、拨号使⽤控制⽆线使⽤控制、控制设 备安全、漏洞和风险管理、恶意代码防范管理等⽅⾯内容。 ⼯业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求，其他层次使⽤安全通⽤要求条款，对 ⼯业控制系统的保护需要根据实际情况使⽤基本要求。 4、等保2.0测评是否更加严格？ 等保测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别 依据是被测对象中存在安全问题，⽽且会导致被测对象⾯临⾼等级安全风险，或被测对象综合得分低于70分。 简单⽽⾔，“差”是在系统中存在⾼危风险或得分低于70分。相当于等保1.0时代中的不符合。但是可以看出来等保的及格 线已经由原先的60分提⾼到了70分，等保对安全的最低要求已经在显然提⾼。因此，未来想通过等保测评需要扎扎