為適應(yīng)新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要，近期，等級保護2.0正式發(fā)布。據(jù)了解，等級保護2.0在標(biāo)準(zhǔn)名稱、保護對象、章節(jié)結(jié)構(gòu)、控制措施等部分均進行了修改和更新，相較于等級保護1.0版本，等級保護2.0經(jīng)過不斷的完善、更新、充實，實用性與操作性更高。

　　此次等級保護2.0的正式推出，標(biāo)志著我國網(wǎng)絡(luò)安全等級保護工作正式進入“2.0時代”。在帶來一系列新技術(shù)、新產(chǎn)業(yè)蓬勃發(fā)展的同時，也帶來了新的挑戰(zhàn)，對于強勢來襲的等級保護2.0，網(wǎng)絡(luò)安全的治理將走向何方?信息安全人員是否倍感壓力?又該如何應(yīng)對?

　　本期話題將結(jié)合等級保護2.0的新標(biāo)準(zhǔn)，由華云數(shù)據(jù)安全專家行業(yè)售前經(jīng)理屈崇凱以“一線”視角為廣大用戶進行詳細(xì)解讀，并為企業(yè)用戶做到標(biāo)準(zhǔn)合規(guī)提出建議。

　　本期嘉賓

　　屈崇凱 華云數(shù)據(jù)集團行業(yè)售前經(jīng)理

　　精彩言論

　　1. 網(wǎng)絡(luò)安全等級保護為信息系統(tǒng)、云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級對象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，幫助用戶提高定級對象的安全防護能力。做好等級保護工作可以實現(xiàn)：滿足國家相關(guān)法律法規(guī)和制度的要求;降低信息安全風(fēng)險，提高定級對象的安全防護能力;合理地規(guī)避或降低風(fēng)險;履行和落實網(wǎng)絡(luò)信息安全責(zé)任義務(wù)。

　　2. 等級保護2.0時代，將根據(jù)信息技術(shù)發(fā)展應(yīng)用和網(wǎng)絡(luò)安全態(tài)勢，不斷豐富制度內(nèi)涵、拓展保護范圍、完善監(jiān)管措施，逐步健全網(wǎng)絡(luò)安全等級保護制度政策、標(biāo)準(zhǔn)和支撐體系。

　　3. 等級保護2.0橫向擴展了對云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的安全要求，縱向擴展了對等保測評機構(gòu)的規(guī)范管理。

　　4. 相較于等級保護1.0，等級保護2.0重新對部分內(nèi)容的順序作了調(diào)整，從整體顯得更加的合理。并且，增加了新的內(nèi)容和流程，例如擴展了定級的對象，包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、其他信息系統(tǒng)、大數(shù)據(jù)等;新增加的流程為“定級工作一般流程”，并對舊版本“定級一般流程”更名為“定級方法流程”。

　　5. 等級保護2.0新增定級流程，從確定定級對象、初步確認(rèn)等級、專家評審、主管部門審核到公安機關(guān)備案審查，最后到最終確定的等級。

　　6. 等級保護2.0重新對定級對象進行調(diào)整，并進行相應(yīng)的介紹。等級保護2.0定級對象分為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)和其他信息系統(tǒng)，其中信息系統(tǒng)再細(xì)分為工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)以及云計算平臺。

　　7. 云計算平臺由設(shè)施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應(yīng)用軟件等組成。云計算服務(wù)模式包括：軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS)，在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。

　　8. 在云計算環(huán)境中，考慮到不同的安全建設(shè)和管理責(zé)任，應(yīng)將云服務(wù)方側(cè)的云計算平臺和云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。而大型云計算平臺應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。

　　9. 等級保護2.0云計算擴展要求中，對于IaaS層來說，在設(shè)施方面的控制要求，增加了：一是提出物理位置的選擇的要求，例如云計算的所有物理設(shè)備和數(shù)據(jù)均存放在國內(nèi);二是提出服務(wù)供應(yīng)商選擇和供應(yīng)鏈管理的要求，例如選擇云服務(wù)商和供應(yīng)商的過程須符合國家的要求。而在硬件方面的控制要求，增加了：一是提出身份鑒別的要求，例如設(shè)備之間建立雙向身份驗證機制。二是提出訪問控制的要求，例如在遠(yuǎn)程管理設(shè)備時不能直接連接其他網(wǎng)絡(luò)。三是提出數(shù)據(jù)保密性的要求，例如保證設(shè)備之間網(wǎng)絡(luò)通信的保密性。

　　10. 等級保護2.0云計算擴展要求中，對于PaaS層來說，增加了：一是提出對數(shù)據(jù)集中審計的、職責(zé)劃分的要求;二是提出了對開發(fā)環(huán)境訪問控制的要求。

　　11. 等級保護2.0云計算擴展要求中，對于SaaS層來說，增加了：一是接口安全的控制要求。二是提出了對應(yīng)用系統(tǒng)監(jiān)測、數(shù)據(jù)備份/存儲/遷移/審計的控制要求。三是提出了對職責(zé)與權(quán)限劃分、數(shù)據(jù)安全審計、惡意代碼檢測、資源控制的要求。除此之外，還特別增加了：一是供應(yīng)鏈管理、監(jiān)控和審計管理的控制要求，二是提出了對選擇服務(wù)商、測試驗收、平臺接口安全、授權(quán)審批的控制要求。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。