歡迎訪問湖南中觀天下科技有限公司官方網(wǎng)站!
服務(wù)熱線:0731-89816073
|
|
等級(jí)保護(hù)2.0時(shí)代今日正式開啟 專欄:行業(yè)新聞 發(fā)布日期:2019-12-01 閱讀量:6714 作者: 來源:行業(yè)新聞 對(duì)于云計(jì)算平臺(tái)和云租戶信息系統(tǒng),則分別依據(jù)等保2.0基本要求中的通用要求和云計(jì)算安全擴(kuò)展要求來開展等級(jí)保護(hù)工作。工業(yè)控制系統(tǒng)主要包括現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制、過程控制和生產(chǎn)管理等特征要素。 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)于2019年12月1日正式實(shí)施,等級(jí)保護(hù)2.0時(shí)代今日正式開啟。 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度,等級(jí)保護(hù)標(biāo)準(zhǔn)在1.0時(shí)代標(biāo)準(zhǔn)的基礎(chǔ)上,注重主動(dòng)防御,從被動(dòng)防御到事前、事中、事后全流程的安全可信、動(dòng)態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級(jí)保護(hù)對(duì)象的全覆蓋。 (以上信息整理于微信公眾號(hào):信息安全國家工程研究中心) 關(guān)于等保2.0的若干問題小結(jié): 1、單位自建的云計(jì)算平臺(tái)如何開展等級(jí)保護(hù)工作? 在云計(jì)算環(huán)境中,將云計(jì)算平臺(tái)作為基礎(chǔ)設(shè)施、云租戶系統(tǒng)作為信息系統(tǒng),分別作為定級(jí)對(duì)象進(jìn)行定級(jí)。對(duì)于大型云計(jì)算平臺(tái),當(dāng)運(yùn)管平臺(tái)共用時(shí),可將云計(jì)算基礎(chǔ)設(shè)施與運(yùn)管平臺(tái)系統(tǒng)分開定級(jí),責(zé)任分離,分別定級(jí)、各自備案。云計(jì)算基礎(chǔ)設(shè)施的安全保護(hù)等級(jí)不低于其所支撐的業(yè)務(wù)系統(tǒng)的最高等級(jí)。 針對(duì)私有云用戶,也要按照云平臺(tái)和云租戶信息系統(tǒng),分別進(jìn)行定級(jí)。并且云平臺(tái)的安全等級(jí)不低于其所支撐的業(yè)務(wù)系統(tǒng)的最高等級(jí)。 對(duì)于云計(jì)算平臺(tái)和云租戶信息系統(tǒng),則分別依據(jù)等保2.0基本要求中的通用要求和云計(jì)算安全擴(kuò)展要求來開展等級(jí)保護(hù)工作。對(duì)于私有云,定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng),再將已定級(jí)應(yīng)用系統(tǒng)向云平臺(tái)遷移。 2、部署在公有云上的信息系統(tǒng)如何開展等級(jí)保護(hù)工作? 依據(jù)等保2.0,在對(duì)公有云環(huán)境下開展等級(jí)保護(hù)工作應(yīng)遵循如下原則: (1)應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)。 (2)應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)。 (3)云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國境內(nèi),如需境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定。 (4)云計(jì)算平臺(tái)運(yùn)維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲(chǔ)于中國境內(nèi),如需出境應(yīng)遵循國家相關(guān)規(guī)定。 公有云開展等級(jí)保護(hù)一般分為兩個(gè)部分: (1)是云平臺(tái)本身,在等保2.0里面明確提出:對(duì)于公有云定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng),再提供云服務(wù)。 (2)是云租戶信息系統(tǒng),比如政府單位門戶網(wǎng)站系統(tǒng),在遷入公有云平臺(tái)后,還需要對(duì)這個(gè)門戶網(wǎng)站獨(dú)立定級(jí)備案、進(jìn)行等保測(cè)評(píng)。其中,涉及云平臺(tái)部分的內(nèi)容可以不重復(fù)測(cè)評(píng),測(cè)評(píng)結(jié)論直接引用即可。 不同云計(jì)算服務(wù)模式需要采取不同職責(zé)劃分方式: (1)對(duì)于IaaS(基礎(chǔ)設(shè)施即服務(wù))模式,云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器和硬件,云租戶的職責(zé)范圍包括操作系統(tǒng)、中間件和應(yīng)用數(shù)據(jù)。 (2)對(duì)于PaaS(平臺(tái)即服務(wù))模式,云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)和中間件。云租戶的職責(zé)范圍為應(yīng)用和數(shù)據(jù)。 (3)對(duì)于SaaS(軟件即服務(wù))模式,云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)、中間件和應(yīng)用,云租戶的職責(zé)范圍包括部分應(yīng)用職責(zé)及用戶使用職責(zé)。 3、對(duì)于工業(yè)控制系統(tǒng)如何開展等級(jí)保護(hù)工作? 依據(jù)等保基本要求中的安全通用要求和工控?cái)U(kuò)展要求來對(duì)工業(yè)控制系統(tǒng)開展等級(jí)保護(hù)工作。 工業(yè)控制系統(tǒng)主要包括現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制、過程控制和生產(chǎn)管理等特征要素。其中,現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí),各要素不單獨(dú)定級(jí);生產(chǎn)管理要素可單獨(dú)定級(jí)。 對(duì)于大型工業(yè)控制系統(tǒng),可以根據(jù)系統(tǒng)功能、責(zé)任主體、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象。 工控?cái)U(kuò)展要求保護(hù)主要包括:室外控制設(shè)備防護(hù)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)架構(gòu)安全、撥號(hào)使用控制無線使用控制、控制設(shè)備安全、漏洞和風(fēng)險(xiǎn)管理、惡意代碼防范管理等方面內(nèi)容。 工業(yè)控制系統(tǒng)安全擴(kuò)展要求主要針對(duì)現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層提出特殊安全要求,其他層次使用安全通用要求條款,對(duì)工業(yè)控制系統(tǒng)的保護(hù)需要根據(jù)實(shí)際情況使用基本要求。 4、等保2.0測(cè)評(píng)是否更加嚴(yán)格? 等保測(cè)評(píng)結(jié)論由1.0時(shí)代的符合、基本符合、不符合改為2.0時(shí)代的優(yōu)、良、中、差四個(gè)等級(jí)。其中測(cè)評(píng)結(jié)論“差”的判別依據(jù)是被測(cè)對(duì)象中存在安全問題,而且會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn),或被測(cè)對(duì)象綜合得分低于70分。  [ 關(guān)閉窗口] [ 打印本頁 ] |
