网络安全等级保护2.0制度的变化和对公有云用户的要求

背景:

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。

依据变化:

等级保护1.0的依据为:《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号), 1994年2月18日发布。
等级保护2.0的依据为:《中华人民共和国网络安全法》,2016年11月7日发布。

法律条文:

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

主要文件:

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB∕T 28448-2019 《信息安全技术网络安全等级保护测评要求》
GB∕T 25070-2019 《信息安全技术网络安全等级保护安全设计技术要求》

等级保护对象变更:

等级保护1.0:计算机信息系统
等级保护2.0:基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等
等级保护对象的变更代表网络安全等级保护2.0制度的定级对象更符合目前的技术现状,在1.0基础上细化了定级的对象,覆盖面更为广泛。

等级保护要求细分:

分为安全通用要求和安全扩展要求。安全通用要求根据共性化保护需求提出,等级保护对象无论以何种形式出现都要实现安全通用要求。而安全扩展要求针对个性化保护需求提出,标准中对于云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。

定级级别变更:

等级保护1.0定级标准:
分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
等级保护2.0定级标准:

网络安全等级保护2.0制度的变化和对公有云用户的要求

公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级

定级流程的变化:

等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。也就是二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。

安全体系的升级:

网络安全等级保护2.0制度的变化和对公有云用户的要求

从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

测评合格要求量化:

等级保护1.0结论:符合、基本符合、不符合
等级保护2.0结论:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求。

对公有云用户的要求和影响:

注:以下内容转载自阿里云

阿里云在公安部信息安全等级保护评估中心指导下,发布全国首个《阿里公共云用户等保2.0合规能力白皮书》。白皮书从云服务商和云上用户安全合规责任划分出发,首次公开阐述公共云上用户在不同服务模式下的安全合规责任和等保2.0适用条款,基于最典型的IaaS服务模式场景,提供最佳安全合规实践指引,首次深度解读云计算、物联网扩展要求合规实践。
按照等保2.0定级指南要求,明确指出云上用户应用系统和云服务商云计算平台部分要分别作为单独的定级对象,也就是说云上用户自己的应用系统也要单独进行等保测评 。同时,云等保2.0测评要求的最新变化,测评结论从原有等保1.0时代的“符合、基本符合、不符合”变成现在的“优、良、中、差”,低于70分就是差,70分以上才算基本符合要求,因此及格分数调高了,测评要求也更严格了。对于用户来说想要拿到“优”,必须同时满足以下三个条件:
1、选择的云平台等级测评结论为优;
2、业务应用系统存在的问题中无中、高风险项;
3、得分高于90分(含90分)。
也就是说,用户的等保测评结论与云平台绑定,只有选择测评结论为“优”的云平台,用户才有可能拿到“优”
作为云等保2.0时代的先行者和践行者,阿里云继2016年成为全国唯一一家云计算等保新标准试点示范单位后,又再一次成为全国首家以高分通过公安部权威机构等保2.0测评的云服务商,为云上用户拿“优”奠定了良好基础。
如果用户是自建云平台或传统IDC托管,那么等保中的所有技术条款都要进行测评。如果是IaaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%。如果是PaaS用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%。对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。
综合来讲,云时代因服务模式不同带来的云上用户合规责任的变化,使得公共云用户比自建云平台或传统IDC用户在等保2.0中投入的合规成本大幅降低,并且在PaaS和SaaS服务模式下优势更为突出,可以让用户将更多精力聚焦自身的业务应用系统和数据安全保护上。