等級保護2.0標準高校網(wǎng)絡(luò)安全有哪些注意事項你知道嗎

IT審計組時代新威【等保資訊】網(wǎng)絡(luò)安全等級保護2.0標準體系01前言在當前信息時代，信息技術(shù)在各行各業(yè)的經(jīng)營與管理領(lǐng)域得到了廣泛與深入的運用，信息系統(tǒng)的穩(wěn)定可靠運行、應(yīng)用系統(tǒng)中敏感業(yè)務(wù)信息的保護已逐步成為企業(yè)管理者關(guān)注的焦點，企業(yè)開始應(yīng)用IT審計來保證信息系統(tǒng)安全性與有效性。等級保護2.0標準主要特點用戶可以在投影儀或者計算機上進行演示也可以將演示文稿打印出來制作成膠片以便應(yīng)用到更廣泛的領(lǐng)域中用戶可以在投影儀或者計算機上進行演示也可以將演示文稿打印出來制作成膠片以便應(yīng)用到更廣泛的領(lǐng)域中首先，我們來看看網(wǎng)絡(luò)安全等級保護2.0的主要標準，如下圖：等級保護2.0標準主要特點說起網(wǎng)絡(luò)安全等級保護2.0標準的特點，馬力副研究員表示，主要體現(xiàn)在以下三個方面：一是，對象范圍擴大。新標準將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標準范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴展要求”的要求內(nèi)容。二是，分類結(jié)構(gòu)統(tǒng)一。新標準“基本要求、設(shè)計要求和測評要求”分類框架統(tǒng)一，形成了“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”支持下的三重防護體系架構(gòu)。三是，強化可信計算。新標準強化了可信計算技術(shù)使用的要求，把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求?！皹藴蕪囊患壍剿募壢刻岢隽丝尚膨炞C控件。但在標準的試用期間，對于可信驗證的落地還存在諸多挑戰(zhàn)。所以，我們希望與這次參會的所有硬件廠商、軟件廠商、安全服務(wù)商共同努力，把可信驗證、可信計算這方面的產(chǎn)品產(chǎn)業(yè)化，來更好地支撐新標準?！瘪R力副研究員說到。等級保護2.0標準的十大變化隨后，他為大家解讀了等級保護2.0標準的十大變化，具體如下：1、名稱的變化從原來的《信息系統(tǒng)安全等級保護基本要求》改為《信息安全等級保護基本要求》，再改為《網(wǎng)安全等級保護基本要求》。2、對象的變化原來的對象是信息系統(tǒng)，現(xiàn)在等級保護的對象是網(wǎng)絡(luò)和信息系統(tǒng)。安全等級保護的對象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施(廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)絡(luò)等)、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等。3、安全要求的變化由“安全要求”改為“安全通用要求和安全擴展要求”。安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，成為安全擴展要求。等級保護2.0標準主要特點4、章節(jié)結(jié)構(gòu)的變化第三級安全要求的目錄與之前版本明顯不同，以前包含技術(shù)要求、管理要求。現(xiàn)在的目錄包含：安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求。對此，馬力副研究員指出：“別小看只是目錄架構(gòu)的變化，這導(dǎo)致整個新標準的使用不同。1.0標準規(guī)定技術(shù)要求和管理要求全部實現(xiàn)。現(xiàn)在需要根據(jù)場景選擇性的使用通用要求+某一個擴展要求?！?、分類結(jié)構(gòu)的變化在技術(shù)部分，由物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全，變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心;在管理部分，結(jié)構(gòu)上沒有太大的變化，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理，調(diào)整為安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。等級保護2.0標準主要特點6、增加了云計算安全擴展要求云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。對云計算環(huán)境主要增加的內(nèi)容包括：基礎(chǔ)設(shè)施的位置、虛擬化安全保護、鏡像和快照保護、云服務(wù)商選擇和云計算環(huán)境管理等方面。7、增加了移動互聯(lián)網(wǎng)安全擴展要求移動互聯(lián)安全擴展要求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求。對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括：無線接入點的物理位置、移動終端管控、移動應(yīng)用管控、移動應(yīng)用軟件采購和移動應(yīng)用軟件開發(fā)等方面。8、增加了物聯(lián)網(wǎng)安全擴展要求物聯(lián)網(wǎng)安全擴展要求章節(jié)針對物聯(lián)網(wǎng)的特點提出特殊保護要求。對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括：感知節(jié)點的物理防護、感知節(jié)點設(shè)備安全、感知網(wǎng)關(guān)節(jié)點設(shè)備安全、感知節(jié)點的管理和數(shù)據(jù)融合處理等方面。等級保護2.0標準主要特點9、增加了工業(yè)控制系統(tǒng)安全擴展要求工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護需求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括：室外控制設(shè)備防護、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全、撥號使用控制、無線使用控制和控制設(shè)備安全等方面。10、增加了應(yīng)用場景的說明增加附錄C描述等級保護安全框架和關(guān)鍵技術(shù)，增加附錄D描述云計算應(yīng)用場景，附錄E描述移動互聯(lián)應(yīng)用場景，附錄F描述物聯(lián)網(wǎng)應(yīng)用場景，附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場景，附錄H描述大數(shù)據(jù)應(yīng)用場景(安全擴展要求)。等級保護2.0標準的主要框架和內(nèi)容為了讓大家更為直觀的了解等級保護2.0標準的主要框架和內(nèi)容，我重點通過PPT來闡述。首先來看看新標準結(jié)構(gòu)：等級保護2.0標準的主要框架和內(nèi)容2008版基本要求文檔結(jié)構(gòu)如下：新基本要求文檔結(jié)構(gòu)如下：等級保護2.0標準的主要框架和內(nèi)容安全通用要求中的安全物理部分變化不大，見下面：等級保護2.0標準的主要框架和內(nèi)容網(wǎng)絡(luò)試用版到***版被拆分了三個部分：安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心。安全管理中心在強調(diào)集中管控的時候，再次強調(diào)了系統(tǒng)管理，審計管理，安全管理，構(gòu)成新的標準內(nèi)容。具體如下：等級保護2.0標準的主要框架和內(nèi)容等級保護2.0標準的主要框架和內(nèi)容演講***，馬力副研究員對幾個擴展要求進行了總結(jié)展示。他強調(diào)，GB/T22239