網(wǎng)絡安全等級保護2.0標準體系研究

劉惠穎，李井泉

(1.國網(wǎng)河北省電力有限公司電力科學研究院，石家莊 050021;2.國網(wǎng)河北省電力有限公司，石家莊 050021)

2019年5月13日網(wǎng)絡安全等級保護2.0國家標準正式發(fā)布，信息安全技術與網(wǎng)絡安全保護邁入2.0時代。2019年9月16日，中共中央總書記、國家主席、中央軍委主席習近平對國家網(wǎng)絡安全宣傳周作出重要指示，強調舉辦網(wǎng)絡安全宣傳周、提升全民網(wǎng)絡安全意識和技能，這是國家網(wǎng)絡安全工作的重要內容。要堅持促進發(fā)展和依法管理相統(tǒng)一，既大力培育人工智能、物聯(lián)網(wǎng)、下一代通信網(wǎng)絡等新技術新應用，又積極利用法律法規(guī)和標準規(guī)范引導新技術應用。

以下針對我國網(wǎng)絡安全等級保護發(fā)展現(xiàn)狀，闡述網(wǎng)絡等級保護2.0標準的特點和變化以及框架及內容，綜述網(wǎng)絡安全等級在網(wǎng)絡系統(tǒng)的應用。

1 網(wǎng)絡等級保護2.0標準概況

網(wǎng)絡安全等級保護制度是中國網(wǎng)絡安全的基石，《網(wǎng)絡安全法》明確規(guī)定我國實行網(wǎng)絡安全等級保護制度。標志著國家網(wǎng)絡安全等級保護制度進入2.0時代。國家網(wǎng)絡安全等級保護制度2.0國家新標準包括GB/T 22239-2019《網(wǎng)絡安全等級保護基本要求》、GB/T 25070-2019《網(wǎng)絡安全等級保護安全設計技術要求》、GB/T 28448-2019《網(wǎng)絡安全等級保護測評要求》，進一步明確網(wǎng)絡安全定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求。增加了測評活動安全管理、網(wǎng)絡服務管理、產(chǎn)品服務采購使用管理、技術維護管理、監(jiān)測預警和信息通報管理、數(shù)據(jù)和信息安全保護要求、應急處置要求等內容。該標準是指導用戶開展網(wǎng)絡安全等級保護建設整改、等級測評等工作的核心標準，是開展新時代網(wǎng)絡安全等級保護工作的前提。

2 網(wǎng)絡等級保護2.0標準框架及內容

2.1 安全通用要求框架結構

《網(wǎng)絡安全等級保護基本要求》、《網(wǎng)絡安全等級保護測評要求》和《網(wǎng)絡安全等級保護安全設計技術要求》3個標準，基本要求文檔框架見圖1。

圖1 安全通用要求框架結構

2.2 安全技術內容

2.2.1 安全物理環(huán)境

該部分是針對物理機房提出的安全控制要求。安全物理環(huán)境包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。在安全物理環(huán)境的對比方面，網(wǎng)絡等級保護2.0控制點比網(wǎng)絡等級保護1.0控制點在物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護上更加具有優(yōu)越性。

2.2.2 安全通信網(wǎng)絡

該部分是針對通信網(wǎng)絡提出的安全控制要求。安全通信網(wǎng)絡的安全控制點包括網(wǎng)絡架構、通信傳輸和可信驗證。在安全通訊網(wǎng)絡的對比方面，網(wǎng)絡等級保護2.0控制點比網(wǎng)絡等級保護1.0控制點在網(wǎng)絡安全中的結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡設備防護上更加優(yōu)越。

2.2.3 安全區(qū)域邊界

該部分是針對網(wǎng)絡邊界提出的安全控制要求。安全區(qū)域邊界的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。增加了可行驗證使性能得以提升。

2.2.4 安全計算環(huán)境

該部分是針對邊界內部提出的安全控制要求。安全計算環(huán)境的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復、剩余信息保護和個人信息保護。網(wǎng)絡等級保護2.0在主機安全和安全計算環(huán)境上進行了優(yōu)化，保障了數(shù)據(jù)完整，數(shù)據(jù)保密，數(shù)據(jù)備份恢復，剩余信息保護和個人信息保護。

2.2.5 安全管理中心

安全通用要求中的安全管理中心部分新增了系統(tǒng)管理、審計管理、安全管理和集中管控，性能得以提升，安全保障力度更大。

2.2.6 安全管理要求

網(wǎng)絡等級保護2.0中安全管理要求相比網(wǎng)絡等級保護1.0變化不大，適當調整和增加了漏洞和風險管理、配置管理、外包運維管理等內容。

3 網(wǎng)絡等級保護2.0標準的特點和變化

3.1 網(wǎng)絡安全等級保護2.0標準體系組成

網(wǎng)絡安全等級保護2.0標準體系有下列標準組成：網(wǎng)絡安全等級保護條例(總要求/上位文件)、計算機信息系統(tǒng)安全保護等級劃分準則(GB 17859-1999)(上位標準)、網(wǎng)絡安全等級保護實施指南(GB/T 25058)(正在修訂)、網(wǎng)絡安全等級保護定級指南(GB/T 22240)(正在修訂)、網(wǎng)絡安全等級保護測評要求(GB/T 28448-2019)、網(wǎng)絡安全等級保護設計技術要求(GB/T 25070-2019)、網(wǎng)絡安全等級保護測評過程指南(GB/T 28449-2018)、網(wǎng)絡安全等級保護基本要求(GB/T 22239-2019)。

3.2 網(wǎng)絡安全等級保護2.0標準特點

作為支撐網(wǎng)絡安全等級保護2.0的新標準《網(wǎng)絡安全等級保護基本要求》、《網(wǎng)絡安全等級保護測評要求》和《網(wǎng)絡安全等級保護安全設計技術要求》具有如下3個特點。

3.2.1 對象范圍擴大

網(wǎng)絡安全等級保護2.0標準將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的要求內容，在網(wǎng)絡安全等級保護1.0標準的基礎上提出了新要求。

3.2.2 分類結構統(tǒng)一

網(wǎng)絡安全等級保護2.0標準“基本要求、設計要求和測評要求”分類框架統(tǒng)一，形成了“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”、“安全管理中心”支持下的三重防護體系結構，強化了建立縱深防御和精細防御體系的思想。

3.2.3 強化可信計算

網(wǎng)絡安全等級保護2.0標準強化了可信計算技術使用的要求，把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求 ，強調通過密碼技術、可信驗證、安全審計和態(tài)勢感知等建立主動防御體系的期望。

3.3 網(wǎng)絡安全等級保護2.0標準變化

《網(wǎng)絡安全等級保護基本要求》、《網(wǎng)絡安全等級保護測評要求》和《網(wǎng)絡安全等級保護安全設計技術要求》3個核心標準比較于舊標準，無論是在總體結構方面還是在細節(jié)內容方面均發(fā)生了變化。總體結構方面主要變化為以下6個方面[1]。

a.名稱變化 。在網(wǎng)絡安全等級保護1.0中名稱為《信息系統(tǒng)安全等級保護基本要求》，后更改為《信息安全等級保護基本要求》，最后為了與《網(wǎng)絡安全法》保持一致，網(wǎng)絡安全等級保護2.0中更改標準名稱為《網(wǎng)絡安全等級保護基本要求》。

b.對象變化。在網(wǎng)絡安全等級保護1.0中對象為信息系統(tǒng)，網(wǎng)絡安全等級保護2.0中改為等級保護對象(網(wǎng)絡和信息系統(tǒng))，其中包括網(wǎng)絡基礎設施(廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)組等)、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)，移動互聯(lián)技術系統(tǒng)等。

c.安全要求變化。在網(wǎng)絡安全等級保護1.0中為安全要求，網(wǎng)絡安全等級保護2.0中改為安全通用要求和安全擴展要求 ，主要是對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工控系統(tǒng)提出了特殊要求。其中安全擴展要求包括云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統(tǒng)安全擴展要求。安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求[2]。

d.章節(jié)結構變化。章節(jié)結構中增加了第8部分第三級安全要求 ，其中8.1、8.2、8.3、8.4、8.5為增加內容。

e.分類結構變化。分類結構中技術部分，網(wǎng)絡安全等級保護1.0中的“物理安全”、“網(wǎng)絡安全”、“主機安全”、“應用安全”和“數(shù)據(jù)安全和備份與恢復”，網(wǎng)絡安全等級保護2.0中修訂為安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心。管理部分，網(wǎng)絡安全等級保護1.0中的“安全管理制度”、“安全管理機構”、“人員安全管理”、“系統(tǒng)建設管理”和“系統(tǒng)運維管理”修訂為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

f.增加了應用場景的說明。應用場景的說明包括了附錄C、附錄D、附錄E、附錄F、附錄G、附錄H。增加附錄C描述等級保護安全框架和關鍵技術、增加附錄D描述云計算應用場景、附錄E描述移動互聯(lián)應用場景、附錄F描述物聯(lián)網(wǎng)應用場景、附錄G描述工業(yè)控制系統(tǒng)應用場景、附錄H描述大數(shù)據(jù)應用場景[3- 4]。

4 基于網(wǎng)絡安全等級保護2.0標準的企業(yè)網(wǎng)絡安全體系構建

構建網(wǎng)絡安全防護體系，能提高企業(yè)網(wǎng)絡安全防護能力，節(jié)約運行成本，促進企業(yè)網(wǎng)絡穩(wěn)定運行。因此，企業(yè)應合理規(guī)劃網(wǎng)絡安全防護體系，在設計過程中，應嚴格遵守網(wǎng)絡安全等級保護2.0標準體系的原則，體系化設計原則、技術管理并重原則、安全區(qū)域劃分原則等幾項原則。

首先，等級保護原則。在設計網(wǎng)絡安全防護體系時，要嚴格遵守教育部門及公安部門信息系統(tǒng)安全等級確定方法，嚴格按照和應用系統(tǒng)對應的防護能力進行構建，使網(wǎng)絡安全防護體系更科學、更規(guī)范。其次，體系化設計原則。根據(jù)安全集成形式，不斷完善技術體系和管理體系。再次，安全區(qū)域劃分原則。在保障網(wǎng)絡安全前提下，根據(jù)現(xiàn)有網(wǎng)絡安全管理模式，合理劃分網(wǎng)絡安全區(qū)域，完善網(wǎng)絡安全管理體系。最后，技術管理并重原則將技術體系和管理體系相結合，形成雙重安全防護措施，增強網(wǎng)絡安全防護能力，同時還需要結合運行管理機制、專業(yè)技術培訓、網(wǎng)絡安全制度以及安全觀念的引導，不斷完善網(wǎng)絡安全防護體系，提高網(wǎng)絡安全防護能力。

5 結束語

國家電網(wǎng)有限公司作為國有特大型企業(yè)和關鍵信息基礎設施運營單位，網(wǎng)絡安全工作任重而道遠。加強基于網(wǎng)絡安全等級保護2.0網(wǎng)絡安全體系建設，嚴格遵守等級保護2.0原則，完善網(wǎng)絡安全技術，依法依規(guī)開展網(wǎng)絡安全防護工作，才能應對網(wǎng)絡安全形勢之萬變，在瞬息萬變的網(wǎng)絡安全復雜環(huán)境下占據(jù)主動，保障企業(yè)網(wǎng)絡穩(wěn)定運行，推動企業(yè)可持續(xù)發(fā)展。