等保2.0提到的通用、云、大、物、移、工——您属于哪一种?
随着“云、大、物、移、工”等新技术的发展,等保2.0标准和重点保护对象的重新调整和修订意义非常重大,尤其是等级保护对象已从狭义的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、采用移动互联技术的系统以及工业控制系统等新技术领域。
本次重新调整可有效指导网络运营者、网络安全服务机构开展网络安全等级保护方案设计和实施,进而全面提升网络运营者的网络安全防护能力。体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护要求,每个级别均由安全通用要求和安全扩展要求(云、大、物、移、工)构成。
等保安全框架
等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。保证不同安全保护等级的对象具有相应级别的安全保护能力,是安全等级保护的核心。
通用安全从通信网络、网络边界、局域网络内部及各种业务应用平台等各个层次落实各种安全措施,如身份鉴别、访问控制、安全审计、入侵防范等内容,提到了使用密码技术、可信技术等,提到了实现集中的安全管理、安全监控和安全审计等要求,并立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对于检索速度和准确性的需求,还应建立事件分析模型,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击行为的有效防范和追查。
云计算平台/系统由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。云客户通过安全的通信网络以网络直接访问、API接口访问和WEB服务访问等方式安全访问云服务商提供的安全计算环境;云服务商对设施、硬件、资源抽象层、虚拟化计算资源层、软件平台及应用软件有不同安全要求,云计算安全扩展要求主要增加了虚拟网络之间安全隔离、虚拟化安全监测、虚拟机之间资源安全隔离、云计算环境安全管理、数据安全、剩余信息保护、镜像快照保护,对物理资源和虚拟资源按照策略做统一管理调度与分配等安全管控。
云安全框架
大数据及平台安全
大数据应用是基于大数据平台对数据的处理过程,通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节,上述各个环节均需要对数据进行保护,通常需考虑的安全控制措施包括数据采集授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分级分类销毁机制等安全要求。
大数据安全框架
物联网安全
物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点,或RFID标签和RFID读写器,也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线)部分;网络传输层包括将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网等,以及几种不同网络的融合;处理应用层包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。物理网安全扩展要求涉及的控制点包括物理防护、感知网的入侵防范、感知网的接入控制、感知节点设备安全、抗数据重放、数据融合处理和感知节点的安全管理。
物联网安全框架
移动互联安全
采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为,后台的移动终端管理系统负责对移动终端的管理,包括向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略等。移动互联安全扩展要求涉及的控制点包括无线接入点的物理环境、无线与有线之间的边界防范、无线接入安全管控、终端准入控制、移动端应用安全管控、移动端数据安全管控、移动应用软件采购、开发和配置的安全管理。
移动互联安全框架
工控系统安全
工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等,工控安全服务包括安全咨询、漏扫、风险评估等。
中国在2019年政府工作报告中首次提出了“智能+”的概念,提升生产制造业,大力推动重点行业智能制造标准,到2020年,力争建立起较为完善的智能制造标准体系,基本实现基础共性标准和关键技术标准全覆盖,并在制造业全领域推广应用。
工控安全架构
自2016年《网络安全法》颁布后,其明确的“国家实行网络安全等级保护制度”、“关键信息基础设施,在等级保护制定的基础上,实行重点保护”等内容,为网络安全等级保护工作赋予了新的内涵。网络安全不是孤立的,而是一个生态系统,做好等保工作合理地规避或降低风险不但是为了企业本身负责,更是为了国家网络安全负责,等保无小事,责任大于天!