全面解读“等保2.0”系列（一）：第一级安全通用要求

今天，互联网发展“一日千里”。无论是底层的IT基础设施和新技术，还是我们每天使用的互联网应用，变化快速发生，变革日新月异。与此同时，网络安全日益重要。但是，一直以来，我国在网络安全方面主要依据的是，2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。

　　但是，等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

　　为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

　　5月13日下午，国家市场监督管理总局召开新闻发布会，正式发布等保2.0。根据最新消息，等保2.0将于12月1日正式实施。

　　相比等保1.0，等保2.0不仅加入了对云计算、物联网和移动互联等领域的等级保护规范，而且风险评估、安全监测以及政策、体系、标准等体系相对更完善。日前，天极网记者获得“等保2.0”，将为大家进一步解读该规范。

　　具体说来，新标准分成了5个部分：

　　《网络安全等级保护基本要求第1部分安全通用要求》

　　《网络安全等级保护基本要求第2部分云计算安全扩展要求》

　　《网络安全等级保护基本要求第3部分移动互联安全扩展要求》

　　《网络安全等级保护基本要求第4部分物联网安全扩展要求》

　　《网络安全等级保护基本要求第5部分工业控制系统安全扩展要求》

　　等级保护对象是指网络安全等级保护工作中的对象，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护范围内重要信息系列所涵盖的行业有能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。

　　据悉，等保2.0有5个运行步骤：定级、备案、建设和整改、等级测评、检查。同时，也分5个等级，即信息系统按重要程度由低到高分为5个等级，并分别实施不同的保护策略。

　　一级系统简单，不需要备案，影响程度很小，因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大，比如支付宝、银行总行系统、国家电网系统，有1000个左右;五级系统属国家级、国防类的系统，比如核电站、军用通信系统。

　　一、五级安全保护能力

　　第一级安全保护能力：

　　应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

　　第二级安全保护能力：

　　应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

　　第三级安全保护能力：

　　应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

　　第四级安全保护能力：

　　应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

　　第五级安全保护能力：略

　　二、第一级安全通用要求

　　等保2.0文件指出：安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，应根据安全保护等级实现相应级别的安全通用要求。

　　在第一级安全通用要求中，从安全运维管理、安全建设管理、安全管理人员、安全管理机构、安全管理制度、安全计算环境到安全区域边界、安全通信网络和安全物理环境九个方面。

　　整体来说，这个规定相当细致完备，比如安全计算环境。但是，对安全管理制度并没有很详细的说明，让人有点遗憾。

 

欢迎关注技术公众号：架构师成长营