续前篇,解读继续:
6、新计算 | 增加云计算安全扩展要求
云计算平台/系统由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。云客户通过安全的通信网络以网络直接访问、API接口访问和WEB服务访问等方式安全访问云服务商提供的安全计算环境;云服务商对设施、硬件、资源抽象层、虚拟化计算资源层、软件平台及应用软件有不同安全要求,云计算安全扩展要求主要增加了虚拟网络之间安全隔离、虚拟化安全监测、虚拟机之间资源安全隔离、云计算环境安全管理、数据安全、剩余信息保护、镜像快照保护,对物理资源和虚拟资源按照策略做统一管理调度与分配等安全管控。
7、新应用 | 增加移动互联安全扩展要求
调整新增无线边界控制、入侵防范、移动终端管控、移动应用管控、移动应用软件采购、移动应用软件开发、配置管理等安全要求。
8、新融合 | 增加物联网安全扩展要求
调整新增感知节点设备安全、区域边界接入控制、入侵防范、抗数据重放、数据融合处理、感知节点运维管理等安全要求。
9、新制造 | 增加工业控制系统安全扩展要求
调整新增室外设备和现场设备的防护要求,新增单向隔离技术、数据交换加密认证、访问控制、数据加密传输、拨号控制、无线控制等安全要求。
10、参考大数据安全架构,逐步细化大数据安全
大数据应用是基于大数据平台对数据的处理过程,通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节,上述各个环节均需要对数据进行保护,通常需考虑的安全控制措施包括数据采集授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分级分类销毁机制等安全要求。
11、调整安全管理策略,形成管理体系
描述网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。形成由安全策略、管理制度、操作规程、记录表单等构成全面的安全管理制度体系。在“第二级”以上安全建设管理,应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定,在“第三级”以上要求每年等级保护测评及整改。
12、补充了应用场景说明,实践证明可行性
(1) 云计算应用场景说明
云计算在不同的服务模式(SaaS、PaaS、IaaS)中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。在基础设施即服务模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在平台即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。
(2) 工业控制系统应用场景说明
工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。
(3) 移动互联应用场景说明
采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为,后台的移动终端管理系统负责对移动终端的管理,包括向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略等。
(4)物理网应用场景说明
物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点,或RFID标签和RFID读写器,也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线)部分;网络传输层包括将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网等,以及几种不同网络的融合;处理应用层包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务。对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。
(5) 大数据应用场景说明
大数据系统通常由大数据平台、大数据应用以及处理的数据集合构成。大数据系统的特征是数据体量大、种类多、聚合快、价值高,受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成影响,大数据安全涉及大数据平台的安全和大数据应用的安全。
小结
上述十二大项从标准解读角度,标识出标准的重点内容及新增内容。等保2.0系列标准的正式发布,为提升我国网络安全整体水平,促进新技术安全防护能力,有着重要而积极的作用。在等保2.0时代,网御星云提供的网络安全等级保护解决方案广泛应用于各个行业或领域,能够有效指导用户开展网络安全等级保护的建设整改、等级测评等工作,为客户网络安全保驾护航。
文章来源:网御星云
