自1994年第“147号令”,我国开始实施信息系统等级保护。十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。
自1994年第“147号令”,我国开始实施信息系统等级保护。十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。
《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。
等保2.0构建以可信计算技术为基础的等级保护核心技术体系,强化了可信体系的这一重要思想 。
通用要求包括安全通用要求,云计算安全扩展要求,移动互联安全扩展要求,物联网安全扩展要求,工业控制系统安全扩展要求。等保2.0通用要求的核心是优化。
新增重点内容
云计算应用场景说明
应将具有统一安全责任单位的大数据作为一个整体对象定级。
大数据系统构成
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层要素。
移动互联技术应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级 。
移动互联应用架构
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
注:该图为工业控制系统经典层次模型参考IEC62264-1,但随着工业4.0,信息物理系统的发展,已不能完全适用,因此对于不同的行业企业实际发展情况,允许部分层级合并。
功能层次模型
返回
顶部