5月13日，市场监督管理总局、中国标准化管理委员会召开标准新闻发布会，正式发布了《信息安全技术 网络安全等级保护基本要求》，并于2019年12月1日开始正式实施，这标志着等级保护工作正式步入新的阶段——等保2.0时代。

技术要求

技术要求分类体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护, 同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

1）安全物理环境

安全通用要求中的安全物理环境部分是针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等; 涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

2）安全通信网络

安全通用要求中的安全通信网络部分是针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等; 涉及的安全控制点包括网络架构、通信传输和可信验证。

3）安全区域边界

安全通用要求中的安全区域边界部分是针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等; 涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

4）安全计算环境

安全通用要求中的安全计算环境部分是针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象, 包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等; 涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

5）安全管理中心

安全通用要求中的安全管理中心部分是针对整个系统提出的安全管理方面的技术控制要求, 通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

管理要求

管理要求分类体现了从要素到活动的综合管理思想。安全管理需要的“ 机构” 、“ 制度” 和“ 人员” 三要素缺一不可, 同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。对级别较高的等级保护对象需要构建完备的安全管理体系。

1）安全管理制度

安全通用要求中的安全管理制度部分是针对整个管理制度体系提出的安全控制要求, 涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

2）安全管理机构

安全通用要求中的安全管理机构部分是针对整个管理组织架构提出的安全控制要求, 涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

3）安全管理人员

安全通用要求中的安全管理人员部分是针对人员管理模式提出的安全控制要求, 涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

4）安全建设管理

安全通用要求中的安全建设管理部分是针对安全建设过程提出的安全控制要求, 涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

5）安全运维管理

安全通用要求中的安全运维管理部分是针对安全运维过程提出的安全控制要求, 涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。《GB/T 22239-2019》提出的安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

（1）云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“ 基础设施的位置” 、“ 虚拟化安全保护” 、“ 镜像和快照保护” 、“ 云计算环境管理” 和“ 云服务商选择” 等。

（2）移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“ 无线接入点的物理位置” 、“ 移动终端管控” 、“ 移动应用管控” 、“ 移动应用软件采购”等。

（3）物联网安全扩展要求针对物联网的特点提出。主要内容包括“ 感知节点的物理防护” 、“ 感知节点设备安全” 、“ 网关节点设备安全” 、“ 感知节点的管理” 和“ 数据融合处理” 等。

（4）工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“ 室外控制设备防护” 、“ 工业控制系统网络架构安全” 、“ 拨号使用控制” 、“ 无线使用控制” 和“ 控制设备安全” 等。