周年记 | “等保2.0”发布一周年 带来哪些影响和变化?
发布时间 2020-05-142019年5月13日等保2.0三大标准发布,并于2019年12月1日正式实施。在新标准发布之前,新立项的网络安全建设或者整改项目已经预先开始按照新的标准进行推进。在此一周年之际,本文从用户、厂商、产品三个维度出发,详细分析和探讨了自标准发布以来,其所带来的影响和变化。
2019年5月13日下午,网络安全等级保护系列标准(基本要求、设计要求、测评要求)正式发布,并于2019年12月1日正式实施,至此等级保护正式开启了2.0时代。
在等级保护2.0标准发布一周年之际,让我们一起从用户、厂商、产品三个维度来看看标准发布以来都带来哪些影响和变化。
用户角度来看
● 等级保护2.0是什么?
以GB17859-1999《计算机信息系统安全保护等级划分准则 》为根本标准,以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准,推动重要信息系统和基础网络的定级、备案、测评、整改、监督检查等工作,将《基本要求》的2008版本及其配套规范标准称为等保1.0。
网络安全等级保护2.0简称等保2.0,2014年开始启动编制,修订了通用安全要求,增加了云计算、物联网、移动互联网、工控系统、大数据等安全扩展要求,内容包括网络安全等级保护安全通用要求和安全扩展要求,标志着等级2.0时代的到来。
等保2.0在1.0的基础上,注重全方位主动防御、动态防御、整体防控和精准防护,实现对云计算、物联网、移动互联网、工控系统、大数据等保护对象全覆盖。
在等保1.0推行十年之后,绝大部分的行业用户对网络安全等级保护制度已基本有所了解。但是新发布的等保2.0是什么?对用户来说更关心的是等保2.0与1.0的差别是什么?我们需要增加什么产品、服务、措施来满足新标准的要求?如何顺利通过等保2.0的测评?
● 等保2.0有哪些变化?
等保2.0的变化,可以用一句话来总结,就是:“三不变、四变”。
❖ “三不变”之等级保护“五个级别”不变
1999年,我国颁布的强制性标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中规定了计算机系统安全保护能力的五个等级,等级保护1.0和2.0一直沿用这五个等级。
等保2.0五个等级划分依据
❖ “三不变”之等级保护“五个阶段”不变
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布的《信息安全等级保护管理办法》(公通字[2007]43号),规定了开展等级保护的五个步骤:定级、备案、安全建设(或者安全整改)、等级测评、监督检查。等级保护1.0和等级保护2.0都围绕这五个规定步骤落地实施,这五个阶段或者步骤保持不变。
等保2.0五个规定实施步骤
❖ “三不变”之等级保护“主体责任”不变
《信息安全等级保护管理办法》(公通字[2007]43号)中规定了四个主体职责:运营使用单位对定级对象的等级保护职责、上级主管单位对所属单位的安全管理职责、第三方测评机构对定级对象的安全评估职责、公安机关对定级对象的备案受理及监督检查职责,在等级保护2.0中,这四个主体职责保持不变。
“四变”说的是四个主要变化,包括等级保护法律地位发生了变化、实施环节发生了变化、标准要求发生了变化、安全体系发生了变化。
❖ “四变”之法律地位的变化
等保1.0标准依据的最高国家政策是1999年颁布国务院第147号令,等保2.0标准依据的最高国家政策是2017年6月1日颁布的《中华人民共和国网络安全法》,从条例法规层面提升到国家法律层面,这就意味着不开展等级保护的单位和个人等于违法,并要承担相应的法律后果。
《中华人民共和国网络安全法》对网络安全等级保护有明确要求:
第二十一条 国家实行网络安全等级保护制度。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
❖ “四变”之标准要求的变化
等保2.0中使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。等保2.0相较于等保1.0在通用要求部分进行了优化和精简,删除了过时的安全要求项。
等保2.0保护对象范围扩大了,将云计算、物联网、移动互联网、工业控制系统、大数据等列入等级保护范围。
等保2.0将标准在分类结构方面也进行了统一,将“等级保护基本要求”、“等级保护测评要求”、“等级保护设计要求”分类框架统一,三个标准均采用“一个中心、三重防护”的体系架构,包括:安全通信网络、安全区域边界、安全计算环境、安全管理中心。
等保2.0标准强化了可信计算技术的使用要求,在安全通信网络、安全区域边界、安全计算环境、安全管理中心都提及了可信验证,把可信验证列入各个级别并逐级提出了相应的可信验证要求。
等保2.0标准在标准名称、保护对象、安全要求、章节结构、分类结构都发生了变化,增加了云计算、物联网、移动互联网、工业控制系统和大数据等安全扩展要求,同时也增加了对应的应用场景说明。
❖ “四变”之安全保障体系的变化
从被动防御的安全保障体系向事前预防、事中响应、事后审计的动态保障体系转变,更多体现了对抗思维,讲究一切从实战出发,逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系。
从实战出发的动态安全保障体系
❖ “四变”之测评实施的变化
等级保护2.0在测评结果和测评周期方面有所调整。等级保护2.0测评成绩达到70分以上才算基本符合,第三级及以上的系统要求每年开展一次等级测评。
等保2.0测评结论与判定依据
● 针对等保2.0的这些变化,用户需要做哪些工作?
等保2.0的发布对于用户来讲需要做哪些工作呢?原来按照等保1.0标准做的建设需不需要按照新标准进行重新建设?随着保护对象的变化,一些新的信息系统需要进行保护,如何对这些保护对象进行设计和建设呢?
一项新标准的发布,针对用户来说最重要的事情就是要首先了解标准发生了哪些变化,这些变化对我们提出了哪些要求,我们该如何去做。等保2.0的发布对于用户来讲还是关心标准讲了什么内容,这部分随着国家相关部门以及各个安全厂商的不断宣贯,经过近一年的了解和学习,基本都对等保2.0有了深入的了解。站在用户的角度,等保2.0不单在保护对象保护范围上发生了变化,等级保护工作流程也发生了变化。
等级保护2.0不再要求简单自主定级,安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
等级保护2.0定级流程如下:
等保2.0定级流程图
从网络安全厂商角度来看
等保2.0系列标准发布以后,作为参与标准制定的各个安全厂商,也成为等保2.0系列标准宣贯的主力,使得用户对等保2.0的内容和变化有了深入的了解。
从安全厂商的角度来看,等保2.0的落地实施是能够扩大网络安全市场规模。从赛迪顾问2019年2月给出的预测数据来看,国内网络信息安全市场规模在2019年608.1亿元左右。乐观的估计,与等保2.0相关的产业占到50%左右。网络安全市场的主力多年以来均是政策性依赖特别强的行业,如政府、金融、能源、交通等,等保2.0的发布和推广势必会触发网络安全市场的进一步爆发。
赛迪顾问2016-2021国内网络安全市场预测图
● 等保2.0的发布与实施的利好消息
从2014年2月27日中央网络安全和信息化领导小组成立,到2017年6月1日《中华人民共和国网络安全法》正式实施,到2018年3月,中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会,再到2019年5月13日,国家市场监督管理总局召开新闻发布会,期待已久的等保2.0正式发布。
2014年4月15日,习近平总书记在中央国家安全委员会上,首次提出了总体国家安全观,包括11种安全:政治、经济、文化、军事、资源、生态、社会、国土、科技、信息安全、核安全。信息安全(网络安全)成为总体国家安全观的一部分,充分说明了网络空间安全的重要性,对我们的挑战非常大。
从2016年到2018年,国内通讯行业第二大厂商中兴先后两次被美国制裁。2019年,华为被美国列入贸易特殊名单(实体名单),除非获得特殊批准,否则美国企业不得向华为及其附属公司出售一切重要的技术、配件,中断了华为与诸多美国企业合作。这些“卡脖子”事件,对我国IT信息化自主产业生态链的构建,特别是网络安全行业的发展,提供了非常有力的促进和带动作用。
等保2.0正是在一系列政策推动、严峻形势下发布并实施,势必进一步激发国内网络安全市场。网络安全与信息化是一体之两翼,驱动之双轮,等保2.0的实施一定会提升我国网络安全防护水平,提高我国信息化建设的质量和水平,以及维护我国网络空间主权完整。
此外,西方国家对我国信息科技产业的封堵,也势必会激发我国信息化产业的发展。发展IT信息技术,激发创新技术应用,构建我国的信息产业生态圈,建立完善的产业链和生态应用环境,这些都会再次激发网络安全市场的爆发。
● 与等保2.0相关产品与服务
据估计,国内目前已定级的系统中二级约10万个,三级约5万个。针对这些系统的防护,单从产品和服务的角度来看市场容量就相当可观。众多网络安全厂商也纷纷看到了商机,也加大了等保2.0相关的宣传力度,也从市场角度出发全面加强了产品的布局和扩展,特别是在云安全、物联网、移动互联网、工业控制系统、大数据等方面。
网络安全产品和服务全景图
● 网络安全产品
等级保护2.0的发布和实施最大的市场就是网络安全产品市场,从厂商的角度来讲,网络安全厂商往往看重的是网络安全产品的采购和部署,这是等保2.0最大的市场。等保2.0发布除了新增防垃圾邮件、APT、集中管控、可信验证等产品市场外,传统的网络安全市场依然是最大的市场,产品类型包括网络安全类、终端安全类、安全管理类、数据安全类、身份与访问管理类、应用安全类、业务安全类和安全支撑工具类等。
网络安全:防火墙、网闸、IDS/IPS、DDOS、VPN/加密机、安全审计
终端安全:AV、终端管理、EDR、主机加固、移动安全加固
安全管理:态势感知、SOC、日志审计、安全策略管理、基线管理、漏洞管理、网络管理
数据安全:数据防泄露、文档透明加解密、数据库防护与审计、大数据安全管控系统、数据脱敏、数字水印
身份与访问管理:4A、CA认证类、运维审计SSO
应用安全:WEB扫描、WAF、邮件安全网关、网页防篡改、代码审计
业务安全:防欺诈、防钓鱼、UEBA
安全支撑工具:配置核查、等保工具箱、工控工具箱、测评工具箱
● 网络安全服务
等级保护2.0实施之后,等保1.0时期已经通过测评的项目需要过渡到等保2.0标准要求,再加上等保2.0新增的项目需求,等保2.0咨询服务市场又掀起热潮,特别是涉及等级保护2.0标准的咨询项目。等保2.0涉及的安全服务包括:定级备案咨询服务、差距分析服务、风险评估服务、安全整改咨询服务、协助测评服务和日常运维服务等。
等保2.0还有重要一个市场就是等保测评工作,等保2.0要求三级及以上至少每年测评一次。如果简单按照三级系统测评费10万元估计的话,单测评服务市场规模就有50个亿的市场规模。从网络安全等级保护官方网上可以查询到全国到测评机构有198家之多,包括国家级测评机构(公安部信息安全等级保护评估中心、国家信息技术安全研究中心、中国信息安全测评中心)、行业测评机构(电力行业信息安全等级保护测评中心、教育信息安全等级保护测评中心、中国金融电子化公司测评中心等)和各省直辖市(北京信息安全测评中心、河北省信息安全测评中心、山西省信息化和信息安全评测中心等)的测评队伍,随着等保2.0的不断推进,等级测评工作也是一块不容忽视的市场。
等保2.0安全服务示意图
● 等保2.0网络安全整体解决方案
等级保护制度推行十多年以来,各个安全厂商均推出了信息系统安全整体解决方案,在等保2.0新标准发布之后,各个安全厂商也纷纷推出了基于等保2.0网络安全整体解决方案,进一步抢占网络安全市场份额。
等保2.0整体解决方案包括:等保2.0咨询服务、等保2.0解决方案、等保2.0产品集成、等保2.0安全运维服务和重大时期安全保障服务以及相关的产品和服务。
纵观整个网络安全市场,从营收增长率上来看,网络安全行业依然保持稳定的增长态势,半数以上的上市企业营收高速增长,增速超过20%,个别大体量企业达到30%-40%以上的增速,这也说明了网络安全行业的繁荣。
等保2.0整体解决方案示意图
从网络安全产品角度来看
等保2.0从标准要求的角度提出不少产品类型,如:APT、可信验证、集中管控、入侵防范、防垃圾邮件、集中日志审计等。新增产品的市场容量大概在200亿元左右,而最大的热点在可信验证,新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的可信验证要求。
● 可信验证类产品和技术
等保2.0的核心思想是基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
安全通信网络可信验证:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
安全区域边界可信验证:可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
安全计算环境可信验证:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证 。
可信验证技术要求
可信验证从技术实现上具有标准的前瞻性,等保2.0发布以后,无论是厂商、用户、监管单位等,都对可信验证产生很多疑问。可信验证到底是什么,如何实现可信验证成为最大难题。等保2.0的一至四级均新增“可信验证”控制点,通过可信计算技术来实现对系统中应用和配置文件、参数进行验证,保障系统在可信环境下运行,试图解决信息安全核心技术设备受制于人的问题。
无论PC端还是服务器端,无论是网络设备还是安全设备,其概念原型都是基于可信计算的信任传递,类似多年前就提出的概念TCG的“可信计算”。要实现硬件层次的可信验证,当前还是比较有技术难度的。
可信PC可以说基于可信计算的最佳实践,早在十年以前,众多PC厂商已经推出了安全PC或者可信PC的商业化产品。
针对服务器端的可信验证产品,目前不是特别多,而过渡的方案则更多是通过软件来实现可信验证。
而对于网络设备或者安全设备可信验证技术的实现,已经有部分厂商开始大规模推广了,如:可信边界网关,就是通过在主板上的可信芯片建立可信根。从可信根启动开始,到BIOS启动、操作系统加载、应用系统加载,均进行可信验证,如果完整性遭到破坏,则进行自动恢复从而达到系统免疫的效果。
针对等保2.0来说,可信验证技术是一个广阔的蓝海市场,目前在市面上可以直接采购的可信验证技术,还是比较匮乏。服务器端可信验证技术更多是个别厂商在软件上进行实现,而硬件实现的还是单点效应,没有形成规模效益,也没有形成广泛认可的市场,可信验证技术的未来可以说最值得期待的。
● 合规性审计类产品
从某种意义上来讲,等保2.0偏重于事后审计、流量回溯、攻击分析,故新增的产品多与此要求相关。而《中华人民共和国网络安全法》第二十一条 明确要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。
在等保2.0基本要求中,在安全区域边界、安全计算环境、安全管理中心都对安全审计提出了具体要求,也是等级保护测评中的高风险测评项。
安全区域边界:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
安全计算环境:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
安全管理中心:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
针对网络安全审计的需求,等保2.0的发布和实施,目前新增产品市场容量最大的就是审计类的产品,如:终端审计、流量审计、上网行为审计、数据库审计、应用审计、网络运维审计以及综合日志审计等。
● 恶意代码和入侵分析类产品
在等保2.0三级要求 “恶意代码和垃圾邮件防范”中,要求:
1、应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
2、应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
保2.0明确提出了恶意代码检测和查杀的需求,明确要求对垃圾邮件进行安全防护。这部分要求对网络防病毒、终端防病毒、服务器防病毒以及防垃圾邮件网关来讲都是爆发性市场。
而在入侵防范中也明确要求“应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析”,明确了对新型网络攻击行为的检测能力要求,简单来说就是要具备APT的检测能力,能够发现未知恶意代码的能力。
● 集中管控
集中管控是等保2.0新增的要求,具体要求如下:
1、应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
2、应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
3、应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
4、应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
5、应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
6、应能对网络中发生的各类安全事件进行识别、报警和分析。
这里讲的集中管控并不是一个产品或者多个产品,而是管理要求在技术上的实现,涉及到的技术包括VPN、堡垒机、日志审计、终端管理软件、安全管理中心或者安全态势感知平台等多种技术。等保2.0的发布和实施,使得多种技术和产品得到广泛的应用和部署,促进此类产品的进一步发展,也会促进网络安全防护水平的进一步提升。
等级保护新标准无论对用户、厂商、监管方来讲都是一个新的课题和挑战,在不断地探索中逐步适应。针对用户来讲,要在深刻了解监管要求的基础上,完成安全整改和建设,避免不必要的法律法规风险和信息安全风险。针对厂商来讲,等保2.0的是一个巨大的蛋糕,每个厂商都想切得比较大的市场份额,势必竞争也很越来越激烈,价格战势必烽烟再起。
等级保护新标准的发布与实施,势必也会对网络安全产品市场起到一个推波助澜的作用,等保1.0时代网络安全产品创新能力不足问题也将得到较大改观,可信验证技术能否成为扭转乾坤的关键技术等这些问题都会随着等保2.0工作的不断推进而得以验证。
我们相信随着等保2.0工作的不断深入,等级保护作为我国治理网络空间的基础性工作必将不断完善,我国的网络安全防护水平必将得到大幅度提升,我国的网络空间主权也将得到有力维护和捍卫。
京公网安备11010802024551号