網絡安全等級保護2.0標準體系研究

劉惠穎，李井泉

(1.國網河北省電力有限公司電力科學研究院，石家莊 050021;2.國網河北省電力有限公司，石家莊 050021)

2019年5月13日網絡安全等級保護2.0國家標準正式發布，信息安全技術與網絡安全保護邁入2.0時代。2019年9月16日，中共中央總書記、國家主席、中央軍委主席習近平對國家網絡安全宣傳周作出重要指示，強調舉辦網絡安全宣傳周、提升全民網絡安全意識和技能，這是國家網絡安全工作的重要內容。要堅持促進發展和依法管理相統一，既大力培育人工智能、物聯網、下一代通信網絡等新技術新應用，又積極利用法律法規和標準規范引導新技術應用。

以下針對我國網絡安全等級保護發展現狀，闡述網絡等級保護2.0標準的特點和變化以及框架及內容，綜述網絡安全等級在網絡系統的應用。

1 網絡等級保護2.0標準概況

網絡安全等級保護制度是中國網絡安全的基石，《網絡安全法》明確規定我國實行網絡安全等級保護制度。標志著國家網絡安全等級保護制度進入2.0時代。國家網絡安全等級保護制度2.0國家新標準包括GB/T 22239-2019《網絡安全等級保護基本要求》、GB/T 25070-2019《網絡安全等級保護安全設計技術要求》、GB/T 28448-2019《網絡安全等級保護測評要求》，進一步明確網絡安全定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求。增加了測評活動安全管理、網絡服務管理、產品服務采購使用管理、技術維護管理、監測預警和信息通報管理、數據和信息安全保護要求、應急處置要求等內容。該標準是指導用戶開展網絡安全等級保護建設整改、等級測評等工作的核心標準，是開展新時代網絡安全等級保護工作的前提。

2 網絡等級保護2.0標準框架及內容

2.1 安全通用要求框架結構

《網絡安全等級保護基本要求》、《網絡安全等級保護測評要求》和《網絡安全等級保護安全設計技術要求》3個標準，基本要求文檔框架見圖1。

圖1 安全通用要求框架結構

2.2 安全技術內容

2.2.1 安全物理環境

該部分是針對物理機房提出的安全控制要求。安全物理環境包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。在安全物理環境的對比方面，網絡等級保護2.0控制點比網絡等級保護1.0控制點在物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護上更加具有優越性。

2.2.2 安全通信網絡

該部分是針對通信網絡提出的安全控制要求。安全通信網絡的安全控制點包括網絡架構、通信傳輸和可信驗證。在安全通訊網絡的對比方面，網絡等級保護2.0控制點比網絡等級保護1.0控制點在網絡安全中的結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護上更加優越。

2.2.3 安全區域邊界

該部分是針對網絡邊界提出的安全控制要求。安全區域邊界的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。增加了可行驗證使性能得以提升。

2.2.4 安全計算環境

該部分是針對邊界內部提出的安全控制要求。安全計算環境的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護。網絡等級保護2.0在主機安全和安全計算環境上進行了優化，保障了數據完整，數據保密，數據備份恢復，剩余信息保護和個人信息保護。

2.2.5 安全管理中心

安全通用要求中的安全管理中心部分新增了系統管理、審計管理、安全管理和集中管控，性能得以提升，安全保障力度更大。

2.2.6 安全管理要求

網絡等級保護2.0中安全管理要求相比網絡等級保護1.0變化不大，適當調整和增加了漏洞和風險管理、配置管理、外包運維管理等內容。

3 網絡等級保護2.0標準的特點和變化

3.1 網絡安全等級保護2.0標準體系組成

網絡安全等級保護2.0標準體系有下列標準組成：網絡安全等級保護條例(總要求/上位文件)、計算機信息系統安全保護等級劃分準則(GB 17859-1999)(上位標準)、網絡安全等級保護實施指南(GB/T 25058)(正在修訂)、網絡安全等級保護定級指南(GB/T 22240)(正在修訂)、網絡安全等級保護測評要求(GB/T 28448-2019)、網絡安全等級保護設計技術要求(GB/T 25070-2019)、網絡安全等級保護測評過程指南(GB/T 28449-2018)、網絡安全等級保護基本要求(GB/T 22239-2019)。

3.2 網絡安全等級保護2.0標準特點

作為支撐網絡安全等級保護2.0的新標準《網絡安全等級保護基本要求》、《網絡安全等級保護測評要求》和《網絡安全等級保護安全設計技術要求》具有如下3個特點。

3.2.1 對象范圍擴大

網絡安全等級保護2.0標準將云計算、移動互聯、物聯網、工控系統等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的要求內容，在網絡安全等級保護1.0標準的基礎上提出了新要求。

3.2.2 分類結構統一

網絡安全等級保護2.0標準“基本要求、設計要求和測評要求”分類框架統一，形成了“安全通信網絡”、“安全區域邊界”、“安全計算環境”、“安全管理中心”支持下的三重防護體系結構，強化了建立縱深防御和精細防御體系的思想。

3.2.3 強化可信計算

網絡安全等級保護2.0標準強化了可信計算技術使用的要求，把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求 ，強調通過密碼技術、可信驗證、安全審計和態勢感知等建立主動防御體系的期望。

3.3 網絡安全等級保護2.0標準變化

《網絡安全等級保護基本要求》、《網絡安全等級保護測評要求》和《網絡安全等級保護安全設計技術要求》3個核心標準比較于舊標準，無論是在總體結構方面還是在細節內容方面均發生了變化。總體結構方面主要變化為以下6個方面[1]。

a.名稱變化 。在網絡安全等級保護1.0中名稱為《信息系統安全等級保護基本要求》，后更改為《信息安全等級保護基本要求》，最后為了與《網絡安全法》保持一致，網絡安全等級保護2.0中更改標準名稱為《網絡安全等級保護基本要求》。

b.對象變化。在網絡安全等級保護1.0中對象為信息系統，網絡安全等級保護2.0中改為等級保護對象(網絡和信息系統)，其中包括網絡基礎設施(廣電網、電信網、專用通信網組等)、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統，移動互聯技術系統等。

c.安全要求變化。在網絡安全等級保護1.0中為安全要求，網絡安全等級保護2.0中改為安全通用要求和安全擴展要求 ，主要是對云計算、移動互聯、物聯網和工控系統提出了特殊要求。其中安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求。安全通用要求是不管等級保護對象形態如何必須滿足的要求[2]。

d.章節結構變化。章節結構中增加了第8部分第三級安全要求 ，其中8.1、8.2、8.3、8.4、8.5為增加內容。

e.分類結構變化。分類結構中技術部分，網絡安全等級保護1.0中的“物理安全”、“網絡安全”、“主機安全”、“應用安全”和“數據安全和備份與恢復”，網絡安全等級保護2.0中修訂為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心。管理部分，網絡安全等級保護1.0中的“安全管理制度”、“安全管理機構”、“人員安全管理”、“系統建設管理”和“系統運維管理”修訂為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

f.增加了應用場景的說明。應用場景的說明包括了附錄C、附錄D、附錄E、附錄F、附錄G、附錄H。增加附錄C描述等級保護安全框架和關鍵技術、增加附錄D描述云計算應用場景、附錄E描述移動互聯應用場景、附錄F描述物聯網應用場景、附錄G描述工業控制系統應用場景、附錄H描述大數據應用場景[3- 4]。

4 基于網絡安全等級保護2.0標準的企業網絡安全體系構建

構建網絡安全防護體系，能提高企業網絡安全防護能力，節約運行成本，促進企業網絡穩定運行。因此，企業應合理規劃網絡安全防護體系，在設計過程中，應嚴格遵守網絡安全等級保護2.0標準體系的原則，體系化設計原則、技術管理并重原則、安全區域劃分原則等幾項原則。

首先，等級保護原則。在設計網絡安全防護體系時，要嚴格遵守教育部門及公安部門信息系統安全等級確定方法，嚴格按照和應用系統對應的防護能力進行構建，使網絡安全防護體系更科學、更規范。其次，體系化設計原則。根據安全集成形式，不斷完善技術體系和管理體系。再次，安全區域劃分原則。在保障網絡安全前提下，根據現有網絡安全管理模式，合理劃分網絡安全區域，完善網絡安全管理體系。最后，技術管理并重原則將技術體系和管理體系相結合，形成雙重安全防護措施，增強網絡安全防護能力，同時還需要結合運行管理機制、專業技術培訓、網絡安全制度以及安全觀念的引導，不斷完善網絡安全防護體系，提高網絡安全防護能力。

5 結束語

國家電網有限公司作為國有特大型企業和關鍵信息基礎設施運營單位，網絡安全工作任重而道遠。加強基于網絡安全等級保護2.0網絡安全體系建設，嚴格遵守等級保護2.0原則，完善網絡安全技術，依法依規開展網絡安全防護工作，才能應對網絡安全形勢之萬變，在瞬息萬變的網絡安全復雜環境下占據主動，保障企業網絡穩定運行，推動企業可持續發展。