总体结构的变化
特点1–对象范围扩大
新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+安全扩展要求”的要求内容。
特点2–分类结构统一
新标准“基本要求、设计要求和测评要求”分类框架统一,形成了**“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”**支持下的三重防护体系架构。
特点3–强化可信计算
新标准强化了可信计算技术的使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
一级:可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
四级:可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
1、名称的变化
原来–《信息安全等级保护基本要求》
改为:《网络安全等级保护基本要求》
2、对象的变化
原来:信息系统
改为:等级保护对象(网络和信息系统)
安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
3、安全要求的变化
原来:安全要求
改为:安全通用要求和安全扩展要求
安全通用要求是不管等级对象的形态如何必须满足的要求,
针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
4、分类结构的变化
技术部分:
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
管理部分:
安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
5、增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。
对云计算环境主要增加的内容包括:
基础设施的位置
虚拟化安全保护
镜像和快照保护
云服务商选择
云计算环境管理等方面。
6、增加了移动互联安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。
对移动互联环境主要增加的内容包括:
无线接入点的物理位置
移动终端管控
移动应用管控
移动应用软件采购
移动应用软件开发等方面。
8、增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求
对物联网环境主要增加的内容包括:
感知节点的物理防护
感知节点设备安全
感知网关节点设备安全
感知节点的管理
数据融合处理等方面。
9、增加了工业控制安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求
对工业控制系统主要增加的内容包括:
室外控制设备防护
工业控制系统的网络架构安全
拨号使用控制
无线使用控制
控制设备安全等方面。
