威努特工控安全---等保2.0--向目标更进一步.docx

《信息安全技术信息系统等级保护基本要求》(GB/T22239—2008)进行修订的任务,修订工作由公安部第三研究所(公安部信息安全等级保护评估中心)主要承担,。经过三次专家评审和多次意见修改,形成了最新版本的标准送审稿。2017年10月16日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开期间,威努特作为WG5工作组成员单位,深度参与了公安部三所马力老师对《信息安全技术网络安全等级保护基本要求》(GB/T22239—XXXX代替GB/T22239-2008)送审稿的解读。本次解读的送审稿与2016年9月的征求意见稿比较发生了哪些变化,这些变化对工业控制系统网络安全规划、设计、建设、运维和评估产生哪些影响,接下来小威和您一起探究新标准的新变化。标准整体变化:分册合五为一2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册进行整合编写,形成《信息安全网络安全等级保护基本要求》1个标准文档。《第一部分:安全通用要求》《第二部分:云计算安全扩展要求》《第三部分:移动互联安全扩展要求》《第四部分:物联网安全扩展要求》《第五部分:工业控制系统安全扩展要求》《信息安全网络安全等级保护基本要求》同样,针对设计要求(GB/T25070)与测评要求(GB/T28448)也由5个分册分别整合成一册。由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,为了便于实现对不同级别和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。安全通用要求:牵头单位公安部信息安全等级保护评估中心云计算安全扩展要求:牵头单位公安部信息安全等级保护评估中心移动互联安全扩展要求:牵头单位北京鼎普科技股份有限公司物联网安全扩展要求:牵头单位公安部第一研究所工业控制系统安全扩展要求:,再按照安全等级划分技术要求和管理要求进行阐述,技术要求由物理和环境安全、边界防护、集中管控以及各业务层(生产管理层、过程监控层、现场控制层和现场设备层)的安全要求组成,新版本以安全等级为主线分别以不同业务场景的安全扩展进行阐述,工业控制系统安全扩展不再按业务层次划分,而是在安全通用要求的基础上,扩展相应的安全要求。以第三级基本安全要求为例,对比新旧版本针对工业控制系统安全扩展要求的描述结构变化。7 第三级基本要求 技术要求 物理和环境安全 边界防护 集中管控 生产管理层安全要求 过程监控层安全要求 现场控制层安全要求 现场设备层安全要求 管理要求 8 第三级安全要求 安全通用要求 云计算安全扩展要求 移动互联安全扩展要求 物联网安全扩展要求