陳 曉 代琪怡

（電子科技大學成都學院，四川 成都611731）

1 概述

2008 年6 月19 日，我國發(fā)布了GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》，并于2008 年11 月1日正式實施。我們稱該標準為“等保1.0”，該標準作為第一代等級保護，詳細定義了信息安全子類的安全標準、基本標準以及相應的標準解讀。為網(wǎng)絡安全服務了十年。

但隨著網(wǎng)絡安全的攻防對抗，傳統(tǒng)的等級保護1.0 已經(jīng)不能滿足信息安全的要求，在AI 和物聯(lián)網(wǎng)的快速發(fā)展下，眾多潛在的安全問題暴露出來，顯然原來發(fā)布的等保1.0 標準已經(jīng)不再適用于當前的網(wǎng)絡要求。

為了適應快速發(fā)展的網(wǎng)絡架構(gòu)以及復雜多變的網(wǎng)絡環(huán)境，為了對等級保護1.0 做有效的梳理和升級，也為了適應信息安全中新領域中新技術(shù)、新架構(gòu)安全擴展需求我國在2019 年5 月10 日發(fā)布了GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》，并于2019 年12 月1 日正式實施。該標準被稱為“等保2.0”，同等保1.0 一樣與之配套的系列標準還有5 個，這一系列的在原有基礎上對相應的內(nèi)容做了合并對新的技術(shù)安全需求做了擴展。

2 等保2.0 和等保1.0 的區(qū)別與變化

2.1 標準名稱變更

等保1.0 標準名稱由“信息安全”變更為“網(wǎng)絡安全”由此可見新的標準對網(wǎng)絡架構(gòu)和網(wǎng)絡環(huán)境做了擴展。

2.2 等級保護對象變更

圖1

圖2

等保2.0 保護對象與等保1.0 相比更為廣泛，由“信息”拓展和依托于“網(wǎng)絡”，與之相匹配的網(wǎng)絡信息、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)甚至區(qū)塊鏈都在其標準范疇中。

2.3 控制結(jié)構(gòu)變更

等保1.0 和等保2.0 的技術(shù)要求和管理要求中，對對通信環(huán)境、區(qū)域邊界、計算環(huán)境都提出了新要求和擴展，顯然等保2.0更傾向與復雜多變的網(wǎng)絡環(huán)境，同時對新的技術(shù)物聯(lián)網(wǎng)、AI 安全、工業(yè)控制提出安全擴展要求(圖1)。

2.4 安全要求變更

由原來的安全要求變更為安全通用要求，同時增加了針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)四個方面提出的安全擴展要求。

3 物聯(lián)網(wǎng)安全擴展要求

物聯(lián)網(wǎng)安全擴展要求是從安全物理環(huán)境、安全區(qū)域邊界、安全計算環(huán)境和安全運維管理四個方面進行描述的。

3.1 感知節(jié)點設備物理防護：第1、2 級的要求一樣，都要求感知節(jié)點設備所處的物理環(huán)境不對其造成物理破壞、工作狀態(tài)所處的物理環(huán)境能正確反映環(huán)境狀態(tài)；第3、4 級的要求在此基礎之上增加了感知節(jié)點設備工作狀態(tài)所處的物理環(huán)境不能對其正常工作造成影響、具備可長時間工作的電力供應。

3.2 接入控制：第1 至4 級的要求都一樣，只有授權(quán)的感知節(jié)點可以接入。

3.3 入侵防范：從第2 級開始要求，要求限制與感知節(jié)點和網(wǎng)關(guān)節(jié)點通信的目標地址。

3.4 安全計算環(huán)境的四項要求只針對第3、4 級提出，只有在“數(shù)據(jù)融合處理”上第4 級多一條要求，應對不同數(shù)據(jù)之間的依賴關(guān)系和制約關(guān)系等進行智能處理。

3.5 感知節(jié)點管理：第1 級對安全人員提出要起；第2 級新增了對感知節(jié)點設備和網(wǎng)關(guān)節(jié)點設備的要求；第3、4 級新增了保密性管理的要求（圖2）。

4 物聯(lián)網(wǎng)安全的防護措施

4.1 物聯(lián)網(wǎng)構(gòu)成

物聯(lián)網(wǎng)分為感知層、網(wǎng)絡傳輸層和處理應用層三個邏輯層。

感知層包括傳感器節(jié)點和傳感網(wǎng)網(wǎng)關(guān)節(jié)點，網(wǎng)絡傳輸層包括將感知數(shù)據(jù)遠距離傳輸?shù)教幚碇行牡木W(wǎng)絡，處理應用層包括對感知數(shù)據(jù)進行存儲與智能處理的平臺，并對業(yè)務應用終端提供服務。

網(wǎng)絡傳輸層和處理應用層按照安全通用要求進行保護，感知層按照安全通用要求和安全擴展要求進行保護（圖3）。

圖3

4.2 物聯(lián)網(wǎng)安全的防護措施

從總體上講，要構(gòu)建安全的物聯(lián)網(wǎng)架構(gòu)，針對物聯(lián)網(wǎng)各層的特點打造高效的安全體系。在處理應用層和網(wǎng)絡傳輸層采用認證機制，在傳輸過程中采取加密機制；在感知層上加強傳感網(wǎng)機密性安全控制與節(jié)點認證，加強入侵監(jiān)測與安全路由控制。還可以通過代理防火墻和過濾防火墻來保護物聯(lián)網(wǎng)網(wǎng)絡信息的安全。最后是政府相關(guān)部門加大對網(wǎng)絡安全技術(shù)研發(fā)的支持力度，并且進一步完善法律法規(guī)。