千呼萬喚始出來���,2019年5月13日��,國家標準新聞發(fā)布會在市場監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開�,網(wǎng)絡安全等級保護制度2.0標準(以下簡稱 等保2.0標準)正式發(fā)布����,將于2019年12月1日開始實施。 網(wǎng)絡安全等級保護制度是國家網(wǎng)絡安全領域的基本國策�、基本制度和基本方法,等保2.0標準在1.0標準的基礎上���,注重全方位主動防御���、安全可信、動態(tài)感知和全面審計�,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎信息網(wǎng)絡���、云計算����、大數(shù)據(jù)��、物聯(lián)網(wǎng)�����、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋���。 究竟等保2.0標準與等保1.0標準相比���,有哪些變化?又有哪些工作保持不變�?受邀參與等保2.0標準編纂的等保專家、安恒信息王勇�����,是這樣說的���。 等級保護的概念自1994年提出后��,經(jīng)過20多年的發(fā)展和演進�����,在2.0時代已經(jīng)有了不小的變化�����。但萬變不離其宗�����,等級保護的五個等級不變���、五項工作不變����、主體職責不變����。 等級保護五個規(guī)定動作是指:定級、備案�����、建設整改、等級測評�����、監(jiān)督檢查��。等保2.0標準仍然將圍繞這5個規(guī)定動作開展工作��。 網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責不變 近年來���,隨著信息技術的發(fā)展和網(wǎng)絡安全形勢的變化,傳統(tǒng)等保安全要求已無法有效應對安全風險和新技術應用所帶來的新威脅���,以被動防御為主的防御已經(jīng)out了����,急需建立主動保障體系��。等保2.0標準適時而出�����,應對新形勢����、新風險,滿足新要求�����,擴大新內容���。 如此“新”的等保2.0標準����,從法律法規(guī)����、標準要求、安全體系�、實施環(huán)節(jié)等方面都有了“變化”: 從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務院147號令����,而等保2.0標準的最高國家政策是網(wǎng)絡安全法。 《網(wǎng)絡安全法》第二十一條要求�����,國家實施網(wǎng)絡安全等級保護制度;第二十五條要求�,網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案; 第三十一條則要求���,關鍵信息基礎設施���,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護�;第五十九條明確了���,網(wǎng)絡運營者不履行本法第二十一條�����、第二十五條規(guī)定的網(wǎng)絡安全保護義務的����,由有關主管部門給予處罰��。 等保2.0標準在對等保1.0標準基本要求進行優(yōu)化的同時,針對云計算����、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)�����、工業(yè)控制�、大數(shù)據(jù)新技術提出了新的安全擴展要求。也就是說����,使用新技術的信息系統(tǒng)需要同時滿足“通用要求+安全擴展”的要求。并且���,針對新的安全形勢提出了新的安全要求�,標準覆蓋度更加全面����,安全防護能力有很大提升。 通用要求方面��,等保2.0標準的核心是“優(yōu)化”���。刪除了過時的測評項����,對測評項進行合理性改寫,新增對新型網(wǎng)絡攻擊行為防護和個人信息保護等新要求���,調整了標準結構�、將安全管理中心從管理層面提升至技術層面�。 這里我們重點談,安全擴展要求是等保2.0標準的“亮點”���,要求細則必看: 云計算技術的普及��,解決了傳統(tǒng)數(shù)據(jù)中心的存儲難、資源占用大�����、成本高等問題�����,伴隨而來安全風險也非常尖銳�,主要來自于系統(tǒng)和數(shù)據(jù)所有權的轉移,新技術、虛擬環(huán)境等新模式兩方面帶來的風險����。等保2.0標準從原則性、自身防護�����、提供能力三方面提出了要求: 應確保云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)�����;應確保云計算基礎設施位于中國境內����;應確保云服務客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內�,如需出境應遵循國家相關規(guī)定等。 應能檢測到云服務客戶發(fā)起的網(wǎng)絡攻擊行為����,并能記錄攻擊類型、攻擊時間�、攻擊流量等;應能檢測虛擬機之間的資源隔離失效���,并進行告警等�����。 應實現(xiàn)不同云服務客戶虛擬網(wǎng)絡之間的隔離��;應具有根據(jù)云服務客戶業(yè)務需求提供通信傳輸����、邊界防護、入侵防范等安全機制的能力等�。 抗數(shù)據(jù)重放,數(shù)據(jù)融合處理 工業(yè)控制系統(tǒng)隔離與安全區(qū)域劃分 后續(xù),我們還會就新增的擴展要求進行進一步的解讀哦����。 等保2.0標準依然采用“一個中心、三重防護” 的理念�����,從等保1.0標準被動防御的安全體系向事前預防����、事中響應、事后審計的動態(tài)保障體系轉變����。 建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網(wǎng)絡安全綜合防御體系��,開展組織管理����、機制建設、安全規(guī)劃����、通報預警、應急處置����、態(tài)勢感知、能力建設����、監(jiān)督檢查、技術檢測�����、隊伍建設、教育培訓和經(jīng)費保障等工作 ���。 在等級保護定級�、備案��、建設整改�、等級測評、監(jiān)督檢查的實施過程中���,等保2.0標準進行了優(yōu)化和調整�。 等保1.0定級的對象是信息系統(tǒng)��,等保2.0標準的定級的對象擴展至:基礎信息網(wǎng)絡���、工業(yè)控制系統(tǒng)��、云計算平臺�����、物聯(lián)網(wǎng)����、使用移動互聯(lián)技術的網(wǎng)絡����、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺,覆蓋面更廣�。 公民、法人和其他組織的合法權益產(chǎn)生特別嚴重損害時�����,相應系統(tǒng)的等級保護級別從1.0的第二級調整到了第三級�。 等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關備案審查——>最終確定等級”這種線性的定級流程���,系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核�����,才能到公安機關備案��,整體定級更加嚴格�����。 相較于等保1.0���,等保2.0標準測評周期����、測評結果評定有所調整����。等保2.0標準要求,第三級以上的系統(tǒng)每年開展一次測評�����,測評達到75分以上才算基本符合要求��。基本分高了���,要求更嚴苛了�����。 當新技術不斷沖擊傳統(tǒng)安全和傳統(tǒng)等保�����,“與時俱進”的等保2.0標準��,為保障云計算���、大數(shù)據(jù)等新技術下的安全合規(guī)提供了基礎保障。并且有助于增強未知威脅防范和攻擊溯源的能力�����,打造包含感知預警�、安全分析、動態(tài)防護�、全面檢測、應急處置并重等于一體的主動安全保障體系�����。此外��,數(shù)據(jù)安全和個人信息保護也是等保2.0標準的重點���,當數(shù)據(jù)價值被無限放大的當下�����,數(shù)據(jù)安全保護是一門“必修課”�����。 安恒信息的等級保護思路和解決方案一直緊跟國家網(wǎng)絡安全法律法規(guī)����、政策要求、信息技術前沿和等級保護實際需求�����,主動擁抱等保2.0���。在網(wǎng)絡安全新時代�、新威脅�、新體系、新能力要求的背景下��,安恒信息不斷提升等保解決方案����,以等保合規(guī)為基礎,打造主動���、動態(tài)����、自適應等保2.0標準的新體系,致力為客戶提供安全�����、有效��、合規(guī)的等級保護解決方案��,保障客戶傳統(tǒng)信息系統(tǒng)安全��、云安全��、大數(shù)據(jù)安全和智慧城市安全���。 |
