今日頭條
官方微信
官方抖音
資訊頻道千呼萬喚始出來,2019年5月13日,國家標準新聞發(fā)布會在市場監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開,網(wǎng)絡(luò)安全等級保護制度2.0標準(以下簡稱 等保2.0標準)正式發(fā)布,將于2019年12月1日開始實施。
網(wǎng)絡(luò)安全等級保護制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法,等保2.0標準在1.0標準的基礎(chǔ)上,注重全方位主動防御、安全可信、動態(tài)感知和全面審計,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋。
等保2.0標準的“不變”
等級保護的概念自1994年提出后,經(jīng)過20多年的發(fā)展和演進,在2.0時代已經(jīng)有了不小的變化。但萬變不離其宗,等級保護的五個等級不變、五項工作不變、主體職責(zé)不變。
01 等級保護“五個級別”不變
第一級:用戶自主保護級
第二級:系統(tǒng)保護審計級
第三級:安全標記保護級
第四級:結(jié)構(gòu)化保護級
第五級:訪問驗證保護級
02 等級保護“規(guī)定動作”不變
等級保護五個規(guī)定動作是指:定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。等保2.0標準仍然將圍繞這5個規(guī)定動作開展工作。
03 等級保護“主體職責(zé)”不變
運營使用單位對定級對象的等級保護職責(zé)不變
上級主管單位對所屬單位的安全管理職責(zé)不變
第三方測評機構(gòu)對定級對象的安全評估職責(zé)不變
網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責(zé)不變
等保2.0標準的“變化”
近年來,隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的變化,傳統(tǒng)等保安全要求已無法有效應(yīng)對安全風(fēng)險和新技術(shù)應(yīng)用所帶來的新威脅,以被動防御為主的防御已經(jīng)out了,急需建立主動保障體系。等保2.0標準適時而出,應(yīng)對新形勢、新風(fēng)險,滿足新要求,擴大新內(nèi)容。
如此“新”的等保2.0標準,從法律法規(guī)、標準要求、安全體系、實施環(huán)節(jié)等方面都有了“變化”:
01 法律法規(guī)變化
從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務(wù)院147號令,而等保2.0標準的最高國家政策是網(wǎng)絡(luò)安全法。
《網(wǎng)絡(luò)安全法》第二十一條要求,國家實施網(wǎng)絡(luò)安全等級保護制度;第二十五條要求,網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案; 第三十一條則要求,關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護;第五十九條明確了,網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的,由有關(guān)主管部門給予處罰。
總而言之,不開展等級保護等于違法!
02 標準要求變化
等保2.0標準在對等保1.0標準基本要求進行優(yōu)化的同時,針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴展要求。也就是說,使用新技術(shù)的信息系統(tǒng)需要同時滿足“通用要求+安全擴展”的要求。并且,針對新的安全形勢提出了新的安全要求,標準覆蓋度更加全面,安全防護能力有很大提升。
通用要求方面,等保2.0標準的核心是“優(yōu)化”。刪除了過時的測評項,對測評項進行合理性改寫,新增對新型網(wǎng)絡(luò)攻擊行為防護和個人信息保護等新要求,調(diào)整了標準結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面。
這里我們重點談,安全擴展要求是等保2.0標準的“亮點”,要求細則必看:
1)云計算擴展要求
云計算技術(shù)的普及,解決了傳統(tǒng)數(shù)據(jù)中心的存儲難、資源占用大、成本高等問題,伴隨而來安全風(fēng)險也非常尖銳,主要來自于系統(tǒng)和數(shù)據(jù)所有權(quán)的轉(zhuǎn)移,新技術(shù)、虛擬環(huán)境等新模式兩方面帶來的風(fēng)險。等保2.0標準從原則性、自身防護、提供能力三方面提出了要求:
原則性要求:
應(yīng)確保云計算平臺不承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng);應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi);應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi),如需出境應(yīng)遵循國家相關(guān)規(guī)定等。
自身防護要求:
應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等;應(yīng)能檢測虛擬機之間的資源隔離失效,并進行告警等。
提供能力要求:
應(yīng)實現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離;應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力等。
2)大數(shù)據(jù)擴展要求
管理流量與業(yè)務(wù)流量分離
大數(shù)據(jù)授權(quán)與分類分級管理
大數(shù)據(jù)層面入侵防范與告警
大數(shù)據(jù)應(yīng)用安全管理
3)物聯(lián)網(wǎng)擴展要求
網(wǎng)絡(luò)安全入侵防范與認證授權(quán)
感知節(jié)點設(shè)備安全
非法感知節(jié)點設(shè)備識別與防范
抗數(shù)據(jù)重放,數(shù)據(jù)融合處理
感知節(jié)點管理
4)工業(yè)控制擴展要求
工業(yè)控制系統(tǒng)隔離與安全區(qū)域劃分
工業(yè)控制數(shù)據(jù)加密傳輸
工業(yè)無線通信安全
工業(yè)控制設(shè)備自身安全
工業(yè)安全運維管理
5)移動互聯(lián)擴展要求
無線邊界控制與入侵防范
SSID廣播與WEP認證
MDM、MCM管理
移動端應(yīng)用安全管控
移動端數(shù)據(jù)安全管控
后續(xù),我們還會就新增的擴展要求進行進一步的解讀哦。
03 安全體系變化
等保2.0標準依然采用“一個中心、三重防護” 的理念,從等保1.0標準被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。
建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系,開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作 。
04 實施環(huán)節(jié)變化
在等級保護定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查的實施過程中,等保2.0標準進行了優(yōu)化和調(diào)整。
定級對象的變化:
等保1.0定級的對象是信息系統(tǒng),等保2.0標準的定級的對象擴展至:基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺,覆蓋面更廣。
定級級別的變化:
公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴重損害時,相應(yīng)系統(tǒng)的等級保護級別從1.0的第二級調(diào)整到了第三級。
定級流程的變化:
等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關(guān)備案審查——>最終確定等級”這種線性的定級流程,系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核,才能到公安機關(guān)備案,整體定級更加嚴格。
相較于等保1.0,等保2.0標準測評周期、測評結(jié)果評定有所調(diào)整。等保2.0標準要求,第三級以上的系統(tǒng)每年開展一次測評,測評達到75分以上才算基本符合要求。基本分高了,要求更嚴苛了。
來源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號:11010802023656號