千呼萬喚始出來��,2019年5月13日�,國(guó)家標(biāo)準(zhǔn)新聞發(fā)布會(huì)在市場(chǎng)監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開����,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡(jiǎn)稱 等保2.0標(biāo)準(zhǔn))正式發(fā)布�,將于2019年12月1日開始實(shí)施�����。 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策�����、基本制度和基本方法����,等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上�,注重全方位主動(dòng)防御、安全可信�����、動(dòng)態(tài)感知和全面審計(jì)���,實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)����、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算�����、大數(shù)據(jù)����、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋�。 究竟等保2.0標(biāo)準(zhǔn)與等保1.0標(biāo)準(zhǔn)相比,有哪些變化�?又有哪些工作保持不變?受邀參與等保2.0標(biāo)準(zhǔn)編纂的等保專家���、安恒信息王勇���,是這樣說的。 等級(jí)保護(hù)的概念自1994年提出后�����,經(jīng)過20多年的發(fā)展和演進(jìn)����,在2.0時(shí)代已經(jīng)有了不小的變化����。但萬變不離其宗�,等級(jí)保護(hù)的五個(gè)等級(jí)不變、五項(xiàng)工作不變�����、主體職責(zé)不變�。 01等級(jí)保護(hù)“五個(gè)級(jí)別”不變 第二級(jí):系統(tǒng)保護(hù)審計(jì)級(jí) 第三級(jí):安全標(biāo)記保護(hù)級(jí) 第四級(jí):結(jié)構(gòu)化保護(hù)級(jí) 第五級(jí):訪問驗(yàn)證保護(hù)級(jí) 02等級(jí)保護(hù)“規(guī)定動(dòng)作”不變 等級(jí)保護(hù)五個(gè)規(guī)定動(dòng)作是指:定級(jí)�����、備案�����、建設(shè)整改���、等級(jí)測(cè)評(píng)���、監(jiān)督檢查。等保2.0標(biāo)準(zhǔn)仍然將圍繞這5個(gè)規(guī)定動(dòng)作開展工作。 03等級(jí)保護(hù)“主體職責(zé)”不變 運(yùn)營(yíng)使用單位對(duì)定級(jí)對(duì)象的等級(jí)保護(hù)職責(zé)不變 上級(jí)主管單位對(duì)所屬單位的安全管理職責(zé)不變 第三方測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象的安全評(píng)估職責(zé)不變 網(wǎng)安對(duì)定級(jí)對(duì)象的備案受理及監(jiān)督檢查職責(zé)不變 近年來����,隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢(shì)的變化,傳統(tǒng)等保安全要求已無法有效應(yīng)對(duì)安全風(fēng)險(xiǎn)和新技術(shù)應(yīng)用所帶來的新威脅��,以被動(dòng)防御為主的防御已經(jīng)out了�,急需建立主動(dòng)保障體系。等保2.0標(biāo)準(zhǔn)適時(shí)而出�,應(yīng)對(duì)新形勢(shì)、新風(fēng)險(xiǎn)��,滿足新要求����,擴(kuò)大新內(nèi)容。 如此“新”的等保2.0標(biāo)準(zhǔn)��,從法律法規(guī)�����、標(biāo)準(zhǔn)要求����、安全體系、實(shí)施環(huán)節(jié)等方面都有了“變化”: 從條例法規(guī)提升到法律層面。等保1.0的最高國(guó)家政策是國(guó)務(wù)院147號(hào)令�,而等保2.0標(biāo)準(zhǔn)的最高國(guó)家政策是網(wǎng)絡(luò)安全法。 《網(wǎng)絡(luò)安全法》第二十一條要求�,國(guó)家實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;第二十五條要求����,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案; 第三十一條則要求���,關(guān)鍵信息基礎(chǔ)設(shè)施���,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上��,實(shí)行重點(diǎn)保護(hù)���;第五十九條明確了�,網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條���、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的���,由有關(guān)主管部門給予處罰。 總而言之,不開展等級(jí)保護(hù)等于違法����! 等保2.0標(biāo)準(zhǔn)在對(duì)等保1.0標(biāo)準(zhǔn)基本要求進(jìn)行優(yōu)化的同時(shí),針對(duì)云計(jì)算�����、物聯(lián)網(wǎng)����、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制���、大數(shù)據(jù)新技術(shù)提出了新的安全擴(kuò)展要求�����。也就是說�����,使用新技術(shù)的信息系統(tǒng)需要同時(shí)滿足“通用要求+安全擴(kuò)展”的要求����。并且,針對(duì)新的安全形勢(shì)提出了新的安全要求�����,標(biāo)準(zhǔn)覆蓋度更加全面�����,安全防護(hù)能力有很大提升����。 通用要求方面,等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”��。刪除了過時(shí)的測(cè)評(píng)項(xiàng)����,對(duì)測(cè)評(píng)項(xiàng)進(jìn)行合理性改寫����,新增對(duì)新型網(wǎng)絡(luò)攻擊行為防護(hù)和個(gè)人信息保護(hù)等新要求,調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)��、將安全管理中心從管理層面提升至技術(shù)層面���。 這里我們重點(diǎn)談����,安全擴(kuò)展要求是等保2.0標(biāo)準(zhǔn)的“亮點(diǎn)”,要求細(xì)則必看: 云計(jì)算技術(shù)的普及����,解決了傳統(tǒng)數(shù)據(jù)中心的存儲(chǔ)難、資源占用大���、成本高等問題���,伴隨而來安全風(fēng)險(xiǎn)也非常尖銳,主要來自于系統(tǒng)和數(shù)據(jù)所有權(quán)的轉(zhuǎn)移�,新技術(shù)、虛擬環(huán)境等新模式兩方面帶來的風(fēng)險(xiǎn)�����。等保2.0標(biāo)準(zhǔn)從原則性���、自身防護(hù)��、提供能力三方面提出了要求: 應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)����;應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi);應(yīng)確保云服務(wù)客戶數(shù)據(jù)�����、用戶個(gè)人信息等存儲(chǔ)于中國(guó)境內(nèi)����,如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定等。 應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為���,并能記錄攻擊類型���、攻擊時(shí)間、攻擊流量等����;應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效,并進(jìn)行告警等�。 應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離���;應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸�����、邊界防護(hù)��、入侵防范等安全機(jī)制的能力等���。 大數(shù)據(jù)授權(quán)與分類分級(jí)管理 3)物聯(lián)網(wǎng)擴(kuò)展要求 網(wǎng)絡(luò)安全入侵防范與認(rèn)證授權(quán) 非法感知節(jié)點(diǎn)設(shè)備識(shí)別與防范 抗數(shù)據(jù)重放�����,數(shù)據(jù)融合處理 工業(yè)控制系統(tǒng)隔離與安全區(qū)域劃分 5)移動(dòng)互聯(lián)擴(kuò)展要求 后續(xù),我們還會(huì)就新增的擴(kuò)展要求進(jìn)行進(jìn)一步的解讀哦�����。 等保2.0標(biāo)準(zhǔn)依然采用“一個(gè)中心��、三重防護(hù)” 的理念�,從等保1.0標(biāo)準(zhǔn)被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)�、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變。 建立安全技術(shù)體系和安全管理體系����,構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系��,開展組織管理�、機(jī)制建設(shè)�、安全規(guī)劃、通報(bào)預(yù)警�、應(yīng)急處置、態(tài)勢(shì)感知���、能力建設(shè)���、監(jiān)督檢查、技術(shù)檢測(cè)�����、隊(duì)伍建設(shè)����、教育培訓(xùn)和經(jīng)費(fèi)保障等工作 。 在等級(jí)保護(hù)定級(jí)�����、備案��、建設(shè)整改����、等級(jí)測(cè)評(píng)、監(jiān)督檢查的實(shí)施過程中���,等保2.0標(biāo)準(zhǔn)進(jìn)行了優(yōu)化和調(diào)整���。 等保1.0定級(jí)的對(duì)象是信息系統(tǒng),等保2.0標(biāo)準(zhǔn)的定級(jí)的對(duì)象擴(kuò)展至:基礎(chǔ)信息網(wǎng)絡(luò)����、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)��、物聯(lián)網(wǎng)�、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺(tái)���,覆蓋面更廣���。 公民����、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí)��,相應(yīng)系統(tǒng)的等級(jí)保護(hù)級(jí)別從1.0的第二級(jí)調(diào)整到了第三級(jí)�����。 等保2.0標(biāo)準(zhǔn)不再自主定級(jí)�,而是通過“確定定級(jí)對(duì)象——>初步確定等級(jí)——>專家評(píng)審——>主管部門審核——>公安機(jī)關(guān)備案審查——>最終確定等級(jí)”這種線性的定級(jí)流程,系統(tǒng)定級(jí)必須經(jīng)過專家評(píng)審和主管部門審核��,才能到公安機(jī)關(guān)備案���,整體定級(jí)更加嚴(yán)格�。 相較于等保1.0�,等保2.0標(biāo)準(zhǔn)測(cè)評(píng)周期、測(cè)評(píng)結(jié)果評(píng)定有所調(diào)整����。等保2.0標(biāo)準(zhǔn)要求,第三級(jí)以上的系統(tǒng)每年開展一次測(cè)評(píng)�,測(cè)評(píng)達(dá)到75分以上才算基本符合要求����。基本分高了�,要求更嚴(yán)苛了。 當(dāng)新技術(shù)不斷沖擊傳統(tǒng)安全和傳統(tǒng)等保�����,“與時(shí)俱進(jìn)”的等保2.0標(biāo)準(zhǔn)��,為保障云計(jì)算��、大數(shù)據(jù)等新技術(shù)下的安全合規(guī)提供了基礎(chǔ)保障����。并且有助于增強(qiáng)未知威脅防范和攻擊溯源的能力�,打造包含感知預(yù)警、安全分析���、動(dòng)態(tài)防護(hù)����、全面檢測(cè)���、應(yīng)急處置并重等于一體的主動(dòng)安全保障體系����。此外,數(shù)據(jù)安全和個(gè)人信息保護(hù)也是等保2.0標(biāo)準(zhǔn)的重點(diǎn)����,當(dāng)數(shù)據(jù)價(jià)值被無限放大的當(dāng)下,數(shù)據(jù)安全保護(hù)是一門“必修課”�����。 安恒信息的等級(jí)保護(hù)思路和解決方案一直緊跟國(guó)家網(wǎng)絡(luò)安全法律法規(guī)�����、政策要求�����、信息技術(shù)前沿和等級(jí)保護(hù)實(shí)際需求��,主動(dòng)擁抱等保2.0��。在網(wǎng)絡(luò)安全新時(shí)代���、新威脅���、新體系��、新能力要求的背景下���,安恒信息不斷提升等保解決方案,以等保合規(guī)為基礎(chǔ)�,打造主動(dòng)���、動(dòng)態(tài)���、自適應(yīng)等保2.0標(biāo)準(zhǔn)的新體系,致力為客戶提供安全���、有效���、合規(guī)的等級(jí)保護(hù)解決方案,保障客戶傳統(tǒng)信息系統(tǒng)安全��、云安全���、大數(shù)據(jù)安全和智慧城市安全�����。 |
