今日頭條
官方微信
官方抖音
資訊頻道千呼萬(wàn)喚始出來(lái),2019年5月13日,國(guó)家標(biāo)準(zhǔn)新聞發(fā)布會(huì)在市場(chǎng)監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開(kāi),網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡(jiǎn)稱 等保2.0標(biāo)準(zhǔn))正式發(fā)布,將于2019年12月1日開(kāi)始實(shí)施。
網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度和基本方法,等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上,注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋。
等保2.0標(biāo)準(zhǔn)的“不變”
等級(jí)保護(hù)的概念自1994年提出后,經(jīng)過(guò)20多年的發(fā)展和演進(jìn),在2.0時(shí)代已經(jīng)有了不小的變化。但萬(wàn)變不離其宗,等級(jí)保護(hù)的五個(gè)等級(jí)不變、五項(xiàng)工作不變、主體職責(zé)不變。
01 等級(jí)保護(hù)“五個(gè)級(jí)別”不變
第一級(jí):用戶自主保護(hù)級(jí)
第二級(jí):系統(tǒng)保護(hù)審計(jì)級(jí)
第三級(jí):安全標(biāo)記保護(hù)級(jí)
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)
第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)
02 等級(jí)保護(hù)“規(guī)定動(dòng)作”不變
等級(jí)保護(hù)五個(gè)規(guī)定動(dòng)作是指:定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。等保2.0標(biāo)準(zhǔn)仍然將圍繞這5個(gè)規(guī)定動(dòng)作開(kāi)展工作。
03 等級(jí)保護(hù)“主體職責(zé)”不變
運(yùn)營(yíng)使用單位對(duì)定級(jí)對(duì)象的等級(jí)保護(hù)職責(zé)不變
上級(jí)主管單位對(duì)所屬單位的安全管理職責(zé)不變
第三方測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象的安全評(píng)估職責(zé)不變
網(wǎng)安對(duì)定級(jí)對(duì)象的備案受理及監(jiān)督檢查職責(zé)不變
等保2.0標(biāo)準(zhǔn)的“變化”
近年來(lái),隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢(shì)的變化,傳統(tǒng)等保安全要求已無(wú)法有效應(yīng)對(duì)安全風(fēng)險(xiǎn)和新技術(shù)應(yīng)用所帶來(lái)的新威脅,以被動(dòng)防御為主的防御已經(jīng)out了,急需建立主動(dòng)保障體系。等保2.0標(biāo)準(zhǔn)適時(shí)而出,應(yīng)對(duì)新形勢(shì)、新風(fēng)險(xiǎn),滿足新要求,擴(kuò)大新內(nèi)容。
如此“新”的等保2.0標(biāo)準(zhǔn),從法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實(shí)施環(huán)節(jié)等方面都有了“變化”:
01 法律法規(guī)變化
從條例法規(guī)提升到法律層面。等保1.0的最高國(guó)家政策是國(guó)務(wù)院147號(hào)令,而等保2.0標(biāo)準(zhǔn)的最高國(guó)家政策是網(wǎng)絡(luò)安全法。
《網(wǎng)絡(luò)安全法》第二十一條要求,國(guó)家實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;第二十五條要求,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案; 第三十一條則要求,關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù);第五十九條明確了,網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門給予處罰。
總而言之,不開(kāi)展等級(jí)保護(hù)等于違法!
02 標(biāo)準(zhǔn)要求變化
等保2.0標(biāo)準(zhǔn)在對(duì)等保1.0標(biāo)準(zhǔn)基本要求進(jìn)行優(yōu)化的同時(shí),針對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴(kuò)展要求。也就是說(shuō),使用新技術(shù)的信息系統(tǒng)需要同時(shí)滿足“通用要求+安全擴(kuò)展”的要求。并且,針對(duì)新的安全形勢(shì)提出了新的安全要求,標(biāo)準(zhǔn)覆蓋度更加全面,安全防護(hù)能力有很大提升。
通用要求方面,等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”。刪除了過(guò)時(shí)的測(cè)評(píng)項(xiàng),對(duì)測(cè)評(píng)項(xiàng)進(jìn)行合理性改寫,新增對(duì)新型網(wǎng)絡(luò)攻擊行為防護(hù)和個(gè)人信息保護(hù)等新要求,調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面。
這里我們重點(diǎn)談,安全擴(kuò)展要求是等保2.0標(biāo)準(zhǔn)的“亮點(diǎn)”,要求細(xì)則必看:
1)云計(jì)算擴(kuò)展要求
云計(jì)算技術(shù)的普及,解決了傳統(tǒng)數(shù)據(jù)中心的存儲(chǔ)難、資源占用大、成本高等問(wèn)題,伴隨而來(lái)安全風(fēng)險(xiǎn)也非常尖銳,主要來(lái)自于系統(tǒng)和數(shù)據(jù)所有權(quán)的轉(zhuǎn)移,新技術(shù)、虛擬環(huán)境等新模式兩方面帶來(lái)的風(fēng)險(xiǎn)。等保2.0標(biāo)準(zhǔn)從原則性、自身防護(hù)、提供能力三方面提出了要求:
原則性要求:
應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng);應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi);應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國(guó)境內(nèi),如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定等。
自身防護(hù)要求:
應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等;應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效,并進(jìn)行告警等。
提供能力要求:
應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離;應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力等。
2)大數(shù)據(jù)擴(kuò)展要求
管理流量與業(yè)務(wù)流量分離
大數(shù)據(jù)授權(quán)與分類分級(jí)管理
大數(shù)據(jù)層面入侵防范與告警
大數(shù)據(jù)應(yīng)用安全管理
3)物聯(lián)網(wǎng)擴(kuò)展要求
網(wǎng)絡(luò)安全入侵防范與認(rèn)證授權(quán)
感知節(jié)點(diǎn)設(shè)備安全
非法感知節(jié)點(diǎn)設(shè)備識(shí)別與防范
抗數(shù)據(jù)重放,數(shù)據(jù)融合處理
感知節(jié)點(diǎn)管理
4)工業(yè)控制擴(kuò)展要求
工業(yè)控制系統(tǒng)隔離與安全區(qū)域劃分
工業(yè)控制數(shù)據(jù)加密傳輸
工業(yè)無(wú)線通信安全
工業(yè)控制設(shè)備自身安全
工業(yè)安全運(yùn)維管理
5)移動(dòng)互聯(lián)擴(kuò)展要求
無(wú)線邊界控制與入侵防范
SSID廣播與WEP認(rèn)證
MDM、MCM管理
移動(dòng)端應(yīng)用安全管控
移動(dòng)端數(shù)據(jù)安全管控
后續(xù),我們還會(huì)就新增的擴(kuò)展要求進(jìn)行進(jìn)一步的解讀哦。
03 安全體系變化
等保2.0標(biāo)準(zhǔn)依然采用“一個(gè)中心、三重防護(hù)” 的理念,從等保1.0標(biāo)準(zhǔn)被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變。
建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系,開(kāi)展組織管理、機(jī)制建設(shè)、安全規(guī)劃、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢(shì)感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測(cè)、隊(duì)伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作 。
04 實(shí)施環(huán)節(jié)變化
在等級(jí)保護(hù)定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查的實(shí)施過(guò)程中,等保2.0標(biāo)準(zhǔn)進(jìn)行了優(yōu)化和調(diào)整。
定級(jí)對(duì)象的變化:
等保1.0定級(jí)的對(duì)象是信息系統(tǒng),等保2.0標(biāo)準(zhǔn)的定級(jí)的對(duì)象擴(kuò)展至:基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺(tái),覆蓋面更廣。
定級(jí)級(jí)別的變化:
公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí),相應(yīng)系統(tǒng)的等級(jí)保護(hù)級(jí)別從1.0的第二級(jí)調(diào)整到了第三級(jí)。
定級(jí)流程的變化:
等保2.0標(biāo)準(zhǔn)不再自主定級(jí),而是通過(guò)“確定定級(jí)對(duì)象——>初步確定等級(jí)——>專家評(píng)審——>主管部門審核——>公安機(jī)關(guān)備案審查——>最終確定等級(jí)”這種線性的定級(jí)流程,系統(tǒng)定級(jí)必須經(jīng)過(guò)專家評(píng)審和主管部門審核,才能到公安機(jī)關(guān)備案,整體定級(jí)更加嚴(yán)格。
相較于等保1.0,等保2.0標(biāo)準(zhǔn)測(cè)評(píng)周期、測(cè)評(píng)結(jié)果評(píng)定有所調(diào)整。等保2.0標(biāo)準(zhǔn)要求,第三級(jí)以上的系統(tǒng)每年開(kāi)展一次測(cè)評(píng),測(cè)評(píng)達(dá)到75分以上才算基本符合要求。基本分高了,要求更嚴(yán)苛了。
來(lái)源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號(hào):11010802023656號(hào)