歡迎來到淘寶快三平臺!
協會帶你了解等保2.0
發布時間:2019-05-14    編輯:淘寶快三平臺 
  

5月13日,網絡安全等級保護技術2.0版本(簡稱等保2.0)正式公開發布,等保2.0覆蓋工業控制系統、云計算、大數據、物聯網等新技術新應用,為落實信息系統安全工作提供了方向和依據。下面帶您了解一下何為等保2.0。

一、等級保護是什么

淘宝快三平台網絡安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網絡安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統運營、使用單位應當選擇符合國家要求的測評機構,依據《信息安全技術網絡安全等級保護基本要求》等技術標準,定期對信息系統開展測評工作。

二、為什么要做等級保護

(一)法律規章要求

《網絡安全法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。

第二十一條規定:

第三十八條規定:

第五十九條規定:

(二)行業要求

淘宝快三平台在金融、電力、廣電、醫療、教育等行業,主管單位明確要求從業機構的信息系統要開展等級保護工作。

(三)企業系統安全的需求

信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處,可通過安全整改提升系統的安全防護能力,降低被攻擊的風險。

三、等級保護涉及范圍

(一)省轄市以上黨政機關的重要網站和辦公信息系統;

(二)電信、廣電行業的公用通信網、廣播電規傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統;

淘宝快三平台(三)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。

四、等級保護發展歷程

淘宝快三平台1994年,《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”,等級保護制度正式被提出。

淘宝快三平台2016年10月,公安部網絡安全保衛局對原有國家標準《信息安全技術信息系統安全等級保護基本要求(GB/T 22239-2008)》等系列標準進行修訂。2017年6月,《網絡安全法》正式出臺,信息安全等級保護過渡到網絡安全等級保護,法規明確要求國家實施等保制度。2019年5月,隨著《信息安全技術網絡安全等級保護基本要求(GB/T 22239-2019)》《信息安全技術網絡安全等級保護測評要求(GB/T 28448-2019)》等標準的正式發布,標志著等保2.0全面啟動。

五、等保1.0與2.0對比

等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》,與《中華人民共和國網絡安全法》中的相關法律條文保持一致。

等保2.0標準在1.0標準的基礎上,注重全方位主動防御、安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋


等級保護的五個等級不變、五項工作不變、主體職責不變。


等保2.0標準,從法律法規、標準要求、安全體系、實施環節等方面都有了“變化”:


(一)法律法規變化

從條例法規提升到法律層面。等保1.0的最高國家政策是國務院147號令,而等保2.0標準的最高國家政策是網絡安全法。

 《網絡安全法》第二十一條要求,國家實施網絡安全等級保護制度;第二十五條要求,網絡運營者應當制定網絡安全事件應急預案;第三十一條則要求,關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護;第五十九條明確了,網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門給予處罰。


(二)標準要求變化

等保2.0標準在對等保1.0標準基本要求進行優化的同時,針對云計算、物聯網、移動互聯網、工業控制、大數據新技術提出了新的安全擴展要求。也就是說,使用新技術的信息系統需要同時滿足“通用要求+安全擴展”的要求。并且,針對新的安全形勢提出了新的安全要求,標準覆蓋度更加全面,安全防護能力有很大提升。

 通用要求方面,等保2.0標準的核心是“優化”。刪除了過時的測評項,對測評項進行合理性改寫,新增對新型網絡攻擊行為防護和個人信息保護等新要求,調整了標準結構、將安全管理中心從管理層面提升至技術層面。

 這里我們重點談,安全擴展要求是等保2.0標準的“亮點”,要求細則必看:

   1)云計算擴展要求

云計算技術的普及,解決了傳統數據中心的存儲難、資源占用大、成本高等問題,伴隨而來安全風險也非常尖銳,主要來自于系統和數據所有權的轉移,新技術、虛擬環境等新模式兩方面帶來的風險。等保2.0標準從原則性、自身防護、提供能力三方面提出了要求:

原則性要求:

應確保云計算平臺不承載高于其安全保護等級的業務應用系統;應確保云計算基礎設施位于中國境內;應確保云服務客戶數據、用戶個人信息等存儲于中國境內,如需出境應遵循國家相關規定等。

自身防護要求:

應能檢測到云服務客戶發起的網絡攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等;應能檢測虛擬機之間的資源隔離失效,并進行告警等。

提供能力要求:

應實現不同云服務客戶虛擬網絡之間的隔離;應具有根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力等。

  2)大數據擴展要求

管理流量與業務流量分離

大數據授權與分類分級管理

大數據層面入侵防范與告警

大數據應用安全管理

  3)物聯網擴展要求

網絡安全入侵防范與認證授權

感知節點設備安全

非法感知節點設備識別與防范

抗數據重放,數據融合處理

感知節點管理

  4)工業控制擴展要求

工業控制系統隔離與安全區域劃分

工業控制數據加密傳輸

工業無線通信安全

工業控制設備自身安全

工業安全運維管理

  5)移動互聯擴展要求

無線邊界控制與入侵防范

SSID廣播與WEP認證

MDM、MCM管理

移動端應用安全管控

移動端數據安全管控


(三)安全體系變化

等保2.0標準依然采用“一個中心、三重防護”的理念,從等保1.0標準被動防御的安全體系向事前預防、事中響應、事后審計的動態保障體系轉變。

建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防御體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。


(四)實施環節變化

在等級保護定級、備案、建設整改、等級測評、監督檢查的實施過程中,等保2.0標準進行了優化和調整。

 

定級對象的變化:

等保1.0定級的對象是信息系統,等保2.0標準的定級的對象擴展至:基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺,覆蓋面更廣。

定級級別的變化:

公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統的等級保護級別從1.0的第二級調整到了第三級。

定級流程的變化:

等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關備案審查——>最終確定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格。

相較于等保1.0,等保2.0標準測評周期、測評結果評定有所調整。等保2.0標準要求,第三級以上的系統每年開展一次測評,測評達到75分以上才算基本符合要求。基本分高了,要求更嚴苛了。

 

六、等級保護實施過程

等保2.0將落實到淘宝快三平台系統建設全生命周期的每個環節,從系統定級、系統備案、建設/整改、等級測評、再到監督與檢查,每一環節都需要系統運營、使用單位重點留意。

七、等保2.0的測評內容

等級保護測評分為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理十個層面。

八、開展等級保護的難點

淘宝快三平台現階段,信息系統運營、使用單位已意識到等級保護制度的必要性,但在開展等級保護的過程中仍會遇到各式各樣的問題與挑戰。



?
電子郵件:nmwaxh@163.com 傳  真:0471 - 4599696 聯系電話:0471 - 4599696 郵政編碼:010010 地  址:呼和浩特市成吉思汗東街大學生科技園1號樓8層
網站二維碼
微信公眾號
版權所有:淘寶快三平臺   技術支持:內蒙古世紀泓科技有限公司