2019年05月15日
在網絡安全領域,等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》等國家標準于2019年5月13日正式發(fā)布,2019年12月1日開始實施。
此系列標準涵蓋云計算、大數據、物聯網、工控網絡等新場景下的安全要求,在安全防護思路上相比于傳統安全體系有極大的突破,必將成為迎接新時期網絡安全建設的新基礎。
第一項 等保的結構變化
第二項 要求項的變化
第三項 提出的新標準
(一)定級對象范圍
“等保2.0”新標準中,每一級除通用要求外,均還新增了云計算安全、移動互聯安全、物聯網安全、工業(yè)控制系統安全和大數據安全這5個擴展要求,以應對新興技術安全需求。
相比“等保1.0”將定級對象統一定義為信息系統,《網絡安全等級保護定級指南》對定級對象的具體范圍根據擴展要求進行了細化:
云計算平臺方面:定級對象將區(qū)分為服務的提供方和租戶方;
物聯網方面:感知、網絡傳輸和處理應用等特征因素不單獨定級,將作為一個整體進行評定;
移動互聯方面:移動終端、移動應用、無線網絡、相關有線網絡業(yè)務系統等也將統一定級;
大數據方面:安全責任主體相同的平臺和應用將整體定級,除此之外為單獨定級。
網絡運營者在實施定級工作時,首先應當確定自身作為定級對象滿足的基本特征,若從事基礎信息網絡、工控系統、云計算、物聯網、大數據等特定領域服務的,還應符合相應的要求。
(二)新概念的強化
在等保2.0中,引入了“可信”、“安全運維”和“安全管理中心”三個新概念。可信計算是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺,以提高系統整體的安全性。《網絡安全等級保護基本要求》(報批稿)中強化了可信計算,充分體現一個中心、三重防御的思想,由被動防御變成主動防御,并強化可信計算安全技術要求的使用。
等級保護安全框架
網絡安全等級保護安全技術設計框架
第四項 等保2.0與網絡安全法的關系
等保2.0的標準是國內非涉密信息系統的安全集成標準,網絡安全法是作為法律、中國信息安全的基本法。網絡安全法中明確的提到信息安全的建設要遵照等級保護標準來做建設。
網絡安全法從立法到配套法律法規(guī)的確定完善,到市場上反映出來一定的效果是需要一定的過程的。這個過程在于執(zhí)法是否落實到位,規(guī)定的標準是否真的符合業(yè)務安全痛點。目前來看市場上大部分單位都以合規(guī)性建設為主,從立法角度來看,是一部非常健全的體系,會使業(yè)務的風險管控、網絡安全能力會上升到一個新的高度。
等保2.0既是國家安全部署要求,也是市場發(fā)展客戶安全保障的剛需,還是企業(yè)品牌樹立、可持續(xù)發(fā)展的重要保障。等保2.0的落地實施是一個涉及到多環(huán)節(jié)、體系化的工作,作為國內全面可信的信息安全應用服務商,江蘇國駿一直密切關注等保2.0的進程,關注相關法規(guī)標準、市場動態(tài),后續(xù)更多精彩內容,敬請期待。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺、數據管理、軟件研發(fā)領域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業(yè)務涵蓋咨詢、評估、規(guī)劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。