网络安全等级保护制度,根据信息系统对于国家、社会、团体和公众的重要程度的不同,建立了一个其应该达到的安全要求的统一规范,提供了我国对于信息系统基于 “合规” 管理的一系列支持基础。
2019年5月13日等保2.0三大标准发布,并于2019年12月1日正式实施。在新标准发布之前,新立项的网络安全建设或者整改项目已经预先开始按照新的标准进行推进。
2020年4月28日,国家市场监督管理总局、国家标准化管理委员会制定《信息安全技术网络安全等级保护定级指南》发布,将于2020年11月1日实施。
等级保护2.0是什么?
网络安全等级保护2.0简称等保2.0,2014年开始启动编制,修订了通用安全要求,增加了云计算、物联网、移动互联网、工控系统、大数据等安全扩展要求,内容包括网络安全等级保护安全通用要求和安全扩展要求,标志着等级2.0时代的到来。
在等保1.0推行十年之后,绝大部分的行业用户对网络安全等级保护制度已基本有所了解。但是新发布的等保2.0是什么?对用户来说更关心的是等保2.0与1.0的差别是什么?我们需要增加什么产品、服务、措施来满足新标准的要求?如何顺利通过等保2.0的测评?
等保2.0相较于1.0有哪些变化?
❖ “五个级别”不变
等保2.0五个等级划分依据
1999年,我国颁布的强制性标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中规定了计算机系统安全保护能力的五个等级,等级保护1.0和2.0一直沿用这五个等级。
❖ “五个阶段”不变
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布的《信息安全等级保护管理办法》(公通字[2007]43号),规定了开展等级保护的五个步骤:定级、备案、安全建设(或者安全整改)、等级测评、监督检查。
❖ 等级保护“主体责任”不变
《信息安全等级保护管理办法》(公通字[2007]43号)中规定了四个主体职责:运营使用单位对定级对象的等级保护职责、上级主管单位对所属单位的安全管理职责、第三方测评机构对定级对象的安全评估职责、公安机关对定级对象的备案受理及监督检查职责,在等级保护2.0中,这四个主体职责保持不变。
等保2.0五个规定实施步骤
❖ 法律地位的变化
等保2.0标准依据的最高国家政策是2017年6月1日颁布的《中华人民共和国网络安全法》,从条例法规层面提升到国家法律层面,这就意味着不开展等级保护的单位和个人等于违法,并要承担相应的法律后果。
❖ 标准要求的变化
等保2.0保护对象范围扩大了,将云计算、物联网、移动互联网、工业控制系统、大数据等列入等级保护范围。
等保2.0将标准在分类结构方面也进行了统一,将“等级保护基本要求”、“等级保护测评要求”、“等级保护设计要求”分类框架统一,三个标准均采用“一个中心、三重防护”的体系架构,包括:安全通信网络、安全区域边界、安全计算环境、安全管理中心。
等保2.0标准强化了可信计算技术的使用要求,在安全通信网络、安全区域边界、安全计算环境、安全管理中心都提及了可信验证,把可信验证列入各个级别并逐级提出了相应的可信验证要求。
等保2.0标准在标准名称、保护对象、安全要求、章节结构、分类结构都发生了变化,增加了云计算、物联网、移动互联网、工业控制系统和大数据等安全扩展要求,同时也增加了对应的应用场景说明。
❖ 安全保障体系的变化
从被动防御的安全保障体系向事前预防、事中响应、事后审计的动态保障体系转变,更多体现了对抗思维,讲究一切从实战出发,逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系。
从实战出发的动态安全保障体系
❖ 测评实施的变化
等级保护2.0在测评结果和测评周期方面有所调整。等级保护2.0测评成绩达到70分以上才算基本符合,第三级及以上的系统要求每年开展一次等级测评。
等保2.0测评结论与判定依据
等保2.0不单在保护对象保护范围上发生了变化,等级保护工作流程也发生了变化。
等级保护2.0定级流程如下:
从赛迪顾问2019年2月给出的预测数据来看,国内网络信息安全市场规模在2019年608.1亿元左右。
乐观的估计,与等保2.0相关的产业占到50%左右。网络安全市场的主力多年以来均是政策性依赖特别强的行业,如政府、金融、能源、交通等,等保2.0的发布和推广势必会触发网络安全市场的进一步爆发。
2019年,华为被美国列入贸易特殊名单(实体名单),除非获得特殊批准,否则美国企业不得向华为及其附属公司出售一切重要的技术、配件,中断了华为与诸多美国企业合作。
这些“卡脖子”事件,对我国IT信息化自主产业生态链的构建,特别是网络安全行业的发展,提供了非常有力的促进和带动作用。等保2.0正是在一系列政策推动、严峻形势下发布并实施,势必进一步激发国内网络安全市场。
为您推荐
日前,国务院三网融合工作协调小组办公室印发了《关于三网融合试点工作有关问题的通知》,明确要求试点地区党委、政府要抓紧研究出台扶持本地区三网融合试点工作所涉及的扶持政策,并将各自地区的三网融合试点实施方案于8月16日前上报至国务院协调小组办公室。业界专家认为,三网融合全面提速,给国内软件业再添行业利好。CIO该如何全面正确认识三网融合?而今身处新技术的变革大时代,CIO应如何正确认识三网融合,并意识到三网融合对推动未来的企业业务发展的重要意义?所谓“三网合一”,即指电信网、广播电视网和计算机通信网的相互渗透、互相兼容、并逐步整合成为统一的信息通信网络。“三网融合”是为了实现网络资源的共享,避免低
记者从省通信管理局获悉,目前,《哈尔滨市三网融合试点实施方案》已出炉。《方案》要求,截至2012年底,哈尔滨市将全部实现光纤入楼,宽带用户数达到150万户,有线电视数字用户达到120万户等目标。据了解,经过三网融合协调小组的紧张工作,《哈尔滨市三网融合试点实施方案》已上报省政府。该方案明确提出了试点工作的目标规划,标志着未来3年里黑龙江省通信管理局将牵头组织协调电信企业携手广电部门有序推进哈尔滨市三网融合试点工作。哈尔滨市入选三网融合试点城市后,黑龙江省立即成立了三网融合工作协调小组。协调小组因地制宜拟定了适合地方经济发展和群众需要的三网融合试点实施方案,制定了四大发展目标。四大发展目标具体为
【DVBCN网讯】北京时间8月24日消息,第六届数字新媒体高峰论坛(CDMS2010)今天在北京皇家大饭店正在举行,在论坛上北京大学信息学院教授、国务院三网融合专家组成员、下一代广播电视网专家委员会委员李红滨认为,三网融合下广电要面临网络安全红线的挑战。李红滨表示,三网融合为什么要成立安全评估组,是因为网络安全关乎国家安全的几个重大问题,所以这是一条红线。李红滨认为,当广播电视业务融入到互联网中,可能会使得原有的互联网安全问题进一步泛滥,广电网将可能面临网络安全的挑战,主要表现在以下几个方面:其一、带宽宽之后很难监管;其二、二广电业务从封闭到开放,广电可控、可管、可信带来非常大的挑战;其三、三
近日发表其网络安全研究部门X-Force的《二零一零年中期趋势及风险报告》。X-Force的调查显示,在二零一零年上半年,已披露的漏洞个案激增,破历史纪录。IBM(NYSE:IBM)近日发表其网络安全研究部门X-Force的《二零一零年中期趋势及风险报告》。X-Force的调查显示,在二零一零年上半年,已披露的漏洞个案激增,破历史纪录。X-Force研发小组在今年上半年存录的新漏洞共4,396各,较去年同期增加36%,其中55%已披露的漏洞在上半年期末时,仍未获软体商提供修补程序。X-Force的报告指出,网页应用程式漏洞仍是最大的威胁,占所有已知漏洞个数五成以上。此外,隐藏于JavaScri
