等保2.0神秘面紗終于揭開
2019年05月15日
在網(wǎng)絡(luò)安全領(lǐng)域,等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》����、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》�����、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等國家標(biāo)準(zhǔn)于2019年5月13日正式發(fā)布�����,2019年12月1日開始實施���。
此系列標(biāo)準(zhǔn)涵蓋云計算����、大數(shù)據(jù)����、物聯(lián)網(wǎng)����、工控網(wǎng)絡(luò)等新場景下的安全要求�,在安全防護思路上相比于傳統(tǒng)安全體系有極大的突破,必將成為迎接新時期網(wǎng)絡(luò)安全建設(shè)的新基礎(chǔ)���。
第一項 等保的結(jié)構(gòu)變化
第二項 要求項的變化
第三項 提出的新標(biāo)準(zhǔn)
(一)定級對象范圍
“等保2.0”新標(biāo)準(zhǔn)中���,每一級除通用要求外,均還新增了云計算安全���、移動互聯(lián)安全�、物聯(lián)網(wǎng)安全�、工業(yè)控制系統(tǒng)安全和大數(shù)據(jù)安全這5個擴展要求,以應(yīng)對新興技術(shù)安全需求���。
相比“等保1.0”將定級對象統(tǒng)一定義為信息系統(tǒng)����,《網(wǎng)絡(luò)安全等級保護定級指南》對定級對象的具體范圍根據(jù)擴展要求進行了細(xì)化:
云計算平臺方面:定級對象將區(qū)分為服務(wù)的提供方和租戶方�����;
物聯(lián)網(wǎng)方面:感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等特征因素不單獨定級���,將作為一個整體進行評定�����;
移動互聯(lián)方面:移動終端�、移動應(yīng)用�����、無線網(wǎng)絡(luò)����、相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等也將統(tǒng)一定級���;
大數(shù)據(jù)方面:安全責(zé)任主體相同的平臺和應(yīng)用將整體定級�����,除此之外為單獨定級�。
網(wǎng)絡(luò)運營者在實施定級工作時,首先應(yīng)當(dāng)確定自身作為定級對象滿足的基本特征����,若從事基礎(chǔ)信息網(wǎng)絡(luò)、工控系統(tǒng)����、云計算、物聯(lián)網(wǎng)�、大數(shù)據(jù)等特定領(lǐng)域服務(wù)的,還應(yīng)符合相應(yīng)的要求�。
(二)新概念的強化
在等保2.0中,引入了“可信”�、“安全運維”和“安全管理中心”三個新概念。可信計算是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺�,以提高系統(tǒng)整體的安全性?����!毒W(wǎng)絡(luò)安全等級保護基本要求》(報批稿)中強化了可信計算��,充分體現(xiàn)一個中心��、三重防御的思想��,由被動防御變成主動防御,并強化可信計算安全技術(shù)要求的使用���。
等級保護安全框架
網(wǎng)絡(luò)安全等級保護安全技術(shù)設(shè)計框架
第四項 等保2.0與網(wǎng)絡(luò)安全法的關(guān)系
等保2.0的標(biāo)準(zhǔn)是國內(nèi)非涉密信息系統(tǒng)的安全集成標(biāo)準(zhǔn)��,網(wǎng)絡(luò)安全法是作為法律�、中國信息安全的基本法���。網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級保護標(biāo)準(zhǔn)來做建設(shè)���。
網(wǎng)絡(luò)安全法從立法到配套法律法規(guī)的確定完善,到市場上反映出來一定的效果是需要一定的過程的��。這個過程在于執(zhí)法是否落實到位�,規(guī)定的標(biāo)準(zhǔn)是否真的符合業(yè)務(wù)安全痛點���。目前來看市場上大部分單位都以合規(guī)性建設(shè)為主�����,從立法角度來看��,是一部非常健全的體系����,會使業(yè)務(wù)的風(fēng)險管控、網(wǎng)絡(luò)安全能力會上升到一個新的高度��。
等保2.0既是國家安全部署要求����,也是市場發(fā)展客戶安全保障的剛需,還是企業(yè)品牌樹立���、可持續(xù)發(fā)展的重要保障��。等保2.0的落地實施是一個涉及到多環(huán)節(jié)����、體系化的工作�,作為國內(nèi)全面可信的信息安全應(yīng)用服務(wù)商,江蘇國駿一直密切關(guān)注等保2.0的進程�,關(guān)注相關(guān)法規(guī)標(biāo)準(zhǔn)、市場動態(tài)�����,后續(xù)更多精彩內(nèi)容,敬請期待���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運維平臺�����、數(shù)據(jù)管理��、軟件研發(fā)領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”、“制度流程”��、“技術(shù)產(chǎn)品”三個視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢��、評估�、規(guī)劃����、管控�����、建設(shè)����、培訓(xùn)等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商��。
