重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
在开始讲等保2.0之前,让我们先回顾一下等保1.0。等保1.0发布距今已经有10多年的时间,在这些日子里,网络安全也越来越被人们所重视。
在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体防护,渗透测试,合规开始等于安全。行业等级保护全面开展,等保开始逐渐的深入人心;再到1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行,云安、大数据、工控安全和移动安全开始占领主要趋势。
等保1.0普及了等保概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
1.五个级别不变
从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
等级保护五个级别
2.规定动作不变
规定动作分别为:定级、备案、建设整改、等级测评、监督检查。
等级保护规定动作
3.主体职责不变
等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。
一、跨入2.0时代,发生的显著变化
1.标准的命名发生变化:等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《网络安全法》中的相关法律条文保持一致。
2.扩展需求的增加:为了配合《网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
3.安全通用要求控制域发生变化:等保2.0由旧标准的10个分类调整为8个分类,分别为技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
4.定级对象的扩展:
5.定级矩阵的变化:加重了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,其中特别严重损害由过去的第二级升级为第三级。
等保2.0随着数据价值的大化释放,我们逐渐认识到:数据是等级保护安全建设的核心内容,物理环境、网络通信、设备计算、应用安全是数据前四道防线,围绕数据、人、平台、管理制度是未来网络安全主动防御体系的发展方向。
前面我们也提到,等保2.0补充提出了五项安全扩展要求:云计算安全、移动互联网安全、物联网安全、大数据安全和工业控制系统安全。由原来的物理安全、网络安全、主机安全、应用安全、数据安全及恢复,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。而安华金和当前全线数据库安全产品能够全面对标等保2.0。
举例来说,等保分五级,明确指出了五个规定动作:定级、备案、建设、测评、监督,测评是通过访谈、现场检查、测试三种方式,数据库安全的测评指标来自于“主机安全”和“数据安全及恢复”,面向中国所有非涉密信息系统,都要按照等级保护进行建设。
一般等级保护二级以上系统主要集中在党、政、央企、金融、能源、通信、铁路等行业里。数据库审计是等保二、三级必选。
其中,等保四级是结构化保护级,公安机关每半年检查一次,要求在第三级自主和强制访问控制扩展到所有主体与客体之外,还要考虑隐蔽通道,可信计算基结构化,增强鉴别机制和配置管理控制,具有相当的抗渗透能力,数据保密性提出数据库系统提供加密存储机制,数据库加密系统可以应对该项等保测评要求。
面对当前的等保形势,9月26-28日,安华金和应邀参加由青岛网警举办的网络安全等级保护业务培训班,将安华金和的产品技术能力融入数据安全治理的解决方案中,基于等保标准的合规需求,为青岛重点的政府机关、金融、教育等行业单位的用户提供专业的数据安全建设终极秘籍,一起在等保2.0时代安全驰骋。
会上,安华金和和与会用户一起梳理了数据安全治理的框架,并结合自身的安全产品与技术服务思路,提出可落地的数据安全治理技术路线,让安全能力以“点”、“面”、“整体”的辐射覆盖方式灵活落地。
点:以“任务”或“纯粹目标”为导向的数据安全建设,如系统等保测评、单一业务安全需求等。
面:以“重要信息系统”或“多个业务应用”为导向的数据安全建设,如学籍系统、贫困学生资助系统等。
整体:以“平台级”为导向的数据安全建设,如省、市整体数据安全规划,大数据平台建设,云平台建设等。
互联互通社区
互联互通社区专注于IT互联网交流与学习,关注公众号:互联互通社区,每日获取最新报告并附带专题内容辅助学习。方案打造与宣讲、架构设计与执行、技术攻坚与培训、数据中台等技术咨询与服务合作请+微信:hulianhutongshequ