5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准,并将于2019年12月1日开始实施。
16日,由公安部网络安全保卫局指导、公安部信息安全等级保护评估中心主办的“网络安全等级保护制度2.0国家标准宣贯会”在北京召开。院士、公安部网络安全保卫局、国标委、信安标委有关领导出席会议并发表讲话,并由标准主要起草单位对2.0国家标准进行了解读,会议要求各党政机关、重要行业部门、企事业单位、信息技术企业更好地了解、掌握等级保护制度2.0国家标准的最新要求,并尽快在工作中实践运用。
等级保护2.0是什么?
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法。随着信息技术的发展和网络安全形势的变化,等级保护制度2.0在1.0体系的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,实现对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖,以及除个人及家庭自建网络之外的领域全覆盖。网络安全等级保护制度2.0国家标准的发布,将对加强我国网络安全保障工作,提升网络安全保护能力产生深远的意义。
等级保护2.0是为应对网络空间环境的变化应运而生,从名称上《信息安全技术信息系统安全等级保护基本要求》到《信息安全技术网络安全等级保护基本要求》的变更,标志着等保的目标对象不再是单一的信息系统,而是扩展到了整个网络空间,也标志着等保要求从被动防御到制动防御的转变。
等级保护2.0有哪些重要变化?
1、体系框架和保障思路的变化
等保1.0体系中主要体现被动防御,围绕一个中心三重防护展开(防火墙、入侵检测、防病毒)。而等保2.0则强调全方面的主动防御,强调向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。
2、等保对象的变化
在等级保护1.0体系中,保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。
在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
3、测评要求的变化
等保2.0做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60分提升至75分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。
4、等保要求的组合变化
等保2.0存在等保要求的组合变化,拆分成1个通用要求和5个安全扩展要求。针对共性安全保护需求提出安全通用要求;针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,以此形成新的网络安全等级保护基本要求标准。
5、控制点和要求项的变化
相比较于等保1.0,等保2.0在控制点方面基本持平,并对冗余项进行了删减。但是在等保2.0通用要求部分新增了部分重要要求项。如:强调了入侵防范、安全审计、恶意代码防范、集中管控等要求。
进入等保2.0时代,网络运营者应该如何履行等级保护要求?
自2017年6月1日《网络安全法》正式实施以来,全国各地已发生数十起因违反网络安全法中等级保护相关条令而受到执法机关行政得的案件。而等保2.0中明确以《网络安全法》作为顶层设计,在法律效力上得到了极大的提高,无论是国家监管范围变得更宽,监管力度也将更强。
网络运营者必须按照等级保护制度要求开展定级备案、等级测评、安全建设、安全检查等工作,必须严格对照自身属性和等级分类,积极开展网络安全等级保护工作,增强网络安全防护能力,切实保障网络运行安全。
知道创宇等级保护方案架构
据北京知道创宇安全专家介绍,知道创宇以等保合规为基础,联合各地测评机构,帮助企业级用户从整体网络安全的角度进行合理规划与建设,构建合法合规、符合实际需求的安全保障体系,而不仅仅是安全产品的堆砌,保护企业核心资产安全的同时帮助用户顺利通过等级测评。同时可提供“云平台等保备案证明”、“云测评报告关键页”,实现以最小的安全投入满足等保的基础合规要求,并配备专业完善的安全服务体系,以满足整体风险评估、渗透测评、安全基线配置核查、漏洞和风险管理、安全事件处置等相关要求。
知道创宇云防御平台,帮助企业节约时间、人力及安全资源成本,加强管理,专注于自身业务,对网络安全更加有的放矢。
