等保2.0神秘面紗終于揭開
2019年05月15日
在網(wǎng)絡(luò)安全領(lǐng)域,等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》�����、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》��、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國家標(biāo)準(zhǔn)于2019年5月13日正式發(fā)布���,2019年12月1日開始實(shí)施。
此系列標(biāo)準(zhǔn)涵蓋云計(jì)算、大數(shù)據(jù)�����、物聯(lián)網(wǎng)�、工控網(wǎng)絡(luò)等新場(chǎng)景下的安全要求,在安全防護(hù)思路上相比于傳統(tǒng)安全體系有極大的突破��,必將成為迎接新時(shí)期網(wǎng)絡(luò)安全建設(shè)的新基礎(chǔ)�����。
第一項(xiàng) 等保的結(jié)構(gòu)變化
第二項(xiàng) 要求項(xiàng)的變化
第三項(xiàng) 提出的新標(biāo)準(zhǔn)
(一)定級(jí)對(duì)象范圍
“等保2.0”新標(biāo)準(zhǔn)中�,每一級(jí)除通用要求外�����,均還新增了云計(jì)算安全��、移動(dòng)互聯(lián)安全���、物聯(lián)網(wǎng)安全�����、工業(yè)控制系統(tǒng)安全和大數(shù)據(jù)安全這5個(gè)擴(kuò)展要求�����,以應(yīng)對(duì)新興技術(shù)安全需求��。
相比“等保1.0”將定級(jí)對(duì)象統(tǒng)一定義為信息系統(tǒng)�,《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》對(duì)定級(jí)對(duì)象的具體范圍根據(jù)擴(kuò)展要求進(jìn)行了細(xì)化:
云計(jì)算平臺(tái)方面:定級(jí)對(duì)象將區(qū)分為服務(wù)的提供方和租戶方;
物聯(lián)網(wǎng)方面:感知���、網(wǎng)絡(luò)傳輸和處理應(yīng)用等特征因素不單獨(dú)定級(jí)����,將作為一個(gè)整體進(jìn)行評(píng)定��;
移動(dòng)互聯(lián)方面:移動(dòng)終端��、移動(dòng)應(yīng)用��、無線網(wǎng)絡(luò)�����、相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)等也將統(tǒng)一定級(jí)�����;
大數(shù)據(jù)方面:安全責(zé)任主體相同的平臺(tái)和應(yīng)用將整體定級(jí),除此之外為單獨(dú)定級(jí)����。
網(wǎng)絡(luò)運(yùn)營者在實(shí)施定級(jí)工作時(shí),首先應(yīng)當(dāng)確定自身作為定級(jí)對(duì)象滿足的基本特征��,若從事基礎(chǔ)信息網(wǎng)絡(luò)�、工控系統(tǒng)、云計(jì)算���、物聯(lián)網(wǎng)、大數(shù)據(jù)等特定領(lǐng)域服務(wù)的�,還應(yīng)符合相應(yīng)的要求。
(二)新概念的強(qiáng)化
在等保2.0中���,引入了“可信”����、“安全運(yùn)維”和“安全管理中心”三個(gè)新概念��。可信計(jì)算是在計(jì)算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)����,以提高系統(tǒng)整體的安全性��?���!毒W(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(報(bào)批稿)中強(qiáng)化了可信計(jì)算�����,充分體現(xiàn)一個(gè)中心�、三重防御的思想,由被動(dòng)防御變成主動(dòng)防御�����,并強(qiáng)化可信計(jì)算安全技術(shù)要求的使用�����。
等級(jí)保護(hù)安全框架
網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架
第四項(xiàng) 等保2.0與網(wǎng)絡(luò)安全法的關(guān)系
等保2.0的標(biāo)準(zhǔn)是國內(nèi)非涉密信息系統(tǒng)的安全集成標(biāo)準(zhǔn)���,網(wǎng)絡(luò)安全法是作為法律��、中國信息安全的基本法���。網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級(jí)保護(hù)標(biāo)準(zhǔn)來做建設(shè)�。
網(wǎng)絡(luò)安全法從立法到配套法律法規(guī)的確定完善��,到市場(chǎng)上反映出來一定的效果是需要一定的過程的��。這個(gè)過程在于執(zhí)法是否落實(shí)到位���,規(guī)定的標(biāo)準(zhǔn)是否真的符合業(yè)務(wù)安全痛點(diǎn)�����。目前來看市場(chǎng)上大部分單位都以合規(guī)性建設(shè)為主��,從立法角度來看��,是一部非常健全的體系,會(huì)使業(yè)務(wù)的風(fēng)險(xiǎn)管控��、網(wǎng)絡(luò)安全能力會(huì)上升到一個(gè)新的高度�。
等保2.0既是國家安全部署要求,也是市場(chǎng)發(fā)展客戶安全保障的剛需�,還是企業(yè)品牌樹立、可持續(xù)發(fā)展的重要保障���。等保2.0的落地實(shí)施是一個(gè)涉及到多環(huán)節(jié)����、體系化的工作,作為國內(nèi)全面可信的信息安全應(yīng)用服務(wù)商�����,江蘇國駿一直密切關(guān)注等保2.0的進(jìn)程����,關(guān)注相關(guān)法規(guī)標(biāo)準(zhǔn)、市場(chǎng)動(dòng)態(tài)�,后續(xù)更多精彩內(nèi)容,敬請(qǐng)期待��。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全����、運(yùn)維平臺(tái)、數(shù)據(jù)管理��、軟件研發(fā)領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”�����、“制度流程”��、“技術(shù)產(chǎn)品”三個(gè)視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢�、評(píng)估、規(guī)劃���、管控��、建設(shè)��、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
