久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

等保2.0標(biāo)準(zhǔn)的“不變”

等級保護的概念自1994年提出后，經(jīng)過20多年的發(fā)展和演進，在2.0時代已經(jīng)有了不小的變化。但萬變不離其宗，等級保護的五個等級不變、五項工作不變、主體職責(zé)不變。

第一級：用戶自主保護級

第二級：系統(tǒng)保護審計級

第三級：安全標(biāo)記保護級

第四級：結(jié)構(gòu)化保護級

第五級：訪問驗證保護級

等級保護五個規(guī)定動作是指：定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。等保2.0標(biāo)準(zhǔn)仍然將圍繞這5個規(guī)定動作開展工作。

運營使用單位對定級對象的等級保護職責(zé)不變

上級主管單位對所屬單位的安全管理職責(zé)不變

第三方測評機構(gòu)對定級對象的安全評估職責(zé)不變

網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責(zé)不變

等保2.0標(biāo)準(zhǔn)的“變化”

近年來，隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的變化，傳統(tǒng)等保安全要求已無法有效應(yīng)對安全風(fēng)險和新技術(shù)應(yīng)用所帶來的新威脅，以被動防御為主的防御已經(jīng)out了，急需建立主動保障體系。等保2.0標(biāo)準(zhǔn)適時而出，應(yīng)對新形勢、新風(fēng)險，滿足新要求，擴大新內(nèi)容。

如此“新”的等保2.0標(biāo)準(zhǔn)，從法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實施環(huán)節(jié)等方面都有了“變化”：

從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務(wù)院147號令，而等保2.0標(biāo)準(zhǔn)的最高國家政策是網(wǎng)絡(luò)安全法。

《網(wǎng)絡(luò)安全法》第二十一條要求，國家實施網(wǎng)絡(luò)安全等級保護制度；第二十五條要求，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案； 第三十一條則要求，關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護；第五十九條明確了，網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門給予處罰。

總而言之，不開展等級保護等于違法！

等保2.0標(biāo)準(zhǔn)在對等保1.0標(biāo)準(zhǔn)基本要求進行優(yōu)化的同時，針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴展要求。也就是說，使用新技術(shù)的信息系統(tǒng)需要同時滿足“通用要求+安全擴展”的要求。并且，針對新的安全形勢提出了新的安全要求，標(biāo)準(zhǔn)覆蓋度更加全面，安全防護能力有很大提升。

通用要求方面，等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”。刪除了過時的測評項，對測評項進行合理性改寫，新增對新型網(wǎng)絡(luò)攻擊行為防護和個人信息保護等新要求，調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面。

這里我們重點談，安全擴展要求是等保2.0標(biāo)準(zhǔn)的“亮點”，要求細則必看：

1）云計算擴展要求

云計算技術(shù)的普及，解決了傳統(tǒng)數(shù)據(jù)中心的存儲難、資源占用大、成本高等問題，伴隨而來安全風(fēng)險也非常尖銳，主要來自于系統(tǒng)和數(shù)據(jù)所有權(quán)的轉(zhuǎn)移，新技術(shù)、虛擬環(huán)境等新模式兩方面帶來的風(fēng)險。等保2.0標(biāo)準(zhǔn)從原則性、自身防護、提供能力三方面提出了要求：

原則性要求：

應(yīng)確保云計算平臺不承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)；應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定等。

自身防護要求：

應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；應(yīng)能檢測虛擬機之間的資源隔離失效，并進行告警等。

提供能力要求：

應(yīng)實現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力等。

2）大數(shù)據(jù)擴展要求

管理流量與業(yè)務(wù)流量分離

大數(shù)據(jù)授權(quán)與分類分級管理

大數(shù)據(jù)層面入侵防范與告警

大數(shù)據(jù)應(yīng)用安全管理

3）物聯(lián)網(wǎng)擴展要求

網(wǎng)絡(luò)安全入侵防范與認(rèn)證授權(quán)

感知節(jié)點設(shè)備安全

非法感知節(jié)點設(shè)備識別與防范

抗數(shù)據(jù)重放，數(shù)據(jù)融合處理 

感知節(jié)點管理

4）工業(yè)控制擴展要求

工業(yè)控制系統(tǒng)隔離與安全區(qū)域劃分

工業(yè)控制數(shù)據(jù)加密傳輸

工業(yè)無線通信安全

工業(yè)控制設(shè)備自身安全

工業(yè)安全運維管理

5）移動互聯(lián)擴展要求

無線邊界控制與入侵防范

SSID廣播與WEP認(rèn)證

MDM、MCM管理

移動端應(yīng)用安全管控

移動端數(shù)據(jù)安全管控

后續(xù)，我們還會就新增的擴展要求進行進一步的解讀哦。

等保2.0標(biāo)準(zhǔn)依然采用“一個中心、三重防護” 的理念，從等保1.0標(biāo)準(zhǔn)被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。

建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系，開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作 。

在等級保護定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查的實施過程中，等保2.0標(biāo)準(zhǔn)進行了優(yōu)化和調(diào)整。

定級對象的變化：

等保1.0定級的對象是信息系統(tǒng)，等保2.0標(biāo)準(zhǔn)的定級的對象擴展至：基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺，覆蓋面更廣。

定級級別的變化：

公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時，相應(yīng)系統(tǒng)的等級保護級別從1.0的第二級調(diào)整到了第三級。

定級流程的變化：

等保2.0標(biāo)準(zhǔn)不再自主定級，而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關(guān)備案審查——>最終確定等級”這種線性的定級流程，系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案，整體定級更加嚴(yán)格。

相較于等保1.0，等保2.0標(biāo)準(zhǔn)測評周期、測評結(jié)果評定有所調(diào)整。等保2.0標(biāo)準(zhǔn)要求，第三級以上的系統(tǒng)每年開展一次測評，測評達到75分以上才算基本符合要求。基本分高了，要求更嚴(yán)苛了。

來源：網(wǎng)絡(luò)整理