阿里云優(yōu)惠券 先領券再下單

2019年5月13日，國家市場監(jiān)督管理總局、國家標準化管理委員會召開新聞發(fā)布會，正式發(fā)布了等保2.0相關的《信息安全技術網(wǎng)絡安全等級保護基本要求》、《信息安全技術網(wǎng)絡安全等級保護測評要求》、《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》等國家標準。

2019年12月1日，等級保護2.0正式實施。

什么是等保？

網(wǎng)絡安全等級保護制度是我國網(wǎng)絡安全領域的基本國策、基本制度，等級保護標準在1.0時代標準的基礎上，注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計，實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎信息網(wǎng)絡、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護對象的全覆蓋。

等保2.0有哪些變化？

近年來，隨著信息技術的發(fā)展和網(wǎng)絡安全形勢的變化，等保1.0要求已無法有效應對新的安全風險和新技術應用所帶來的新威脅，等保1.0被動防御為主的防御無法滿足當前發(fā)展要求，因此急需建立一套主動防御體系。等保2.0適時而出，從法律法規(guī)、標準要求、安全體系、實施環(huán)節(jié)等方面都有了變化。

1、標準依據(jù)的變化

從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務院147號令，而等保2.0標準的最高國家政策是網(wǎng)絡安全法，其中《中華人民共和國網(wǎng)絡安全法》第二十一條要求，國家實施網(wǎng)絡安全等級保護制度;第二十五條要求，網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案;第三十一條則要求，關鍵基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護;第五十九條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門給予處罰。因此不開展等級保護等于違法。

2、標準要求變化

等級2.0在1.0基本上進行了優(yōu)化，同時對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術提出了新的安全擴展要求。在使用新技術的信息系統(tǒng)需要同時滿足“通用要求+擴展要求”。且針對新的安全形勢提出了新的安全要求，標準覆蓋度更加全面，安全防護能力有很大提升。

通用要求方面，等保2.0標準的核心是優(yōu)化。刪除了過時的測評項，對測評項進行合理改寫，新增對新型網(wǎng)絡攻擊行為防護和個人信息保護等新要求，調整了標準結構、將安全管理中心從管理層面提升至技術層面。

擴展要求擴展了云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)。

3、安全體系變化

等保2.0相關標準依然采用“一個中心、三重防護”的理念，從等保1.0被動防御的安全體系向事前防御、事中相應、事后審計的動態(tài)保障體系轉變。建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網(wǎng)絡安全綜合防御體系，開展組織管理、機制建設、安全規(guī)劃、通報預警、應急處置、態(tài)勢感知、能力建設、監(jiān)督檢查、技術檢測、隊伍建設、教育培訓和經(jīng)費保障等工作。

4、等級規(guī)定動作

保護定級、備案、建設整改、等級測評、監(jiān)督檢查的實施過程中，等保2.0進行了優(yōu)化和調整。

(1)定級對象的變化。

等保1.0定級的對象是信息系統(tǒng)，等保2.0的定級對象擴展至基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺，覆蓋面更廣。

(2)定級級別的變化。

公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統(tǒng)的等級保護級別從1.0的第二級調整到了第三級(根據(jù)GA/T1389)。

(3)定級流程的變化。

等保2.0標準不再自主定級，二級及以上系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關備案，整體定級更加嚴格。

(4)測評合格要求提高

相較于等保1.0，等保2.0測評達的標準發(fā)生了變化，2.0中測評結論分為：優(yōu)(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分)，70分以上才算基本符合要求，基本分調高了，測評要求更加嚴格。

等保2.0的實施對企業(yè)有什么影響？

根據(jù)誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，網(wǎng)絡運營者成為等級保護的責任主體，如何快速高效地通過等級保護測評成為企業(yè)開展業(yè)務前必須思考的問題。

等保2.0有5個運行步驟：定級、備案、建設和整改、等級測評、檢查。同時，也分5個等級，即信息系統(tǒng)按重要程度由低到高分為5個等級，并分別實施不同的保護策略。

自2017年6月1日《網(wǎng)絡安全法》正式實施以來，全國各地已發(fā)生上百起因違反其中等級保護相關條令而受到執(zhí)法機關行政處罰的案件。網(wǎng)絡運營者必須按照等級保護制度要求開展定級備案、等級測評、安全建設、安全檢查等工作，必須嚴格對照自身屬性和等級分類，積極開展網(wǎng)絡安全等級保護工作，增強網(wǎng)絡安全防護能力，切實保障網(wǎng)絡運行安全。

知道創(chuàng)宇以等保合規(guī)為基礎，聯(lián)合各地測評機構，幫助企業(yè)級用戶從整體網(wǎng)絡安全的角度進行合理規(guī)劃與建設，構建合法合規(guī)、符合實際需求的安全保障體系，而不僅僅是安全產品的堆砌，保護企業(yè)核心資產安全的同時幫助用戶順利通過等級測評。

在等保實施過程中，知道創(chuàng)宇將輔助用戶進行定級，協(xié)助向公安機關備案;分析已定級的信息系統(tǒng)所采取的安全保護措施與等級保護標準要求之間的差距，提出整改建議;依據(jù)差距分析結果，對信息系統(tǒng)進行安全建設和整改;選擇合適的測評機構，現(xiàn)場協(xié)助用戶對定級系統(tǒng)進行等級測評。全程協(xié)助用戶完成從定級備案到整改加固到等級測評的全部流程，幫助企業(yè)節(jié)約時間成本、人力成本和安全資源，讓企業(yè)更加專注于自身業(yè)務。

部分相關安全產品：

·創(chuàng)宇盾(應用安全合規(guī))

Web業(yè)務系統(tǒng)入侵防御服務。軍工級Web業(yè)務系統(tǒng)防護服務，提供網(wǎng)頁防篡改、防拖庫竊密、防掛馬等安全服務。

·數(shù)據(jù)庫審計(審計合規(guī))

產品提供數(shù)據(jù)庫實時攻擊檢測、監(jiān)控和審計等功能，提升數(shù)據(jù)庫和業(yè)務系統(tǒng)的整體安全水平。

·終端管控(主機安全合規(guī))

集成私有云安全系統(tǒng)，既存在云殺毒和修補漏洞的優(yōu)勢，又通過私有化防止用戶數(shù)據(jù)泄露。

·滲透測試(應用安全合規(guī))

模擬黑客攻擊，對業(yè)務系統(tǒng)進行安全性測試，及時發(fā)現(xiàn)可導致企業(yè)數(shù)據(jù)泄露、被篡改等漏洞，并協(xié)助客戶修復。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！