2019年05月15日
在网络安全领域,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准于2019年5月13日正式发布,2019年12月1日开始实施。
此系列标准涵盖云计算、大数据、物联网、工控网络等新场景下的安全要求,在安全防护思路上相比于传统安全体系有极大的突破,必将成为迎接新时期网络安全建设的新基础。
第一项 等保的结构变化
第二项 要求项的变化
第三项 提出的新标准
(一)定级对象范围
“等保2.0”新标准中,每一级除通用要求外,均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全这5个扩展要求,以应对新兴技术安全需求。
相比“等保1.0”将定级对象统一定义为信息系统,《网络安全等级保护定级指南》对定级对象的具体范围根据扩展要求进行了细化:
云计算平台方面:定级对象将区分为服务的提供方和租户方;
物联网方面:感知、网络传输和处理应用等特征因素不单独定级,将作为一个整体进行评定;
移动互联方面:移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级;
大数据方面:安全责任主体相同的平台和应用将整体定级,除此之外为单独定级。
网络运营者在实施定级工作时,首先应当确定自身作为定级对象满足的基本特征,若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的,还应符合相应的要求。
(二)新概念的强化
在等保2.0中,引入了“可信”、“安全运维”和“安全管理中心”三个新概念。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。《网络安全等级保护基本要求》(报批稿)中强化了可信计算,充分体现一个中心、三重防御的思想,由被动防御变成主动防御,并强化可信计算安全技术要求的使用。
等级保护安全框架
网络安全等级保护安全技术设计框架
第四项 等保2.0与网络安全法的关系
等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。
网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。目前来看市场上大部分单位都以合规性建设为主,从立法角度来看,是一部非常健全的体系,会使业务的风险管控、网络安全能力会上升到一个新的高度。
等保2.0既是国家安全部署要求,也是市场发展客户安全保障的刚需,还是企业品牌树立、可持续发展的重要保障。等保2.0的落地实施是一个涉及到多环节、体系化的工作,作为国内全面可信的信息安全应用服务商,江苏国骏一直密切关注等保2.0的进程,关注相关法规标准、市场动态,后续更多精彩内容,敬请期待。
江苏国骏信息科技有限公司在信息网络安全、运维平台、数据管理、软件研发领域具备十多年的行业沉淀。公司遵循信息安全整体性的IATF模型,从“人员素养”、“制度流程”、“技术产品”三个视角提供全面、可信的方案,业务涵盖咨询、评估、规划、管控、建设、培训等。
江苏国骏信息科技有限公司——全面可信的信息安全服务商。