一篇文章带你看懂等级保护2.0

来自:知道创宇KCSC(微信号:knownsec818),作者:芝土

5月25日,《CIO的信息安全全局观- 等级保护2.0带来的新变化》线下大会在北京召开。本次活动是由知道创宇和CIO联盟联合主办,大会邀请了数位安全技术专家现场讨论——等级保护制度2.0发布后,将会带来哪些新的变化?下面就是由知道创宇安全专家带来的等保2.0干货分享。

 

上周,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等级保护2.0核心标准(《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》),并且等保2.0将于2019年12月1日开始实施。


等级保护2.0核心标准


自此,网络安全等级保护正式开始迈入了2.0时代,等保2.0时代将带来哪些变化?今天,就来带大家一起看懂等保2.0。


 

等保1.0回顾

在开始讲等保2.0之前,让我们先回顾一下等保1.0。等保1.0发布距离今已经有10多年的时间,在这些日子里,网络安全也越来越被人们所重视。

 

在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体防护,渗透测试,合规开始不等于安全。行业等级保护全面开展,等保开始逐渐的深入人心;再到1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行,云安、大数据、工控安全和移动安全开始占领主要趋势。

 

等保1.0普及了等保概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。

 

等保2.0有哪些不变?



1.五个级别不变

从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

等级保护五个级别 


2.规定动作不变

规定动作分别为:定级、备案、建设整改、等级测评、监督检查。

等级保护规定动作

 

3.主体职责不变

等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

 

等保2.0有哪些变化



1、体系框架和保障思路的变化

等保1.0体系中主要体现被动防御,围绕一个中心三重防护展开(防火墙、入侵检测、防病毒)。而等保2.0则强调全方面的主动防御,强调向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。

2、等保对象的变化

在等级保护1.0体系中,保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。

 

在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。


网络安全战略规划目标


3、测评要求的变化

等保2.0做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60分提升至75分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。


4、等保要求的组合变化

等保2.0存在等保要求的组合变化,拆分成1个通用要求和5个安全扩展要求。针对共性安全保护需求提出安全通用要求;针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,以此形成新的网络安全等级保护基本要求标准。


5、控制点和要求项的变化

相比较于等保1.0,等保2.0在控制点方面基本持平,并对冗余项进行了删减。但是在等保2.0通用要求部分新增了部分重要要求项。如:强调了入侵防范、安全审计、恶意代码防范、集中管控等要求。

推荐↓↓↓
黑客技术与网络安全
上一篇:信息泄漏时代,如何让自己的密码更安全? 下一篇:看我如何自制安全的远程控制工具