① 網路安全等級保護2.0標准體系
等級保護2.0標准主要特點
首先,我們來看看網路安全等級保護2.0的主要標准,如下圖:
說起網路安全等級保護2.0標準的特點,馬力副研究員表示,主要體現在以下三個方面:
一是,對象范圍擴大。新標准將雲計算、移動互聯、物聯網、工業控制系統等列入標准范圍,構成了「安全通用要求+新型應用安全擴展要求」的要求內容。
二是,分類結構統一。新標准「基本要求、設計要求和測評要求」分類框架統一,形成了「安全通信網路」、「安全區域邊界」、「安全計算環境」和「安全管理中心」支持下的三重防護體系架構。
三是,強化可信計算。新標准強化了可信計算技術使用的要求,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。
「標准從一級到四級全部提出了可信驗證控制項。但在標準的試用期間,對於可信驗證的落地還存在諸多挑戰。所以,我們希望與這次參會的所有硬體廠商、軟體廠商、安全服務商共同努力,把可信驗證、可信計算這方面的產品產業化,來更好地支撐新標准。」 馬力副研究員說到。
等級保護2.0標準的十大變化
隨後,他為大家解讀了等級保護2.0標準的十大變化,具體如下:
1、名稱的變化
從原來的《信息系統安全等級保護基本要求》改為《信息安全等級保護基本要求》,再改為《網安全等級保護基本要求》。
2、對象的變化
原來的對象是信息系統,現在等級保護的對象是網路和信息系統。安全等級保護的對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統等。
3、安全要求的變化
由「安全要求」改為「安全通用要求和安全擴展要求」。
安全通用要求是不管等級保護對象形態如何必須滿足的要求,針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求,成為安全擴展要求。
4、章節結構的變化
第三級安全要求的目錄與之前版本明顯不同,以前包含技術要求、管理要求。現在的目錄包含:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。
對此,馬力副研究員指出:「別小看只是目錄架構的變化,這導致整個新標準的使用不同。1.0標准規定技術要求和管理要求全部實現。現在需要根據場景選擇性的使用通用要求+某一個擴展要求。」
5、分類結構的變化
在技術部分,由物理安全、網路安全、主機安全、應用安全、數據安全,變更為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心;在管理部分,結構上沒有太大的變化,從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理,調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
6、增加了雲計算安全擴展要求
雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的內容包括:基礎設施的位置、虛擬化安全保護、鏡像和快照保護、雲服務商選擇和雲計算環境管理等方面。
7、增加了移動互聯網安全擴展要求
移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括:無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟體采購和移動應用軟體開發等方面。
8、增加了物聯網安全擴展要求
物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括:感知節點的物理防護、感知節點設備安全、感知網關節點設備安全、感知節點的管理和數據融合處理等方面。
9、增加了工業控制系統安全擴展要求
工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護需求。對工業控制系統主要增加的內容包括:室外控制設備防護、工業控制系統網路架構安全、撥號使用控制、無線使用控制和控制設備安全等方面。
10、增加了應用場景的說明
增加附錄C描述等級保護安全框架和關鍵技術,增加附錄D描述雲計算應用場景,附錄E描述移動互聯應用場景,附錄F描述物聯網應用場景,附錄G描述工業控制系統應用場景,附錄H描述大數據應用場景(安全擴展要求)。
等級保護2.0標準的主要框架和內容
為了讓大家更為直觀的了解等級保護2.0標準的主要框架和內容,我重點通過PPT來闡述。
首先來看看新標准結構:
2008版基本要求文檔結構如下:
新基本要求文檔結構如下:
安全通用要求中的安全物理部分變化不大,見下面:
網路試用版到***版被拆分了三個部分:安全通信網路、安全區域邊界、安全管理中心。安全管理中心在強調集中管控的時候,再次強調了系統管理,審計管理,安全管理,構成新的標准內容。具體如下:
演講***,馬力副研究員對幾個擴展要求進行了總結展示。他強調,GB/T22239-2019《信息安全技術 網路安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術 信息系統安全等級保護基本要求》,並呼籲大家認真學習新版等保要求。
② 網路安全等級保護規定
法律分析:國家對網路安全實行等級保護制度,對公共通信和信息服務、能源、交通等重要行業和領域,在網路等級保護的基礎上,實行重點保護。
法律依據:《中華人民共和國網路安全法》
第十五條 國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
③ 等保2.0標准
等保2.0新標准會對網路安全帶來重要改變,等級保護工作也面臨顯著的變化,可從定級對象范圍與可信計算的強化兩方面了解,具體如下:
1、「等保2.0」新標准中,每一級都新增了雲計算安全、移動互聯安全、物聯網安全、工業控制系統安全和大數據安全5個擴展要求,以應對新興技術安全需求。
2、相比「等保1.0」將定級對象統一定義為信息系統,《網路安全等級保護定級指南》對定級對象的具體范圍根據擴展要求進行了細化,雲計算平台方面,定級對象將區分為服務的提供方和租戶方;物聯網方面,感知、網路傳輸和處理應用等特徵因素不單獨定級,將作為一個整體進行評定;移動互聯方面,移動終端、移動應用、無線網路、相關有線網路業務系統等也將統一定級;大數據方面,安全責任主體相同的平台和應用將整體定級,除此之外為單獨定級。
3、網路運營者在實施定級工作時,應當確定自身作為定級對象應當滿足的基本特徵,若從事基礎信息網路、工控系統、雲計算、物聯網、大數據等特定領域服務的,還應符合相應的要求。
4、《網路安全等級保護基本要求》中強化了可信計算,充分體現一個中心、三重防禦的思想,由被動防禦變成主動防禦,並強化可信計算安全技術要求的使用;具體表現為在安全通信網路、安全區域邊界、安全計算環境三個分類中,均增加了可信驗證控制點。
④ 等級保護2.0國家標准
法律分析:等級保護2.0標准體系主要標准如下:1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
法律依據:《中華人民共和國網路安全法》
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
⑤ 等級保護2.0國家標准
網路安全等級保護制度》2.0國家標准發布,其中關於企業數據保護有以下要求:應提供重要數據的本地數據備份與恢復能力;應提供異地數據備份功能,利用通信網路能將重要數據定時批量傳送至備用場地,應識別需要定期備份的重要業務信息、系統數據及軟體系統等;應規定備份信息的備份方式、備份頻度、存儲介質、保質期等;應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份程序和恢復程序等。該標準的發布標志著我國網路安全等級保護工作正式進入「2.0時代」。等級保護工作的落實有效提升了我國的網路安全防護能力。等保2.0的發布,是對除傳統信息系統之外的新型網路系統安全防護能力提升的有效補充,是貫徹落實《中華人民共和國網路安全法》、實現國家網路安全戰略目標的基礎。
【拓展資料】
國家市場監督管理總局、國家標准化管理委員會召開新聞發布會,等保2.0相關的《信息安全技術網路安全等級保護基本要求》、《信息安全技術網路安全等級保護測評要求》、《信息安全技術網路安全等級保護安全設計技術要求》等國家標准正式發布,將於2019年12月1日開始實施。
發布會由市場監督管理總局新聞宣傳司領導主持。市場監督管理總局標准技術司副司長通報國家標准制定流程改革情況並發布重要國家標准。公安部信息安全等級保護評估中心規劃咨詢部副主任陳廣勇對《信息安全技術網路安全等級保護基本要求》國家標准進行了解讀。
信息安全等級保護制度是國家信息安全保障工作的基礎,也是一項事關國家安全、社會穩定的政治任務。通過開展等級保護工作,發現企業網路和信息系統與國家安全標准之間存在的差距,找到目前系統存在的安全隱患和不足,通過安全整改,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險。
相較於2007年實施的《信息安全等級保護管理辦法》所確立的等級保護1.0體系,為了適應現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,2018年公安部正式發布《網路安全等級保護條例(徵求意見稿)》,國家對信息安全技術與網路安全保護邁入2.0時代。
據了解,原來的保護對象主要包括各類重要信息系統和政府網站,保護方法主要是對系統進行定級備案、等級測評、建設整改、監督檢查等,在此基礎上,等保2.0擴大了保護對象的范圍、豐富了保護方法、增加了技術標准。等保2.0將網路基礎設施、重要信息系統、大型互聯網站、大數據中心、雲計算平台、物聯網系統、工業控制系統、公眾服務平台等全部納入等級保護對象,並將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核、安全員培訓等工作措施全部納入等級保護制度。
有國內專業機構表示,等保2.0國家標准對比等保1.0,在保護范圍、法律效力、技術標准、安全體系、定級流程、定級指導等方面均發生變化,信息安全系統改造在即。等保2.0做出對關鍵信息基礎設施「定級原則上不低於三級」的指導,測評分數的要求由60分提升至75分以上,且第三級及以上信息系統每年或每半年就要進行一次測評。國家重點行業將帶頭加大信息安全產品和咨詢服務的持續投入。回顧我國信息安全產業曾在等保1.0影響下進入加速發展期,專家預計,等保2.0將繼續帶動行業大發展,至少打開百億級以上增量市場空間。
⑥ 什麼是信息安全等級保護等保2.0是什麼
【信息安全等級保護】
是指根據信息系統在國家安全、社會穩定、經濟秩序和公共利益方便的中重要程度以及風險威脅、安全需求、安全成本等因素,將其劃分不同的安全保護等級並採取相應等級的安全保護技術、管理措施、以保障信息系統安全和信息安全。
等級保護制度是我國網路安全的基本制度。層次化保護是指對國家重要信息、法人和其他組織、公民的專有信息以及公共信息和存儲、傳輸、處理此類信息的信息系統進行層次化安全保護。
網路信息安全等級保護2.0制度
【等保2.0是什麼?】
等保2.0全稱網路信息安全等級保護2.0制度,是我國企業網路系統安全管理領域的基本國策、基本經濟制度。分級防護標准在1.0時代標準的基礎上,注重主動防禦,從被動防禦到安全可信、動態感知和事前、事中、事後全流程全面審計,實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工控信息系統等級保護對象的全覆蓋。
希望本篇回答可以幫助到你~
望採納~
⑦ 網路安全等級保護2.0什麼時候實施,相比1.0有哪些變化
以下資料來源等保測評機構——時代新威官網。如還有更多疑問請官網查看。
等保2.0相比1.0主要有四大方面的變化:
(1) 名稱上的變化
名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。
(2) 法律效力不同
《網路安全法》第21條規定「國家實行網路安全等級保護制度,要求網路運營者應當按照網路安全等級保護制度要求,履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。
(3)保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
(4) 控制措施分類不同
等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網路安全、主機安全、應用安全、數據安全及備份恢復,管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外,等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性,即「一個中心,三重防護」。
(5) 內容進行了擴充
等保1.0有五個規定性動作,包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。
⑧ 什麼是信息安全等級保護等保2.0是什麼
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
等級保護2.0」或「等保2.0」是一個約定俗成的說法,指按新的等級保護標准規范開展工作的統稱。通常認為是《中華人民共和國網路安全法》頒布實行後提出,以2019年12月1日,網路安全等級保護基本要求、測評要求和設計技術要求更新發布新版本為象徵性標志。
證書案例