服务热线
400-607-9299
作者:admin 发布时间:2019-05-15 阅读量:2534
等级保护1.0已实施到现在已经10余年了,但是随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展,这些新技术平台的等级保护规范却比较缺失、等级保护内容不够完善并且体系也不够健全,存在诸多问题。因此落地实施等级保护2.0(以下简称:等保2.0)已变得十分急迫。
今天,好消息终于传来,我国将于今年5月13日正式发布等保2.0标准。那么,等保2.0究竟发生了什么变化?等保2.0时代,企业如何做好安全体系建设?
自2015年起,国家安标委开始启动等保2.0标准的制定。2017年6月1日,《中华人民共和国网络安全法》的正式实施,将网络安全等级保护由基本制度、基本国策,上升为法律。
《网络安全法》的第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
同时,第三十一条规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由制定。
此外,第五十九条指出,网络安全运营者不履行第二十一条、第二十五条规定的网络安全保护义务的,将给予警告或者罚款等处罚。
这也就意味着,网络运营者不履行落实等级保护的义务就是违法!
等级保护的实施将帮助各行业企业满足合法合规要求,清晰化责任和工作方法,让安全贯穿全生命周期;明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化;提高人员安全意识,树立等级化防护思想,合理分配网络安全投资。
在谈等保2.0的变化之前,我们先来看看等级保护的发展历程以及等保2.0的修订背景。
从1.0到2.0,等保主要经历了以下几个阶段:
也许有人会问,为什么要对等保标准进行修订,推出等保2.0?对此,深信服安全专家向记者分析道,之所以进行修订,主要出于三点原因:
一是,传统的安全思维需要拓展和转变。“斯诺登事件”等安全事件的发生表明网络安全的威胁已经上升到国家层面。在这样的背景下,网络安全的保护体系需要全面升级,传统的安全思维已经难以有效保护网络空间安全,新技术不断涌现的同时也带来了新的挑战,因此传统信息安全的范畴需要进一步拓展。
二是,适应新型的系统形态和网络架构。新技术、新业务下的产品与服务不断创新,物联网、云计算、工业控制系统、移动互联网等新兴网络形态使得传统信息安全的范畴需要进一步拓展,要求网络安全的保护体系也随之升级。
三是,现有等保体系需要完善升级。为了配合《网络安全法》的实施,为了适应云计算、移动互联、工业控制、物联网、大数据等新技术、新应用情况下等级保护工作的开展。有必要对GB/T22239-2008进行修订,在适用性、时效性、易用性、可操作性上进一步完善。
在此背景下,相较于1.0,等保2.0发生了五大主要变化:
第一,名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
第二,定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
第三,安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
第四,控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
第五,内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。
等保2.0时代已经到来,建设、运营单位该如何做好安全体系建设呢?谈及此,深信服安全专家有如下建议:
首先,建立高效的安全管理机构。由信息安全领导小组进行决策、监督,信息安全主管部门实施管理,安全管理员、安全审计员、系统管理员、网络管理员、数据库管理员、机房管理员等负责执行。
其次,体系化的安全管理制度。第一步,方针策略。制定信息安全工作的纲领性文件。第二步,制度办法。在安全方针策略的指导下,制定的各项安全管理和技术制度、办法和准则,用来规范单位各部门处室安全管理工作。第三步,流程细则。细化的实施细则、管理技术标准等内容,用来支撑第二层对应的制度与管理办法的有效实施。第四步,记录表单。记录活动实行以符合等级一级、二级和三级相关文件要求的客观证据,阐明所取得的结果或提供完成活动的证据。
完成了安全体系建设就可以过等保了么?非也!我们知道,在等保建设过程中,建设、运营单位通常会遇到各种各样的问题,比如:等保建设流程应该怎么做?如何在通过等保合规要求的基础上,让安全运维更简单更高效?而此时,如果你不能凭借自己的能力满足等保2.0的要求,选择可靠的第三方服务商是十分重要的。
以老牌安全厂商深信服为例,基于运营、使用单位在等保建设中的实际需求,为了帮助更多的运营、使用单位尽快满足等保2.0时代的合规要求,深信服推出了等级保护2.0解决方案。该方案是以国家等级保护安全框架为依据,通过提供专业的等保全流程服务,帮助用户在充分满足国家法律法规和标准体系的前提下,构建主动防御体系,为用户业务系统带来“持续保护”的价值。
此外,深信服为用户提供了“安全资源池(等保场景)”创新方案。该方案在一台硬件设备上即可提供下一代防火墙、SSLVPN、数据库审计、堡垒机、日志审计等各类等级保护建设所需要的安全组件。在满足合规要求的同时,让用户的等级保护建设更简单更有效。
目前,深信服的等保2.0解决方案已在政府、教育、医疗等多个行业落地使用。以政府行业为例,以前因为人工智能、大数据等新技术的实施,用户对无法快速实现新型攻击、潜伏威胁的检测与防御。通过深信服等保2.0解决方案,不但满足了等保2.0中相关的合规要求,用户还可通过从“被动防御+应急响应”向“主动防御+持续响应”的切换,集“智能、防御、检测、响应、运营”于一体的APDRO安全闭环,实现安全威胁快速检测与有效防御。
深信服认为,等保的核心价值在于“持续保护”。以安全可视化的方式,提供多维度安全报表为安全决策提供数据支撑,提升组织安全管理效率;对组织的核心资产、各类威胁与违规行为,网络东西向、南北向流量进行持续检测分析,提升网络整体安全保护能力;参照智能/防御/检测/响应/运营的APDRO安全模型,加强云端防护、威胁情报的联动,构建本地协同、云端联动的动态保护体系。最终,让用户切实感受到等级保护带来的价值。
上一篇:安全运维审计