等保2.0丨5分钟速览:小白都能明白的等保2.0简介
等保2.0的概念等保2.0全称网络安全品级保护2.0制度,是我国网络安全范畴的根本国策、根本制度。以1.0的规范为底子,品级保护尺度以积极的防御为重点,由被动的防御发展为安全可信、动态感知和全过程的事前、事中和过后的全过程的全方位的考核,从而到达对传统的信息系统、底子信息网络、云计算、大数据、物联网、移动互联网和工控信息系统的品级保护目标的覆盖。
实行原则
根据《信息系统安全品级保护实行指南》精神,明确了以下根本原则:
自主保护原则:信息系统的运行和使用单元及其主管机关,根据国家有关法律、规范,决定信息系统的安全防护水平,并自行构造执行。
重点保护原则:按照信息系统的紧张性和业务特征,对信息系统进行不同的安全防护,对涉及到核心业务和紧张信息资产的信息系统进行优先保护。
同步建立原则:在新建、改建和扩建信息系统时,要对安全计划进行相应的规划和设计,并按一定的比例进行信息安全办法的建立,保证信息的安全性符合信息化建立的需要。
动态调节原则:根据信息系统的变动,实时地对安全防护步伐进行调整。如果因为信息系统的应用类型、范围等条件发生了改变,而导致的安全防护级别发生了变化,那么,要按照品级保护的管理规范以及技术尺度的规定,对信息系统的安全保护级别进行重新界定,并在此底子上,按照信息系统的安全保护级别的调整,对其进行再一次的执行。
https://i-blog.csdnimg.cn/direct/b3eda62fa312434a828be87b3effaa34.png
等保2.0稳定之处
1、5个品级稳定
从一至五个层次依次为:使用者自治保护水平、指导保护水平、监视保护水平、强制保护水平和监视保护水平。
2、规定动作稳定
规定动作包括:分级,存案,建立整改,品级评定,督导检查。
3、主体职责稳定
品级保护的紧张责任包括:网安部分负责受理分级目标的登记和监视检查;第三方测评机构负责定级目标的安全评价;上级主管部分负责下级单元的安全管理;运营使用单元负责定级目标的品级保护责任。
2.0与1.0变化之处
1、名称变化
《信息系统安全品级保护根本要求》 改为:《网络安全品级保护根本要求》,与《网络安全法》保持同等。
2、定级对象变化
随着等保2.0的到来,将保护目标由传统的网络与信息系统拓展到“云移物工大”,将底子网络、紧张信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公共服务平台等都纳入到了品级保护的范畴之中。
3、安全要求变化
等保2.0从单一的底子需求演化为“一般安全需求+新技术安全拓展需求”,此中“安全通用需求”是指无论何种级别保护对象情势都要满足的需求,特别适用于云计算、移动互联、物联网、工控等范畴。
4、控制步伐分类结构变化
“一个中心,三级保护”的理念,在“等保2.0”管控步伐分级结构上进行了调整。在此底子上,提出了安全物理情况,安全通讯网络,安全域边界,安全计算情况,安全管理中心等内容。管理方面的内容作了修改:安全管理体系,安全构造,安全人员,安全施工管理,安全运行管理。
5、工作内涵变化
等保2.0,不仅对1.0时期的定级、存案、安全建立、品级测评、监视检查等做了进一步的界定,更紧张的是,要将安全检测、转达预警、案事件观察等步伐,都纳入到品级保护体系中,并予以执行。
实行等保2.0原因
由于等保1.0缺少对大数据、云计算、物联网等新技术、新应用的分级保护规范;在风险评估、安全监控、转达和预警等工作以及政策、尺度、测试、技术与服务等方面也存在不足。为满足云计算、物联网、移动互联、工业控制等范畴的新技术发展需求,在公安部的指导下,启动了信息技术新范畴品级保护重点尺度的申报工作,标记着品级保护正式进入2.0时代。
等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提拔的有用补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的底子。
网络安全品级保护留意事项
1、品级测评并非安全认证
在许多人看来,等保测试就像是网络安全认证一样,但是,现在的品级保护测试,是由公安部委托的上百家测试机构,对一个信息系统进行安全测试,测试合格后,会发出一份《品级保护测评陈诉》,如果你能得到一份测试陈诉,那就阐明这个信息系统已经到达了品级保护的尺度。
2、过等保不能一劳永逸
通过测试和修正,以及实行分级保障体系,可以有用地避免大多数的安全隐患。但是从现有的测试情况来看,全部测试的系统都不能完全到达安全保护的要求。一般来说,在现在的品级保护测试中,只要没有被检测出高风险,就能通过考核。然而,安全是一种动态的、不是静态的,不能只靠一次评估就能办理。企业在实行了等保安全规定后,通过对各种安全管理制度的严格执行,根本上可以保证整个体系的安全、稳定地运转。不过,这也不是百分之百的安全。
3、内网系统也需要做品级测评
起首,一切不涉及机密的系统,都是有级别保护的,不管你是在外网,照旧在内网上。《网络安全法》明确了中华人民共和国境内建立、运行、维护和使用的计算机网络和信息系统的分级保护。所以,无论是内部网,照旧外部网,都必须满足级别保护的安全需求。
其次,内网系统的安全防护步伐常常做得欠好,而且很多系统都受到了严重的干扰。2017年,“永恒之蓝”勒索病毒活着界范围内肆虐,造成多个内网系统瘫痪,给我们敲响了警钟。因此,不管是内网,照旧外网,都要做好防护步伐。
4、系统上云或者托管在其他地方也需做品级测评
现在,更多的小公司用户更倾向于在云计算和 IDC机房中部署自己的系统。这些云计算平台, IDC机房一般都是颠末品级测试的。但是,按照“谁经营谁负责,谁使用谁负责”的原则,系统的责任主体依然是网络运营者本身,因此,它必须对网络安全负有一定的责任。
5、谨慎定级
当前,将品级保护对象(信息系统)的安全品级分别为5个级别:1是最低级的,5是最高级的(5级是预留的,市场上已经评定的品级为4级)。如果是1级,那就不用测试了,直接保护就行。如果是2级以上,那就要做品级测试了。确定系统层次必须基于其紧张程度来确定。如果把代价定得太高,就会导致投资浪费;如果设定得太低,就会导致关键资讯系统无法得到适当的保护,因此,评级时应谨慎。
等保1.0的要求为:自行定级,有主管部分的,由主管部分考核,最后上报公安机关。2.0版的定级程序,增加了“专家评审”、“上级审批”两个步调,使定级工作更加尺度化、准确性更高。
6、系统存案场所
根据《信息安全品级保护管理办法》,对信息系统的运行和使用单元进行了分级保护。通常情况下,注册的主体不是开发商,也不是系统集成商,而是终端使用者。目前,一些企业的登记地和经营地并不是同一个地方,一般都是要到本地网安部分进行存案的。
一些企业的云系统是在云计算平台上部署的,其真实的物理地点常常与运营商所处的位置不同,这就给企业带来了很大困难。此外,一些单元的运营队伍与登记的营业地点也不尽雷同。如果是如许的话,应该在系统管理员所在的城市网安部分注册,如许才能更好地监视系统。
所以,更多的时间,照旧要去运维那里登记一下。固然,对于某些特定的财产,也会有一定的要求,像是某些涉及到金融安全的范畴,比方互联网金融系统、付出系统等,都需要在注册地进行定级存案,才能符合本地的羁系要求。
7、等保测评按需选择
这项耗费多大的成本,这要看你的信息系统级别,目前的系统安全保护情况,和运营商对评价得分的期望。
紧张包括:完善安全体系,安全加固等安全服务,增加安全装备。在安全制度和安全加固方面,网络运营者可以自行进行大量的整改工作,也可以委托系统集成方对其进行加固,一般情况下,这些都不是要别的付费的,也不是你跟系统集成方的合同里有协议的,只要把这两部分处理好,再加上一些安全技术步伐,根本就能达成根本同等的结论。因此,耗费多少取决于你如何做或你对它的期望。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]