5月25日,《CIO的信息安全全局观- 等级保护2.0带来的新变化》线下大会在北京召开。本次活动是由知道创宇和CIO联盟联合主办,大会邀请了数位安全技术专家现场讨论——等级保护制度2.0发布后,将会带来哪些新的变化?下面就是由知道创宇安全专家带来的等保2.0干货分享。
上周,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等级保护2.0核心标准(《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》),并且等保2.0将于2019年12月1日开始实施。
等级保护2.0核心标准
自此,网络安全等级保护正式开始迈入了2.0时代,等保2.0时代将带来哪些变化?今天,就来带大家一起看懂等保2.0。
等保1.0回顾
在开始讲等保2.0之前,让我们先回顾一下等保1.0。等保1.0发布距离今已经有10多年的时间,在这些日子里,网络安全也越来越被人们所重视。
在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体防护,渗透测试,合规开始不等于安全。行业等级保护全面开展,等保开始逐渐的深入人心;再到1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行,云安、大数据、工控安全和移动安全开始占领主要趋势。
等保1.0普及了等保概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。
等保2.0有哪些不变?
1.五个级别不变
从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
等级保护五个级别
2.规定动作不变
规定动作分别为:定级、备案、建设整改、等级测评、监督检查。
等级保护规定动作
3.主体职责不变
等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。
等保2.0有哪些变化?
1、体系框架和保障思路的变化
等保1.0体系中主要体现被动防御,围绕一个中心三重防护展开(防火墙、入侵检测、防病毒)。而等保2.0则强调全方面的主动防御,强调向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。
2、等保对象的变化
在等级保护1.0体系中,保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。
在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
网络安全战略规划目标
3、测评要求的变化
等保2.0做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60分提升至75分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。
4、等保要求的组合变化
等保2.0存在等保要求的组合变化,拆分成1个通用要求和5个安全扩展要求。针对共性安全保护需求提出安全通用要求;针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,以此形成新的网络安全等级保护基本要求标准。
5、控制点和要求项的变化
相比较于等保1.0,等保2.0在控制点方面基本持平,并对冗余项进行了删减。但是在等保2.0通用要求部分新增了部分重要要求项。如:强调了入侵防范、安全审计、恶意代码防范、集中管控等要求。
本次演讲完整版PPT随后发出 持续关注请扫码添加好友
▼往期好文回顾▼看我如何自制安全的远程控制工具纯技术上来说,《看门狗》里的各种骇客技术有可能实现吗?KCSC安全大会现场|企业级安全应该如何建设?硬核分享|6亿用户隐私泄露,手把手教你打造专属隐私保护工具
知道创宇云安全大会 | 开辟安全净土
你好!我是芝士如果你想和我成为朋友或是想获取我们的产品白皮书可以搜索微信kcsc818加我好友哦
京公网安备 11010802041100号