2020年突如其来的疫情,使得我们的日常工作、学习和生活都转而依靠互联网平台,此时网络安全问题的重要性更加突显。与此同时,新一代信息基础设施也在更加广泛和深入地服务于我们的社会经济,与之密切相关的网络数据安全的重要性更加凸显。
网络安全等级保护制度,根据信息系统对于国家、社会、团体和公众的重要程度的不同,建立了一个其应该达到的安全要求的统一规范,提供了我国对于信息系统基于 “合规” 管理的一系列支持基础。
2019年5月13日等保2.0三大标准发布,并于2019年12月1日正式实施。在新标准发布之前,新立项的网络安全建设或者整改项目已经预先开始按照新的标准进行推进。
2020年4月28日,国家市场监督管理总局、国家标准化管理委员会制定《信息安全技术网络安全等级保护定级指南》发布,将于2020年11月1日实施。
等级保护2.0是什么?
网络安全等级保护2.0简称等保2.0,2014年开始启动编制,修订了通用安全要求,增加了云计算、物联网、移动互联网、工控系统、大数据等安全扩展要求,内容包括网络安全等级保护安全通用要求和安全扩展要求,标志着等级2.0时代的到来。
在等保1.0推行十年之后,绝大部分的行业用户对网络安全等级保护制度已基本有所了解。但是新发布的等保2.0是什么?对用户来说更关心的是等保2.0与1.0的差别是什么?我们需要增加什么产品、服务、措施来满足新标准的要求?如何顺利通过等保2.0的测评?
等保2.0相较于1.0有哪些变化?
❖ “五个级别”不变
等保2.0五个等级划分依据
1999年,我国颁布的强制性标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中规定了计算机系统安全保护能力的五个等级,等级保护1.0和2.0一直沿用这五个等级。
❖ “五个阶段”不变
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布的《信息安全等级保护管理办法》(公通字[2007]43号),规定了开展等级保护的五个步骤:定级、备案、安全建设(或者安全整改)、等级测评、监督检查。
❖ 等级保护“主体责任”不变
《信息安全等级保护管理办法》(公通字[2007]43号)中规定了四个主体职责:运营使用单位对定级对象的等级保护职责、上级主管单位对所属单位的安全管理职责、第三方测评机构对定级对象的安全评估职责、公安机关对定级对象的备案受理及监督检查职责,在等级保护2.0中,这四个主体职责保持不变。
等保2.0五个规定实施步骤
❖ 法律地位的变化
等保2.0标准依据的最高国家政策是2017年6月1日颁布的《中华人民共和国网络安全法》,从条例法规层面提升到国家法律层面,这就意味着不开展等级保护的单位和个人等于违法,并要承担相应的法律后果。
❖ 标准要求的变化
等保2.0保护对象范围扩大了,将云计算、物联网、移动互联网、工业控制系统、大数据等列入等级保护范围。
等保2.0将标准在分类结构方面也进行了统一,将“等级保护基本要求”、“等级保护测评要求”、“等级保护设计要求”分类框架统一,三个标准均采用“一个中心、三重防护”的体系架构,包括:安全通信网络、安全区域边界、安全计算环境、安全管理中心。
等保2.0标准强化了可信计算技术的使用要求,在安全通信网络、安全区域边界、安全计算环境、安全管理中心都提及了可信验证,把可信验证列入各个级别并逐级提出了相应的可信验证要求。
等保2.0标准在标准名称、保护对象、安全要求、章节结构、分类结构都发生了变化,增加了云计算、物联网、移动互联网、工业控制系统和大数据等安全扩展要求,同时也增加了对应的应用场景说明。
❖ 安全保障体系的变化
从被动防御的安全保障体系向事前预防、事中响应、事后审计的动态保障体系转变,更多体现了对抗思维,讲究一切从实战出发,逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系。
从实战出发的动态安全保障体系
❖ 测评实施的变化
等级保护2.0在测评结果和测评周期方面有所调整。等级保护2.0测评成绩达到70分以上才算基本符合,第三级及以上的系统要求每年开展一次等级测评。
等保2.0测评结论与判定依据
等保2.0不单在保护对象保护范围上发生了变化,等级保护工作流程也发生了变化。
等级保护2.0定级流程如下:
从赛迪顾问2019年2月给出的预测数据来看,国内网络信息安全市场规模在2019年608.1亿元左右。
乐观的估计,与等保2.0相关的产业占到50%左右。网络安全市场的主力多年以来均是政策性依赖特别强的行业,如政府、金融、能源、交通等,等保2.0的发布和推广势必会触发网络安全市场的进一步爆发。
2019年,华为被美国列入贸易特殊名单(实体名单),除非获得特殊批准,否则美国企业不得向华为及其附属公司出售一切重要的技术、配件,中断了华为与诸多美国企业合作。
这些“卡脖子”事件,对我国IT信息化自主产业生态链的构建,特别是网络安全行业的发展,提供了非常有力的促进和带动作用。等保2.0正是在一系列政策推动、严峻形势下发布并实施,势必进一步激发国内网络安全市场。
网络安全等级保护制度,根据信息系统对于国家、社会、团体和公众的重要程度的不同,建立了一个其应该达到的安全要求的统一规范,提供了我国对于信息系统基于 “合规” 管理的一系列支持基础。
2019年5月13日等保2.0三大标准发布,并于2019年12月1日正式实施。在新标准发布之前,新立项的网络安全建设或者整改项目已经预先开始按照新的标准进行推进。
2020年4月28日,国家市场监督管理总局、国家标准化管理委员会制定《信息安全技术网络安全等级保护定级指南》发布,将于2020年11月1日实施。
等级保护2.0是什么?
网络安全等级保护2.0简称等保2.0,2014年开始启动编制,修订了通用安全要求,增加了云计算、物联网、移动互联网、工控系统、大数据等安全扩展要求,内容包括网络安全等级保护安全通用要求和安全扩展要求,标志着等级2.0时代的到来。
在等保1.0推行十年之后,绝大部分的行业用户对网络安全等级保护制度已基本有所了解。但是新发布的等保2.0是什么?对用户来说更关心的是等保2.0与1.0的差别是什么?我们需要增加什么产品、服务、措施来满足新标准的要求?如何顺利通过等保2.0的测评?
等保2.0相较于1.0有哪些变化?
❖ “五个级别”不变
等保2.0五个等级划分依据
1999年,我国颁布的强制性标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中规定了计算机系统安全保护能力的五个等级,等级保护1.0和2.0一直沿用这五个等级。
❖ “五个阶段”不变
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布的《信息安全等级保护管理办法》(公通字[2007]43号),规定了开展等级保护的五个步骤:定级、备案、安全建设(或者安全整改)、等级测评、监督检查。
❖ 等级保护“主体责任”不变
《信息安全等级保护管理办法》(公通字[2007]43号)中规定了四个主体职责:运营使用单位对定级对象的等级保护职责、上级主管单位对所属单位的安全管理职责、第三方测评机构对定级对象的安全评估职责、公安机关对定级对象的备案受理及监督检查职责,在等级保护2.0中,这四个主体职责保持不变。
等保2.0五个规定实施步骤
❖ 法律地位的变化
等保2.0标准依据的最高国家政策是2017年6月1日颁布的《中华人民共和国网络安全法》,从条例法规层面提升到国家法律层面,这就意味着不开展等级保护的单位和个人等于违法,并要承担相应的法律后果。
❖ 标准要求的变化
等保2.0保护对象范围扩大了,将云计算、物联网、移动互联网、工业控制系统、大数据等列入等级保护范围。
等保2.0将标准在分类结构方面也进行了统一,将“等级保护基本要求”、“等级保护测评要求”、“等级保护设计要求”分类框架统一,三个标准均采用“一个中心、三重防护”的体系架构,包括:安全通信网络、安全区域边界、安全计算环境、安全管理中心。
等保2.0标准强化了可信计算技术的使用要求,在安全通信网络、安全区域边界、安全计算环境、安全管理中心都提及了可信验证,把可信验证列入各个级别并逐级提出了相应的可信验证要求。
等保2.0标准在标准名称、保护对象、安全要求、章节结构、分类结构都发生了变化,增加了云计算、物联网、移动互联网、工业控制系统和大数据等安全扩展要求,同时也增加了对应的应用场景说明。
❖ 安全保障体系的变化
从被动防御的安全保障体系向事前预防、事中响应、事后审计的动态保障体系转变,更多体现了对抗思维,讲究一切从实战出发,逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系。
从实战出发的动态安全保障体系
❖ 测评实施的变化
等级保护2.0在测评结果和测评周期方面有所调整。等级保护2.0测评成绩达到70分以上才算基本符合,第三级及以上的系统要求每年开展一次等级测评。
等保2.0测评结论与判定依据
等保2.0不单在保护对象保护范围上发生了变化,等级保护工作流程也发生了变化。
等级保护2.0定级流程如下:
等保2.0定级流程图
从赛迪顾问2019年2月给出的预测数据来看,国内网络信息安全市场规模在2019年608.1亿元左右。
乐观的估计,与等保2.0相关的产业占到50%左右。网络安全市场的主力多年以来均是政策性依赖特别强的行业,如政府、金融、能源、交通等,等保2.0的发布和推广势必会触发网络安全市场的进一步爆发。
赛迪顾问2016-2021国内网络安全市场预测图
2019年,华为被美国列入贸易特殊名单(实体名单),除非获得特殊批准,否则美国企业不得向华为及其附属公司出售一切重要的技术、配件,中断了华为与诸多美国企业合作。
这些“卡脖子”事件,对我国IT信息化自主产业生态链的构建,特别是网络安全行业的发展,提供了非常有力的促进和带动作用。等保2.0正是在一系列政策推动、严峻形势下发布并实施,势必进一步激发国内网络安全市场。
