网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


五标合一,等级保护迈入“新篇章”

2018-04-13 13:48 推荐: 浏览: 464 views 字号:

摘要: (本文原创,源自微信公众号:世平信息,转载请注明来源“杭州世平信息科技有限公司”) 在移动互联、云计算、物联网等新的业务环境下,对企业的网络安全保护提出更高的要求。《信息安全技术 网络安全等级保护基本要求》(等保2.0)发布后,较旧标准有哪些变化...

(本文原创,源自微信公众号:世平信息,转载请注明来源“杭州世平信息科技有限公司”)

在移动互联、云计算、物联网等新的业务环境下,对企业的网络安全保护提出更高的要求。《信息安全技术 网络安全等级保护基本要求》(等保2.0)发布后,较旧标准有哪些变化?企业应该如何应对?

解读等保2.0

等保2.0将信息安全等级保护引入到了网络安全等级保护的新时代,将“安全通用要求、云计算安全、移动互联安全、物联网安全、工业控制系统安全”五标合一。尤其是《中华人民共和国网络安全法》,以下简称《网络安全法》,第二十一条明文规定:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

《网络安全法》对网络安全等级保护的开展做了明确的要求,实现了网络安全等级保护领域依法治理有法可依,因此开展网络安全等级保护建设意义重大。

 

1.找差异

解读等保2.0(GB/T 22239-XXXX)(送审稿)的内容,首先我们还是要关注到新旧标准之间的差异:
  • 名称之变,两字之差,依法命名,地位不同,旧标准为信息安全等级保护,等保2.0定义为网络安全等级保护,也就是《网络安全法》里面说的网络安全等级保护;
  • 五标合一,内容紧凑,效率更高,将等级保护之前在编的5个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展及大数据安全扩展要求)进行了合并形成《网络安全等级保护基本要求》一个标准
  • 措施整合,合理分类,有效落地,控制措施分类由原先的10个分类调整为8个分类,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理);

具体分类对接如下图所示:

  • 条款减少,粒度更细,操作更强,新标准里面2级和3级对应的要求项总数分别为145项和231项,相对以前变少了。

2.划重点

  • 应用和数据安全创新,个人信息保护进入全新的时代,《网络安全法》及等保2.0都对个人信息保护列了明确的条款及说明,尤其是等保2.0中,对数据安全中个人信息保护做了扩展及说明,对数据过度采集、未授权访问等作出了明确要求,这个与《信息安全技术 个人信息安全规范》(GB/T 35273-2017 )遥相呼应,相辅相成。也就是说后面对于个人信息保护这个领域,一定是网络安全等级保护的重点关注对象,也是相关机构重点查处及管理的方向。
建议:个人信息保护,《网络安全法》是有明确定义,国标里面也有明确的说明,这个领域关键还是要定期对个人信息进行风险管理与审计,尤其是个人信息属于内容层面,更应该通过专业的技术、工具等来开展相应的工作,确保在合理利用个人信息的同时,能够做到合规。 

  • 入侵防范不止针对外部,更应该关注内部安全,等保2.0网络安全入侵防范明确要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。内部发起的攻击主要关注数据,特别是一些敏感数据,容易导致信息泄漏。
  建议:根据统计,数据泄露有超过80%的事件是从内部发起的,所以从入侵防范的等保要求出发,内部攻击行为我们更应该关注内部的数据安全,确保敏感数据能够在内部安全使用的过程中,做好数据泄露防护工作
 
  • 网络安全审计更加关注数据分析,网络安全审计中新增加了一条:应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
建议:数据分析是网络安全的重要创新与手段,新时期网络安全风险管控,离不开数据分析,基于内容+行为的安全审计,是开展网络安全的不二之选
 

3.需总结

 
利用好网络安全等级保护制度,我们迫切需要做的就是深入的了解《网络安全法》的要求,了解国家的标准结合自己的业务去做好安全工作与安全规划尤其是数据层面的风险管理与审计,必须引起各方的足够重视。在学习的过程中,合理规划自身的网络安全,提升应急处置预案的能力和关键信息基础设施的保护。网络安全建设的成熟度并不意味着网络安全产品数量和种类的堆叠,建议从安全体系的角度合理规划、合理建设、甚至适度精简,将资源和建设能力投放在如何抵御新时代的网络安全风险上,同时建议在信息化建设的同时统筹考虑网络安全的建设,做到同步规划、同步建设、同步执行。尽量做到四个“W”,就是who(谁),what(做了什么、改了什么、拿了什么),where(数据拿到哪里去了),when(什么时候拿的),《网络安全法》以及等保2.0的落实,将会更加顺利有效。

 

往期新闻精彩链接

“只动手不动脚” 世平助力司法 “零跑”

你知道DCAP和你有哪些关联吗?

我们对隐私到底敏不敏感?今天我们看图说话

Facebook泄漏5000万用户信息,大数据真是让人又爱又恨

世平信息与可信华泰战略合作—共享新机遇 共赢新商机

此处应有掌声!世平成功中标北京市政府协议采购项目

杭州世平信息科技有限公司

世平信息专注于智能化数据管理,基于内容的识别、检查和审计,从针对数据本身的防护需求角度出发,为各行业用户提供业务数据的梳理、分析、价值分享和安全管理方案。凭借近年来在数据库保密检查、数据泄漏防护、敏感信息风险评估和数据脱敏领域的创新与突破,世平信息获得了来自各个行业领域和机构的认可。

联系站长租广告位!

中国首席信息安全官


关闭


关闭