网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


进入等保2.0时代,有哪些旧误区和新变化,如何应对?

2018-10-12 07:55 推荐: 浏览: 21 views 字号:

摘要: 网络安全等级保护制度从2007年实施到现在,已经走过十一年。从最初的等保1.0时代跨入等保2.0时代,制度发生了突破性的进展,不仅体系发生了大升级,该标准制度也上升为法律,变得空前重要。尤其在移动互联、云计算、物联网等新的业务环境均提供安全建设标准和指导。 这...

网络安全等级保护制度从2007年实施到现在,已经走过十一年。从最初的等保1.0时代跨入等保2.0时代,制度发生了突破性的进展,不仅体系发生了大升级,该标准制度也上升为法律,变得空前重要。尤其在移动互联、云计算、物联网等新的业务环境均提供安全建设标准和指导。

这套制度标准的实施为信息系统安全开辟了一条可落地可操作的道路。不仅为各信息系统提供体系化的指导,根据各自责任落实相应技术措施,避免安全工作的不作为、或乱作为;同时为落实信息系统安全工作提供方向和依据,明确法律法规要求,让安全工作有法可依;还致力于落实保障个人信息、资金等安全,为个人隐私提供保护伞。

一、跨入2.0时代,发生的显著变化

1.标准的命名发生变化:等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《网络安全法》中的相关法律条文保持一致。

2.扩展需求的增加:为了配合《网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

3.安全通用要求控制域发生变化:等保2.0由旧标准的10个分类调整为8个分类,分别为技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

4.定级对象的扩展:

01.jpg

5.定级矩阵的变化:加重了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,其中特别严重损害由过去的第二级升级为第三级。

等保2.0

二、当前认知误区

尽管等保制度早就成为网络安全领域里的标准法规,但对于网络安全等级保护制度的仍难免存在一些认识误区,今天我们也一一梳理如下:

1.信息系统物理隔离就不用落实等保工作。这是最常见的误区,所有信息系统都要落实,即使物理隔离的信息系统也要落实等保工作。一般物理隔离的信息系统,都是因为重要才隔离,定级会比较高,反而是等保工作的重点。

2.企业信息系统瘫痪只影响企业利益,等保定级可以比较低。等保定级一般分系统服务安全和业务信息安全两个维度,企业大多数系统服务受破坏只影响企业业务,定级要求不高。但是涉及公民个人信息的企业,业务信息安全就相对较高。特别是近几年数据共享,数据价值越来越被重视,企业手中数据越来越多,带来的安全责任当然也是越来越大。

3.信息系统上云就安全了。很多单位认为网站和信息系统上云后就安全了,等保不用做了。信息系统是否上云,安全责任主体都不会变。各类云平台只提供平台和简单的安全措施,安全责任主体单位还是要按等保要求落实相应的安全工作,只是物理和环境安全等部分安全工作由云平台承担。

三、数据成为核心保护内容

随着数据价值的最大化释放,我们逐渐认识到:数据是等级保护安全建设的核心内容,物理环境、网络通信、设备计算、应用安全是数据前四道防线,围绕数据、人、平台、管理制度是未来网络安全主动防御体系的发展方向。

前面我们也提到,等保2.0补充提出了五项安全扩展要求:云计算安全、移动互联网安全、物联网安全、大数据安全和工业控制系统安全。由原来的物理安全、网络安全、主机安全、应用安全、数据安全及恢复,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。而安华金和当前全线数据库安全产品能够全面对标等保2.0。

举例来说,等保分五级,明确指出了五个规定动作:定级、备案、建设、测评、监督,测评是通过访谈、现场检查、测试三种方式,数据库安全的测评指标来自于“主机安全”和“数据安全及恢复”,面向中国所有非涉密信息系统,都要按照等级保护进行建设。

一般等级保护二级以上系统主要集中在党、政、央企、金融、能源、通信、铁路等行业里。安华金和的数据库漏扫纳入多个国家及行业等保工具箱,安华金和的数据库审计是等保二、三级必选,数据库加密数据库防火墙已参与上百家等、分保项目。

其中,等保四级是结构化保护级,公安机关每半年检查一次,要求在第三级自主和强制访问控制扩展到所有主体与客体之外,还要考虑隐蔽通道,可信计算基结构化,增强鉴别机制和配置管理控制,具有相当的抗渗透能力,数据保密性提出数据库系统提供加密存储机制,安华金和的数据库加密系统可以应对该项等保测评要求。

四、数据安全治理解决方案

面对当前的等保形势,9月26-28日,安华金和应邀参加由青岛网警举办的网络安全等级保护业务培训班,将安华金和的产品技术能力融入数据安全治理的解决方案中,基于等保标准的合规需求,为青岛重点的政府机关、金融、教育等行业单位的用户提供专业的数据安全建设终极秘籍,一起在等保2.0时代安全驰骋。

会上,安华金和和与会用户一起梳理了数据安全治理的框架,并结合自身的安全产品与技术服务思路,提出可落地的数据安全治理技术路线,让安全能力以“点”、“面”、“整体”的辐射覆盖方式灵活落地。

03.jpg

点:以“任务”或“纯粹目标”为导向的数据安全建设,如系统等保测评、单一业务安全需求等。

面:以“重要信息系统”或“多个业务应用”为导向的数据安全建设,如学籍系统、贫困学生资助系统等。

整体:以“平台级”为导向的数据安全建设,如省、市整体数据安全规划,大数据平台建设,云平台建设等。

有了这么一套系统化的数据安全治理方案,还怕等保制度落实不力,数据安全建设做不好吗?

联系站长租广告位!

中国首席信息安全官


关闭


关闭