網(wǎng)絡安全等級保護技術2.0版本(簡稱等保2.0)正式公開發(fā)布,等保2.0覆蓋工業(yè)控制系統(tǒng)�、云計算���、大數(shù)據(jù)��、物聯(lián)網(wǎng)等新技術新應用,為落實信息系統(tǒng)安全工作提供了方向和依據(jù)���。下面小編就帶您了解一下何為等保2.0�����。
一����、等級保護是什么
網(wǎng)絡安全等級保護是國家信息安全保障的基本制度�、基本策略、基本方法�����。網(wǎng)絡安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統(tǒng)運營���、使用單位應當選擇符合國家要求的測評機構�,依據(jù)《信息安全技術網(wǎng)絡安全等級保護基本要求》等技術標準�����,定期對信息系統(tǒng)開展測評工作�。
二、為什么要做等級保護
(一)法律規(guī)章要求
《網(wǎng)絡安全法》明確規(guī)定信息系統(tǒng)運營�、使用單位應當按照網(wǎng)絡安全等級保護制度要求,履行安全保護義務��,如果拒不履行���,將會受到相應處罰��。
(二)行業(yè)要求
在金融�����、電力���、廣電����、醫(yī)療����、教育等行業(yè)�,主管單位明確要求從業(yè)機構的信息系統(tǒng)要開展等級保護工作。
(三)企業(yè)系統(tǒng)安全的需求
信息系統(tǒng)運營�����、使用單位通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處�����,可通過安全整改提升系統(tǒng)的安全防護能力���,降低被攻擊的風險�����。
三�����、等級保護涉及范圍
(一)省轄市以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)�����;
(二)電信�、廣電行業(yè)的公用通信網(wǎng)、廣播電規(guī)傳輸網(wǎng)等基礎信息網(wǎng)絡����,經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位��、數(shù)據(jù)中心等單位的重要信息系統(tǒng)�;
(三)鐵路、銀行����、海關、稅務�����、民航�����、電力、證券���、保險��、外交、科技��、發(fā)展改革���、國防科技��、公安����、人事勞動和社會保障�、財政、審計����、商務、水利�����、國土資源、能源�、交通、文化����、教育、統(tǒng)計�、工商行政管理、郵政等行業(yè)���、部門的生產(chǎn)�、調(diào)度�、管理、辦公等重要信息系統(tǒng)���。
四��、等級保護發(fā)展歷程
1994年��,《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)規(guī)定��,“計算機信息系統(tǒng)實行安全等級保護��,安全等級的劃分標準和安全等級保護的具體辦法���,由公安部會同有關部門制定”�����,等級保護制度正式被提出����。
2016年10月���,公安部網(wǎng)絡安全保衛(wèi)局對原有國家標準《信息安全技術信息系統(tǒng)安全等級保護基本要求(GB/T 22239-2008)》等系列標準進行修訂。2017年6月����,《網(wǎng)絡安全法》正式出臺,信息安全等級保護過渡到網(wǎng)絡安全等級保護�,法規(guī)明確要求國家實施等保制度。2019年5月����,隨著《信息安全技術網(wǎng)絡安全等級保護基本要求(GB/T 22239-2019)》《信息安全技術網(wǎng)絡安全等級保護測評要求(GB/T 28448-2019)》等標準的正式發(fā)布,標志著等保2.0全面啟動。
五�、等保1.0與2.0對比
等保2.0將原來的標準《信息安全技術信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術網(wǎng)絡安全等級保護基本要求》,與《中華人民共和國網(wǎng)絡安全法》中的相關法律條文保持一致�����。
等保2.0調(diào)整各個級別的安全要求為安全通用要求����、云計算安全擴展要求、移動互聯(lián)安全擴展要求��、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求���。
下圖為等保1.0和等保2.0控制措施分類結(jié)果的變化:
六�����、等級保護實施過程
等保2.0將落實到系統(tǒng)建設全生命周期的每個環(huán)節(jié)����,從系統(tǒng)定級�����、系統(tǒng)備案、建設/整改�、等級測評、再到監(jiān)督與檢查����,每一環(huán)節(jié)都需要系統(tǒng)運營、使用單位重點留意����。
七、等保2.0的測評內(nèi)容
等級保護測評分為安全物理環(huán)境����、安全通信網(wǎng)絡、安全區(qū)域邊界�����、安全計算環(huán)境����、安全管理中心���、安全管理制度�����、安全管理機構��、安全人員管理�����、安全建設管理����、安全運維管理十個層面。
八�、開展等級保護的難點
現(xiàn)階段,信息系統(tǒng)運營�����、使用單位已意識到等級保護制度的必要性�,但在開展等級保護的過程中仍會遇到各式各樣的問題與挑戰(zhàn)。
九���、何種機構能實施等級保護測評
具備由國家網(wǎng)絡安全等級保護工作協(xié)調(diào)小組辦公室頒發(fā)的網(wǎng)絡安全等級保護測評機構推薦證書的機構才能開展等級保護測評工作����。2014年,銀行卡檢測中心(國家金融IC卡安全檢測中心,簡稱BCTC)獲得等級保護測評資質(zhì)�����,逐步形成了安全��、高效的“等保一站式服務解決方案”����。
十、等保一站式服務解決方案
“等保一站式服務解決方案”提供等保全生命周期服務����,可為客戶提供系統(tǒng)定級咨詢、系統(tǒng)備案���、差距分析評估���、安全建設整改咨詢、等級保護測評��、監(jiān)督檢查改進等服務��,依托BCTC豐富的風險評估����、滲透測試、漏洞掃描����、代碼審計經(jīng)驗,在輔助企業(yè)完成等級保護建設工作的切實提升企業(yè)客戶的信息安全防護能力��,終使客戶信息系統(tǒng)滿足國家等級保護基本要求�����。
