網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)2.0版本(簡(jiǎn)稱等保2.0)正式公開(kāi)發(fā)布��,等保2.0覆蓋工業(yè)控制系統(tǒng)�、云計(jì)算����、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用��,為落實(shí)信息系統(tǒng)安全工作提供了方向和依據(jù)�。下面小編就帶您了解一下何為等保2.0。
一��、等級(jí)保護(hù)是什么
網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度���、基本策略��、基本方法�。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。信息系統(tǒng)運(yùn)營(yíng)���、使用單位應(yīng)當(dāng)選擇符合國(guó)家要求的測(cè)評(píng)機(jī)構(gòu)��,依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)�����,定期對(duì)信息系統(tǒng)開(kāi)展測(cè)評(píng)工作�����。
二���、為什么要做等級(jí)保護(hù)
(一)法律規(guī)章要求
《網(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求�,履行安全保護(hù)義務(wù),如果拒不履行����,將會(huì)受到相應(yīng)處罰�����。
(二)行業(yè)要求
在金融����、電力���、廣電��、醫(yī)療����、教育等行業(yè)���,主管單位明確要求從業(yè)機(jī)構(gòu)的信息系統(tǒng)要開(kāi)展等級(jí)保護(hù)工作。
(三)企業(yè)系統(tǒng)安全的需求
信息系統(tǒng)運(yùn)營(yíng)���、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處����,可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力,降低被攻擊的風(fēng)險(xiǎn)��。
三��、等級(jí)保護(hù)涉及范圍
(一)省轄市以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)�����;
(二)電信���、廣電行業(yè)的公用通信網(wǎng)����、廣播電規(guī)傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)��,經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位�、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)�����;
(三)鐵路�、銀行、海關(guān)����、稅務(wù)��、民航����、電力�、證券、保險(xiǎn)����、外交、科技�、發(fā)展改革、國(guó)防科技��、公安����、人事勞動(dòng)和社會(huì)保障��、財(cái)政�����、審計(jì)、商務(wù)�、水利、國(guó)土資源�����、能源��、交通����、文化、教育�、統(tǒng)計(jì)、工商行政管理���、郵政等行業(yè)���、部門(mén)的生產(chǎn)、調(diào)度��、管理�、辦公等重要信息系統(tǒng)。
四�、等級(jí)保護(hù)發(fā)展歷程
1994年�,《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)規(guī)定��,“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)��,安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法�,由公安部會(huì)同有關(guān)部門(mén)制定”,等級(jí)保護(hù)制度正式被提出���。
2016年10月���,公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)原有國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)》等系列標(biāo)準(zhǔn)進(jìn)行修訂。2017年6月�,《網(wǎng)絡(luò)安全法》正式出臺(tái),信息安全等級(jí)保護(hù)過(guò)渡到網(wǎng)絡(luò)安全等級(jí)保護(hù)����,法規(guī)明確要求國(guó)家實(shí)施等保制度。2019年5月��,隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T 28448-2019)》等標(biāo)準(zhǔn)的正式發(fā)布��,標(biāo)志著等保2.0全面啟動(dòng)�。
五�、等保1.0與2.0對(duì)比
等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》�,與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致�����。
等保2.0調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求�����、云計(jì)算安全擴(kuò)展要求���、移動(dòng)互聯(lián)安全擴(kuò)展要求�����、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求�����。
下圖為等保1.0和等保2.0控制措施分類結(jié)果的變化:
六�����、等級(jí)保護(hù)實(shí)施過(guò)程
等保2.0將落實(shí)到系統(tǒng)建設(shè)全生命周期的每個(gè)環(huán)節(jié)���,從系統(tǒng)定級(jí)���、系統(tǒng)備案、建設(shè)/整改���、等級(jí)測(cè)評(píng)���、再到監(jiān)督與檢查,每一環(huán)節(jié)都需要系統(tǒng)運(yùn)營(yíng)�����、使用單位重點(diǎn)留意�。
七、等保2.0的測(cè)評(píng)內(nèi)容
等級(jí)保護(hù)測(cè)評(píng)分為安全物理環(huán)境�、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界�、安全計(jì)算環(huán)境、安全管理中心���、安全管理制度����、安全管理機(jī)構(gòu)、安全人員管理����、安全建設(shè)管理��、安全運(yùn)維管理十個(gè)層面�。
八、開(kāi)展等級(jí)保護(hù)的難點(diǎn)
現(xiàn)階段��,信息系統(tǒng)運(yùn)營(yíng)��、使用單位已意識(shí)到等級(jí)保護(hù)制度的必要性����,但在開(kāi)展等級(jí)保護(hù)的過(guò)程中仍會(huì)遇到各式各樣的問(wèn)題與挑戰(zhàn)。
九��、何種機(jī)構(gòu)能實(shí)施等級(jí)保護(hù)測(cè)評(píng)
具備由國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)的機(jī)構(gòu)才能開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作�����。2014年,銀行卡檢測(cè)中心(國(guó)家金融IC卡安全檢測(cè)中心���,簡(jiǎn)稱BCTC)獲得等級(jí)保護(hù)測(cè)評(píng)資質(zhì)���,逐步形成了安全��、高效的“等保一站式服務(wù)解決方案”���。
十、等保一站式服務(wù)解決方案
“等保一站式服務(wù)解決方案”提供等保全生命周期服務(wù)����,可為客戶提供系統(tǒng)定級(jí)咨詢、系統(tǒng)備案���、差距分析評(píng)估��、安全建設(shè)整改咨詢�、等級(jí)保護(hù)測(cè)評(píng)����、監(jiān)督檢查改進(jìn)等服務(wù),依托BCTC豐富的風(fēng)險(xiǎn)評(píng)估�����、滲透測(cè)試�����、漏洞掃描、代碼審計(jì)經(jīng)驗(yàn)����,在輔助企業(yè)完成等級(jí)保護(hù)建設(shè)工作的同時(shí),切實(shí)提升企業(yè)客戶的信息安全防護(hù)能力�����,終使客戶信息系統(tǒng)滿足國(guó)家等級(jí)保護(hù)基本要求���。
