为什么说等保20时代
企业必须加强安防体系建设?
「等级保护制度上升到法律层面」
《网络安全法》规定:国家实行网络安全等级保护制度,网络运营者要按照网络安全等级保护制度的要求履行安全保护义务。
等保20以《网络安全法》、《保守国家秘密法》等法律为顶层规范性文件,上升到法律层面,也意味着不开展等级保护属于违法。
为什么说等保20时代
企业安防体系建设并非易事?
「等保20标准:新增4项扩展要求」
难度1:评测及格分提高
与10相比,等保20的评测要求从60提升到75分,通过的难度大大增加。
难度2:扩展要求增加
内容上,以前只有一个安全通用要求,现在新增了四项扩展要求(针对移动互联、云计算、大数据、物联网和工业控制)。
《第1部分安全通用要求》
《第2部分云计算安全扩展要求》
《第3部分移动互联安全扩展要求》
《第4部分物联网安全扩展要求》
《第5部分工业控制系统安全扩展要求》
也就是说,使用新技术的信息系统必须同时满足“通用要求”和“安全扩展”的要求。并且,针对新安全形势提出了新安全要求,满足全部要求的完成难度系数也有很大提高。
难度3:可信计算技术的 强化应用
《网络安全等级保护基本要求》(报批稿)中突出了可信计算,体现了“一个中心、三重防御”的思想,由被动防御变成主动防御,并强化了可信计算安全技术要求的使用。
虽然要求项和难度系数有所增加,但是20标准贯彻的“事前预防、事中响应、事后审计”的动态保障体系,有助于增强威胁防范、处理能力,将大大提高网络安全防护的水平和能力。
不过,基于部分企业安全防护水平有限,等保20标准时代的合规建设,需要专业的指导。
等保20标准时代
百卓网络帮你找到‘应变之道’
「企业安全防护体系建设解决方案」
百卓网络基于多年攻防技术研究和大量项目实践,向客户提供贯穿信息系统完整生命周期的专业安全技术服务,让客户拥有专业、快速、有效的7×24小时安全保障。
具体包括:安全评估服务、等保设服务和安全培训服务。
安全评估服务
针对客户网络、系统、应用、业务、管理制度、组织机构提供全面的安全评估,发现存在的安全隐患,提出详细的整改建议。
等保建设服务
通过等级保护工作,可以理清企业安全防护体系,有助于优化企业安全建设整体规划、优化防御部署,通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情的、系统化地解决大型组织信息安全问题行之有效的方法。
安全培训服务
百卓网络的安全培训服务目前聚焦于企业客户,从三个不同维度设计培训课程以满足企业客户获取安全知识和经验的需求,从而使客户最终达到强化安全意识、理解安全理论、掌握安全技术,能够融会贯通并应用于所在企业的安全建设当中。
随着等保20的正式出台和实施,对企业的安全防护体系建设的要求进一步提高,与之相应的,我国应对网络安全的水平和能力也将进一步提升。百卓网络将努力推进安全防护体系建设,为安全产业的发展贡献一份力量。第一:名称变化
《信息系统安全等级保护基本要求》改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。
第二:定级对象变化
等保10的定级对象是信息系统,现在20更为广泛,包括:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
第三:安全要求变化
等保20由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
①云计算安全扩展要求包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
②移动互联安全扩展要求包括无线接入点的地理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
③物联网安全扩展要求包括感知节点的物理保护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
④工业控制系统安全扩展要求包括室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
第四:控制措施分类结构变化
等保20依然保留技术和管理两个维度。
技术:由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
管理:结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
第五:工作内容变化
等保20不仅进一步明确定级、备案、安全建设、等级测评、监督检查等10时代的规定动作,最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显。云计算、大数据、工业控制系统、物联网、移动互联等新技术的不断拓展已经成为产业结构升级的坚实基础,而其中网络和信息系统作为新兴产业的承载者,构建起了整个经济 社会 的神经中枢,保证其安全性不言而喻。
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式有 基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统 等。形态不同的保护对象面临的威胁有所不同,安全保护需求也会有所差异。现有的标准体系需要提升台阶,去适应新技术的发展,等级保护的相关标准也需要跟上新技术的变化。 “等保10”的标准体系在适用性、时效性、易用性、可 *** 作性上需要进一步扩充和完善,因此“等保20“应运而生。
图注:等级保护20安全框架
针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
首先安全的内涵由早期面向数据的信息安全,过度到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全。网络安全(cybersecurity)以其更丰富的内涵逐步取待信息安全成为安全领域共识,《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度“,相关法律条文和标准也需保持一致性, “等保20“与时俱进的将原标准的”信息系统安全等级保护“改为”网络安全等级保护“ ,例如《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。
等保20对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善, 以满足新形势下等级保护工作的需要,其中《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。
在开展网络安全等级保护工作中应首先明确等级保护对象。
等保10定义等级保护对象为: 信息安全等级保护工作直接作用的具体信息和信息系统。随着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现,原定义内涵局限性日益显现。
等保20定义等级保护对象为: 包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
(以基本要求为例)
等保10:安全要求
等保20:安全通用要求和安全扩展要求
注:等保20安全通用要求是普适性要求,是不管等级保护对象形态如何,必须满足的要求;针对云计算、移动互联、物联网和工业控制系统,除了满足安全通用要求外,还需满足的补充要求称为安全扩展要求。
云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
针对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
以基本要求为例,充分体现一个中心,三重防御的思想(和GB/T 25070保持一致,与设计要求融合)。
1、等级保护的基本要求、测评要求和设计技术要求统一框架,构建“一个中心,三重防护“的安全体系;
2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入了标准规范。
基于这些变化,进入等保20时代,我们应重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)