信息安全等级保护进入2.0时代后网络安全保护范

 公司新闻     |      2020-01-23 10:53
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作,信息系统运营、使用单位应当选择符合国家要求的测评机构,依据信息安全等级保护等技术标准,定期对信息系统开展测评工作。
 
在网络安全领域,新修订的《信息安全技术网络安全等级保护基本要求》等系列国家标准,可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。
 
2017年6月1日,《中华人民共和国网络安全法》正式实施。其中第二十一条明确规定,国家实行网络安全等级保护制度,进一步明确网络安全等级保护制度的法律地位。
 
为顺应当前的网络安全要求,等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”,标志着实施了10余年之久的信息安全等级保护制度从1.0跨入了2.0的新阶段。
 
会上,公安部信息安全等级保护评估中心相关负责人陈广勇介绍,相比“等保1.0”,此次新标准的保护对象从信息系统变为网络和信息系统,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。保障体系由被动防御升级为全方面的主动防御,包括感知预警、动态防护、安全检查、应急响应等。三级以上的评测周期均设定为:一年一次。评测的及格线也由60分提高到75分。
 
与此对应,《信息安全技术网络安全等级保护基本要求》对每个级别的基本要求均由安全通用要求和安全扩展要求构成。除了“不管等级保护对象形态如何必须满足”的安全通用要求外,还有针对云计算、移动互联、物联网和工业控制系统提出的特殊要求,称为安全扩展要求。
 
 

一直以来,我国在网络安全方面主要依据的是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。随着科技的发展,等保1.0的局限性逐渐显露,除了缺乏对一些新技术和新应用比如云计算、大数据和物联网等的保护规范,而且在风险评估、安全监测和通报预警等方面,以及政策、标准、测评、技术和服务等体系上都有待与时俱进的完善。
 
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
 
业内人士分析,随着云计算、大数据、物联网等新技术的发展和落地应用,安全防护范围也顺应时代需求的扩大与升级。从等保1.0到等保2.0,安全防护的范围从原有的信息系统扩展到整个网络空间,涵盖了云计算平台、大数据、物联网、移动互联网等多个系统平台和工控安全等。从网络安全、系统安全过渡到网络空间安全,这个过程中传统的安全边界日益模糊,等保2.0正是顺应这个发展趋势而出台的。
 
此外,安全保护范围的升级,相应的带来了安全体系框架和思路理念上的升级,原有的传统安全在新的技术平台与形态上已经出现了明显不足。所以除了等保1.0要求的定级、备案、建设整改、等级评测与监督检查五个规定动作之外,等保2.0增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。“总的来说,1.0所考虑的是经典的被动防御;而2.0的安全观念从被动转变到主动防御,要求企业加强安全管理建设,让安全管理必须贯穿企业基础设施建设和业务全过程,安全不仅仅是检测、响应、防御,而要全面整体的考虑到事前、事中、事后,要做到事前能够预警异常事件,事中可以及时阻断攻击和违规行为,并且在各个环节做到全方位、多层次审计,以便出现问题,事后可以快速溯源。”志翔科技产品副总裁伍海桑博士表示,同时,等保2.0的测评要求也更加严格。