2019年5月13日,網(wǎng)絡安全等級保護制度2.0國家標準(以下簡稱“等保2.0”)正式發(fā)布,將于2019年12月1日開始實施。至此,我國網(wǎng)絡安全等級保護進入了2.0時代。
開展網(wǎng)絡安全等級保護工作是保護信息化發(fā)展、維護網(wǎng)絡安全的根本保障,是網(wǎng)絡安全保障工作中國家意志的提現(xiàn)。作為國家信息安全的基本制度,貫徹落實等級保護2.0是企業(yè)義不容辭的信息安全義務,而未落實等保的企業(yè)將面臨被有關部門責令整改、行政處罰、暫停注冊、暫停運營等處罰。
小編對等保2.0的變化進行分析和解讀,并結(jié)合敏捷科技在數(shù)據(jù)安全領域的技術和實踐經(jīng)驗,為您解讀等保2.0時代下的數(shù)據(jù)安全防護要求,旨在助力企業(yè)網(wǎng)絡安全防護能力和信息安全管理能力的提升,合理規(guī)避風險。
等保2.0的改變與升級
等保2.0標準與等保1.0標準相比,在保持等級保護“五個級別”不變、五個“規(guī)定動作”不變、等級保護工作相關參與主體“主體職責”不變的基礎上,在如下一些方面進行了改變和升級:
1.標準名稱的變化
等保2.0將《信息安全技術 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術 網(wǎng)絡安全等級保護基本要求》,與《中華人民共和國網(wǎng)絡安全法》中的相關法律條文保持一致,意味著等級保護對象與網(wǎng)絡安全防護理念等的變化。
2.法律法規(guī)的變化
等保2.0法律地位明顯提升,從法規(guī)條例“國務院147號令”上升到《網(wǎng)絡安全法》的法律層面。《中華人民共和國網(wǎng)絡安全法》第二十一條要求,國家實行網(wǎng)絡安全等級保護制度;第三十一條則要求,關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護。
3.標準要求的變化
等保1.0標準只有安全通用要求,等保2.0標準在對等保1.0標準基本要求進行優(yōu)化(刪除了一些過時的要求項,對一些要求項進行精簡與合理性改寫,新增對新型網(wǎng)絡攻擊行為防范、垃圾郵件防范和個人信息保護等一些新的要求)的同時,針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術提出了新的安全擴展要求。
內(nèi)容的變化
安全通用要求控制點變化
安全通用要求要求項變化
注:安全通用要求是不管等級保護對象的形態(tài)如何都必須滿足的要求;安全擴展要求則是針對特殊技術場景所提出的特殊保護要求,使用新技術的信息系統(tǒng)需要同時滿足安全通用要求和新技術的安全擴展要求。
4.等保定級的變化
(1)定級對象的改變:等保1.0定級的對象是信息系統(tǒng),等保2.0標準的定級的對象擴展至:基礎信息網(wǎng)絡、云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、使用移動互聯(lián)技術的網(wǎng)絡以及大數(shù)據(jù)平臺等多個系統(tǒng),覆蓋面更廣。
(2)在系統(tǒng)遭到破壞后,對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現(xiàn)在的最高可以定為三級。
(3)定級對象的安全等級確定更加科學,系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核,才能到公安機關備案,定級更加嚴格。
5.等保測評的變化
等保2.0標準的測評要求更加嚴格,第三級以上的系統(tǒng)每年要開展一次測評,測評達到75分以上才算基本符合要求,而且還在測評標準中增加了高風險判例。
6.安全體系的變化
等保2.0標準依然沿用等保1.0標準的“一個中心、三重防護” 的理念,只是從等保1.0標準的被動防御的安全體系向事前預防、事中響應、事后審計的動態(tài)保障體系轉(zhuǎn)變。
通過建立安全技術體系和安全管理體系,構(gòu)建具備相應等級安全保護能力的網(wǎng)絡安全綜合防御體系,開展組織管理、機制建設、安全規(guī)劃、通報預警、應急處置、態(tài)勢感知、能力建設、監(jiān)督檢查、技術檢測、隊伍建設、教育培訓和經(jīng)費保障等工作。
“數(shù)據(jù)安全”相關的變化
等保1.0時代,數(shù)據(jù)安全主要劃歸在“技術要求-數(shù)據(jù)安全及備份恢復”條款、“技術要求-應用安全”和“技術要求-主機安全”的要求中。
等保2.0時代,數(shù)據(jù)安全上升為網(wǎng)絡安全空間,數(shù)據(jù)安全完全屬于“安全通用要求-安全計算環(huán)境”。
等保2.0中數(shù)據(jù)安全的要點及技術實現(xiàn)
(以第三級安全要求為例)
安全計算環(huán)境是針對邊界內(nèi)部提出的安全控制要求,主要對象為邊界內(nèi)部的所有對象,包括網(wǎng)絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等。其中數(shù)據(jù)對象的安全保護屬于安全計算環(huán)境中一個重要的環(huán)節(jié)。
數(shù)據(jù)的保護主要包括數(shù)據(jù)的安全防護和數(shù)據(jù)的備份恢復,其中數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)備份恢復均屬于數(shù)據(jù)的安全防護要點。
對于數(shù)據(jù)保密性,可利用數(shù)據(jù)加密技術,對敏感數(shù)據(jù)做加密處理,保證重要數(shù)據(jù)在存儲過程中的保密性。企業(yè)需要通過購買加密軟件對重要業(yè)務數(shù)據(jù)進行加密。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采用的是一種主動的智能安全加密策略,在從文件創(chuàng)建到刪除的整個生命周期都對其進行智能化的安全保護,且不會改變員工的正常操作模式,在安全性和方便性之間找到了一個非常好的平衡點。
對于數(shù)據(jù)完整性,可通過加密傳輸機制等,對數(shù)據(jù)進行全面的完整性保障。企業(yè)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸和存儲過程中能夠檢測出完整性是否受到破壞,并有必要的恢復措施。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采取全方位、全內(nèi)容、全過程的數(shù)據(jù)管理與安全保護手段,為企業(yè)的各類電子文件提供全生命期的安全保護和有效管理。
對于數(shù)據(jù)備份恢復,可通過數(shù)據(jù)備份機制,實現(xiàn)數(shù)據(jù)的自動備份。企業(yè)的本地數(shù)據(jù)具有備份和恢復功能,每天完全數(shù)據(jù)至少備份一次,同時將關鍵數(shù)據(jù)定時做異地備份。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS可實時抓取系統(tǒng)數(shù)據(jù),文件主動備份功能可以自動增量備份核心數(shù)據(jù)資料。
敏捷科技數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS全面符合企業(yè)等保三級的數(shù)據(jù)完整性、保密性、備份和恢復等安全技術和安全管理要求,從事前預防、事中控制和事后審計對數(shù)據(jù)進行全生命周期的智能化安全防護,終端數(shù)據(jù)安全防護、移動端安全防護、數(shù)據(jù)溯源水印、打印安全控制、內(nèi)容外發(fā)管理、文檔安全管理等功能可確保企業(yè)信息安全達到全局應用效果。
網(wǎng)絡安全等級保護制度2.0的正式發(fā)布是中國網(wǎng)絡安全保障工作的偉大創(chuàng)舉。敏捷科技以《信息安全技術 網(wǎng)絡安全等級保護基本要求》為基礎,以數(shù)據(jù)安全為核心,自主可控的加密防護技術為支撐,建立基于等保2.0標準的網(wǎng)絡安全防護體系,為企業(yè)用戶提供一站式等保整改與建設方案及風險評估服務,更高效、更合理地協(xié)助各行各業(yè)用戶的等級保護建設工作,為我國網(wǎng)絡安全建設工作做出更大貢獻。