Ⅰ 網路安全等級保護2.0什麼時候實施,相比1.0有哪些變化
網路安全等級保護2.0時代,於2019年12月1日正式開始。
網路安全等級保護制度是我國網路安全領域的基本國策、基本制度,等級保護標准在1.0時代標準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。
等保2.0相比1.0主要有四大方面的變化:
(1) 名稱上的變化
名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。
(2) 法律效力不同
《網路安全法》第21條規定「國家實行網路安全等級保護制度,要求網路運營者應當按照網路安全等級保護制度要求,履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。
(3)保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
(4) 控制措施分類不同
等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網路安全、主機安全、應用安全、數據安全及備份恢復,管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外,等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性,即「一個中心,三重防護」。
(5) 內容進行了擴充
等保1.0有五個規定性動作,包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。
資料來源等保測評機構——時代新威官網。
Ⅱ 網路安全等級保護2.0標准正式實施的時間是
2019年12月1日網路安全等級保護2.0國家標準的正式實施,標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的GB/T 22240-2020《信息安全技術 網路安全等級保護定級指南》(以下簡稱「定級指南」)於2020年4月28日發布,2020年11月1日正式實施。
定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程,通過指導網路運營者合理劃分定級對象和准確的確定安全保護等級,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。
01 等級保護對象擴大了
等保保護定級對象主要包括:信息系統、通信網路設施和數據資源等
信息系統就是我們在1.0時候的定級對象,指的是各類信息系統;
通信網路設施指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施,主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等;
數據資源指的是具有或預期具有價值的數據集合,數據資源主要是擁有大量各類有價值的數據,那麼這些單位需要保護好這些數據資源,自然需要對該數據資源進行定級,我們可以想像的這類數據有:人社數據、醫保數據、公積金數據、個人財產數據(銀行、房產、保險等)等信息。
需要注意的是:
當安全責任主體相同時,大數據、大數據平台/系統宜作為一個整體對象定級;
當安全責任主體不同時,大數據應獨立定級;涉及到大量公民個人信息以及為公民提供公共服務的大數據平台/系統,原則上其安全保護等級不低於三級;
不是所有的這類數據都需要獨立去定級,日常中主要存在數據進行集中化後的場景,例如一些地方的大數據局或者政務中心將各行業的一些數據要過來後進行相關應用或使用時應當對這些數據進行獨立定級。
02 定級要素與安全保護等級新關系
當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。
根據2.0的定級指南中定級要數與安全保護等級的關系表我們發現當公民、法人和其他組織的合法權益造成特別嚴重損害時依然為二級,這塊在徵求意見稿中是第三級。
定級要素與安全保護等級的關系如下:
03 受侵害的客體表現形式有哪些
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.
侵害國家安全的事項包括以下方面:
1.影響國家政權穩固和領土主權、海洋權益完整;
2.影響國家統一、民族團結和社會穩定;
3.影響國家社會主義市場經濟秩序和文化實力;
4.其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;
2.影響人民群眾的生活秩序;
3.其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面:
1.影響社會成員使用公共設施;
2.影響社會成員獲取公開數據資源;
3.影響社會成員接受公共服務等方面;
4.其他影響公共利益的事項。
業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果:
1.影響行使工作職能;
2.導致業務能力下降;
3.引起法律糾紛;
4.導致財產損失;
5.造成社會不良影響;
6.對其他組織和個人造成損失;
7.其他影響。
侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。
確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。
04 定級新流程
對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網運行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象,其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核,最終確定其安全保護等級。
定級中的一般工作流程:
專家評審:定級對象的運營、使用單位應組織信息安全專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。
主管部門審批:定級對象的運營、使用單位應將初步定級結果報請行業主管(監管)部門核准,並出具核准意見。
公安機關審核:定級對象的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
企業合規通過等保2.0,完成備案審核後還需通過整改建設、等級評測的工作流程。
網堤安全一站式等保合規解決方案
等級保護的各個階段有著不同的工作重點,網堤安全憑借著深厚的技術實力和豐富的安全服務項目經驗,針對等級保護各個階段同時可提供專業的等保咨詢服務、安全防護產品、安全技術服務和安全運營服務。為各行業、各種場景的安全等級保護建設、提供全流程的保駕護航。
法律依據:
《網路安全法》第二十一條規定:
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或未經授權的訪問,防止網路數據泄漏或者被竊取、篡改。
Ⅲ 等保2.0解讀
隨著《網路安全法》出台,網路安全等級保護制度被提升到了法律層面,國家網路安全等級保護工作進入了2.0時代,各行各業的網路運營者對等級保護標准進行重新學習、認識,並基於相關標准建設網路安全防護措施。等保2.0標準的發布為等級保護制度的落實提供了有力保障,然而等保2.0標准相對等保1.0標準的擴展與調整也給網路運營者帶來了新的困難,尤其是如何實現標准中新增的控制措施。
等保2.0標准中 保護對象得到擴展,由單一信息系統擴展到整個網路空間, 將網路基礎設施、重要信息系統、大數據中心、雲計算平台、物聯網、工控系統、公眾服務平台等全部納入等級保護監管; 內容進一步完善 ,除定級、備案、整改、測評和監督檢查外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜合考核等內容,充分體現了變被動防禦為主動防禦的核心思想。
如此多新增的安全策略控制要求,對網路運營者來說的確是一個不小的問題,然則標準的要求一定是來源於運維的痛點,相信很多網路運營者都感受到了安全策略精準運維的切膚之痛。 安博通晶石安全策略可視化平台針對上述安全策略相關要求均提供了解決方案 ,對應關系如下:
01 安全策略集中管控
安全策略可視化平台可實現對企業全網防火牆、路由交換、負載均衡、VPN等異構品牌、異構型號的網路安全設備進行統一集中管理,包括策略採集、策略解析、策略 歷史 、策略變更監控、策略查詢、策略清理、策略開通等相關功能。平台可通在線方式遠程採集被管設備的安全策略配置文件,對提取到的防火牆策略在數據格式上進行標准化與統一化處理,並統一解析,實現對全網安全設備以及全網安全策略的統一、集中可視化呈現及操作。 滿足等保2.0中有關安全管理和集中管控的控制點和要求項。
02 安全策略優化清理
平台採用「靜」、「動」結合方式實現安全策略的優化清理,確保訪問控制規則最小化。「靜」即基於策略優化檢查演算法對防火牆、路由器、交換機網路節點設備的安全訪問控制策略配置文件進行優化檢查,梳理出各類冗餘策略、隱藏策略、過期策略、可合並策略、空策略等,管理員可根據分析結果再對策略進行精簡和優化調整。「動」即平台通過採集防火牆設備的安全策略日誌進行統計分析,並與安全策略進行原子級五元組比對,實現安全策略命中與收斂分析功能。
安全策略命中分析可針對防火牆上每條策略實現 歷史 一段時間的命中流量總數呈現,同時通過策略命中,調整策略順序,命中數多的策略優先順序高,提高防火牆效率;找出長期無用策略,針對性進行縮緊和刪除。安全策略收斂分析功能則通過策略收斂度比值的方式呈現目標防火牆上每條策略的寬松程度,策略收斂度值越小的策略越寬松,同時可以查看實際命中原子策略信息,通過策略收斂分析,找出寬松策略和長期無效策略,針對性進行縮緊和刪除。可實現最小化訪問策略原則,從而提升網路的整體安全防禦能力。
03 安全策略風險分析
平台基於系統預置的安全策略風險規則庫,對防火牆設備安全策略配置進行策略風險規則檢測,並提供防火牆設備安全策略風險告警以及整改措施。策略風險規則涵蓋統計風險、寬松風險、高危埠、配置風險、合規風險等多個維度。同時平台支持域間訪問白名單與持續監控功能,系統可自動梳理各安全域之間的訪問控制關系,配合人工干預快速形成全網安全域間訪問控制白名單,實現對全網安全域間訪問控制白名單可視化管理;並通過持續監測,及時發現違反訪問控制白名單的違規路徑和安全策略,有效規避安全策略風險。
04 安全策略智慧運維
平台提供更加智能化的安全策略自動化運維解決方案,安全策略自動開通與配置功能包含開通業務請求、開通建議、策略風險分析、策略遠程下發以及策略開通驗證等功能,從而賦能網路安全管理員,協助安全管理員根據業務需求設置安全策略,包括定義訪問路徑、選擇安全組件、配置安全策略。該方案不僅可確保變更內容准確,提高工作效率,降低維護成本,同時讓整個安全策略運維管理工作更加合規。
等級保護工作的落實有效提升了我國的網路安全防護能力。等保2.0的發布,對雲計算、移動互聯、物聯網、工業控制及大數據安全等領域的安全防護能力提出有效補充,是實現國家網路安全戰略目標的新一級台階。安博通將發揮自身技術優勢,始終貫徹網路安全等級保護制度,為國家網路安全建設工作貢獻力量!