2019年5月13日,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准(以下简称 等保2.0标准)正式发布,将于2019年12月1日开始实施。
2008年起,我国进入“等保1.0”时代,为保障我国信息安全打下了坚实的基础。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护即将进入2.0时代。
相较于等保1.0,等保2.0的变化主要体现在以下几个方面:
01标准名称的变化
等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》。从“信息系统安全”到“网络安全”,与《中华人民共和国网络安全法》中的相关法律条文保持一致。
02对象范围的变化
等保对象由1.0的信息系统升级到2.0的网络安全和信息系统。新标准将云计算、亿动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
03分类结构的变化
标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
04可信计算的变化
新标准强化了可信计算技术使用的要求,各个级别和层面均增加了可信验证控制点,从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。
例如 可信验证-一级
可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
例如 可信验证-四级
可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
05控制项的变化
新制度在控制点要求项目并没有明显的增加,通过合并整合后反而减少了,最具典型的三级,其控制项已经大幅度降低,而二、三、四级控制项的级差都有了不同程度的缩短,详细如下:
06安全要求的变化
等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。
07法律法规的变化
等保2.0发布之后,人们往往把关注点集中在基本要求的技术变化上,而容易忽略等保2.0的本质和结构性变化,即法律层面的提升:
1. 以国务院行政法规(《计算机信息系统安全保护条例》)为顶层设计,公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布的部门规范性文件(《管理办法》)确立核心体系的“信息安全等级保护”为等保1.0时代;
2. 以《网络安全法》、《保守国家秘密法》等法律为顶层设计的等保2.0,其核心体系将是《网络安全等级保护条例》。(已于2018年6月发布征求意见稿)
《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案; 第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
等保1.0到2.0不仅仅是制度修订,技术的升级,更是法律效力的提升。简言之,如果不展开等级保护就相当于违法。
作为新一代互联网IPv6实名安全认证及网络安全防护领先品牌,Dr.COM城市热点一直致力于网络安全策略管理、身份管理和访问控制等网络安全防护技术的提升,紧跟国家网络安全法律法规、政策要求、信息技术前沿和等级保护实际需求,及时掌握网络安全状况,对不断频发的网络安全威胁事件起到关键的检测和防御作用。
从等保1.0到2.0的对象变迁中不难看出,网络信息安全仍然是等保2.0的重点。
Dr.COM城市热点统一日志管理平台完全满足国家对于网络信息安全相关法律法规,该平台能快速完成全信息匹配,并对其上网行为进行展示,日志信息保存并管理6个月或以上,满足网络安全法相关要求,可以做到安全溯源,信息透明,避免企事业单位因网络信息安全问题而受到法规惩处。
等保2.0的到来,代表着国家网络安全建设的重要成就。在网络安全新时代、新威胁、新体系、新能力要求的背景下,Dr.COM城市热点将一如既往不断优化技术和专业能力,为客户打造一个安全、有效、符合等保2.0标准的网络安全保障体系。