随着云计算、物联网、大数据、人工智能等新兴技术的不断发展,如今的网络环境已不同于之前的基础信息网络,而是一种人、物、云三者大互联的全新网络架构。
5月13日,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,该标准将于2019年12月1日开始实施,标志着等级保护工作正式进入“等保2.0”时代。丁牛科技就等保2.0 相关信息进行了梳理汇总,邀您共同探讨,欢迎留言交流。
等保2.0“重大变革”
名称变化
等保1.0全称:
GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》
等保2.0全称:
GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》
保障思路和保障对象变化
等保2.0新提出了“一个中心、三重防护”的理念,等级保护由1.0到2.0实则是被动防御到主动防御的转变。依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
定级对象也发生了改变,等保1.0的定级对象是信息系统,等保2.0的定级对象扩展至基础信息网络、信息系统、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等多个类别,覆盖传统行业、新技术行业等社会信息安全的方方面面。
等级保护定级变化
等保2.0进一步强化了对公民、法人和其他组织合法权益的保护,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级。
各级别安全要求和结构分类变化
等级保护1.0的基本要求中只有普适性的安全要求,等级保护2.0则在满足共性安全保护需求的安全通用要求基础上,针对云计算、移动互联、物联网、工业控制等新技术、新领域提出了安全扩展要求。
安全通用要求控制点和要求项变化
控制点对比:
要求项对比:
测评周期与测评分数基准变化
定级流程变化
等保2.0标准不再自主定级,并且系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
等保2.0区域边界安全“重点新增”
新增恶意代码和垃圾邮件防范控制点
等保2.0第三级和第四级均在“安全区域边界”中增加了“恶意代码和垃圾邮件防范”控制点。
新增可信验证控制点
等保2.0从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。什么是“可信”?即网络中的正常应用行为。也就是说,在等保2.0中不但对网络设备的安全规范有要求,还需要对网络正常应用行为有规范,也就是由管“物”升级到管“人”。
总体来说,相较于等保1.0,等保2.0在结构和内容上均发生了重大变化,“与时俱进”的等保2.0标准,为保障云计算、大数据等新技术下的安全合规提供了基础保障。等保2.0时代,企业达到等级保护的要求,不仅仅是组织与机构对国家法律的履行,更是为了保障组织与机构能够正常运转。因此,企业开展网络安全等级保护将成为用户合规运营的必经之路。
丁牛科技助力企业实现等保合规
丁牛科技拥有一支专业可靠,经验丰富的安全服务团队;具有一个汇集数百名100%通过可信认证的精英白帽众测平台;其自主研发的智驭系列人工智能安全防护产品,能够为客户提供多维全面的安全检测,助力客户实现等保合规。
目前,丁牛科技凭借在等保建设整改方面丰富的实战经验,制定五步项目测评流程,已协助多家客户轻松搞定等保。
未来,丁牛科技将继续贯彻国家网络安全政策,协助客户系统开展等级测评,配合被测单位及时开展整改工作,消除网络安全隐患,提升网络安全保护能力,确保被测评系统达到网络安全等级保护的要求。
了解最新“智驭安全”产品、技术与解决方案,欢迎关注微信公众号:丁牛科技(Digapis_tech)。
来源:freebuf.com 2019-05-22 17:56:43 by: DigApis
请登录后发表评论
注册