网络安全等级保护制度2.0(网络安全等级保护制度20标准的发布)
本篇文章给大家谈谈网络安全等级保护制度2.0,以及网络安全等级保护制度20标准的发布对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
什么是等保2.0?
等保2.0是什么?
等保2.0是等保1.0的升级,也就是网络安全等级保护。目前我国将全国的信息系统(包括网络)按照信息系统的业务信息和系统服务被破坏后,对受侵害客体的侵害程度分成五个安全保护等级。
等保2.0什么时候开始实施的?
2019年5月13日,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络安全等级保护基本要求》2.0版本,等保2.0于2019年12月1日正式实施。等保2.0的实施,是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。
等保2.0四大特点简单介绍
01、等级保护2.0新标准将对象范围由原来的信息系统改为等级保护对象(信息系统、通信网络设施和数据***等)。等级保护对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制 系统、***用移动互联技术的系统等。
02、等级保护2.0新标准在1.0标准的基础上进行了优化,同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。
03、等级保护2.0新标准统一了《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三个标准的架构,***用了“一个中心,三重防护”的防护理念和分类结构,强化了建立纵深防御和精细防御体系的思想。
04、等级保护2.0新标准强化了密码技术和可信计算技术的使用,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。
等保2.0解读
随着《网络安全法》出台,网络安全等级保护制度被提升到了法律层面,国家网络安全等级保护工作进入了2.0时代,各行各业的网络运营者对等级保护标准进行重新学习、认识,并基于相关标准建设网络安全防护措施。等保2.0标准的发布为等级保护制度的落实提供了有力保障,然而等保2.0标准相对等保1.0标准的扩展与调整也给网络运营者带来了新的困难,尤其是如何实现标准中新增的控制措施。
等保2.0标准中 保护对象得到扩展,由单一信息系统扩展到整个网络空间, 将网络基础设施、重要信息系统、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管; 内容进一步完善 ,除定级、备案、整改、测评和监督检查外,增加了风险评估、安全监测、通报预警、案***调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综合考核等内容,充分体现了变被动防御为主动防御的核心思想。
如此多新增的安全策略控制要求,对网络运营者来说的确是一个不小的问题,然则标准的要求一定是来源于运维的痛点,相信很多网络运营者都感受到了安全策略精准运维的切肤之痛。 安博通晶石安全策略可视化平台针对上述安全策略相关要求均提供了解决方案 ,对应关系如下:
01 安全策略集中管控
安全策略可视化平台可实现对企业全网防火墙、路由交换、负载均衡、***等异构品牌、异构型号的网络安全设备进行统一集中管理,包括策略***集、策略解析、策略 历史 、策略变更监控、策略查询、策略清理、策略开通等相关功能。平台可通在线方式远程***集被管设备的安全策略配置文件,对提取到的防火墙策略在数据格式上进行标准化与统一化处理,并统一解析,实现对全网安全设备以及全网安全策略的统一、集中可视化呈现及操作。 满足等保2.0中有关安全管理和集中管控的控制点和要求项。
02 安全策略优化清理
平台***用“静”、“动”结合方式实现安全策略的优化清理,确保访问控制规则最小化。“静”即基于策略优化检查算法对防火墙、路由器、交换机网络节点设备的安全访问控制策略配置文件进行优化检查,梳理出各类冗余策略、隐藏策略、过期策略、可合并策略、空策略等,管理员可根据分析结果再对策略进行精简和优化调整。“动”即平台通过***集防火墙设备的安全策略日志进行统计分析,并与安全策略进行原子级五元组比对,实现安全策略命中与收敛分析功能。
安全策略命中分析可针对防火墙上每条策略实现 历史 一段时间的命中流量总数呈现,同时通过策略命中,调整策略顺序,命中数多的策略优先级高,提高防火墙效率;找出长期无用策略,针对性进行缩紧和删除。安全策略收敛分析功能则通过策略收敛度比值的方式呈现目标防火墙上每条策略的宽松程度,策略收敛度值越小的策略越宽松,同时可以查看实际命中原子策略信息,通过策略收敛分析,找出宽松策略和长期无效策略,针对性进行缩紧和删除。可实现最小化访问策略原则,从而提升网络的整体安全防御能力。
03 安全策略风险分析
平台基于系统预置的安全策略风险规则库,对防火墙设备安全策略配置进行策略风险规则检测,并提供防火墙设备安全策略风险告警以及整改措施。策略风险规则涵盖统计风险、宽松风险、高危端口、配置风险、合规风险等多个维度。同时平台支持域间访问白名单与持续监控功能,系统可自动梳理各安全域之间的访问控制关系,配合人工干预快速形成全网安全域间访问控制白名单,实现对全网安全域间访问控制白名单可视化管理;并通过持续监测,及时发现违反访问控制白名单的违规路径和安全策略,有效规避安全策略风险。
04 安全策略智慧运维
平台提供更加智能化的安全策略自动化运维解决方案,安全策略自动开通与配置功能包含开通业务请求、开通建议、策略风险分析、策略远程下发以及策略开通验证等功能,从而赋能网络安全管理员,协助安全管理员根据业务需求设置安全策略,包括定义访问路径、选择安全组件、配置安全策略。该方案不仅可确保变更内容准确,提高工作效率,降低维护成本,同时让整个安全策略运维管理工作更加合规。
等级保护工作的落实有效提升了我国的网络安全防护能力。等保2.0的发布,对云计算、移动互联、物联网、工业控制及大数据安全等领域的安全防护能力提出有效补充,是实现国家网络安全战略目标的新一级台阶。安博通将发挥自身技术优势,始终贯彻网络安全等级保护制度,为国家网络安全建设工作贡献力量!
网络安全等级保护2.0国家标准
等级保护2.0标准体系主要标准如下:1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第***(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害
相较于1.0版本,2.0在内容上到底有哪些变化呢?
1.0定级的对象是信息系统,2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。
再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为***。
最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。
总结通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据:《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)***取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)***取监测、记录网络运行状态、网络安全***的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)***取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
网络安全等级保护2.0标准体系
等级保护2.0标准主要特点
首先,我们来看看网络安全等级保护2.0的主要标准,如下图:
说起网络安全等级保护2.0标准的特点,马力副研究员表示,主要体现在以下三个方面:
一是,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
二是,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是,强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
“标准从一级到四级全部提出了可信验证控件。但在标准的试用期间,对于可信验证的落地还存在诸多挑战。所以,我们希望与这次参会的所有硬件厂商、软件厂商、安全服务商共同努力,把可信验证、可信计算这方面的产品产业化,来更好地支撑新标准。” 马力副研究员说到。
等级保护2.0标准的十大变化
随后,他为大家解读了等级保护2.0标准的十大变化,具体如下:
1、名称的变化
从原来的《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》,再改为《网安全等级保护基本要求》。
2、对象的变化
原来的对象是信息系统,现在等级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、***用移动互联技术的系统等。
3、安全要求的变化
由“安全要求”改为“安全通用要求和安全扩展要求”。
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,成为安全扩展要求。
4、章节结构的变化
第***安全要求的目录与之前版本明显不同,以前包含技术要求、管理要求。现在的目录包含:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
对此,马力副研究员指出:“别小看只是目录架构的变化,这导致整个新标准的使用不同。1.0标准规定技术要求和管理要求全部实现。现在需要根据场景选择性的使用通用要求+某一个扩展要求。”
5、分类结构的变化
在技术部分,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
6、增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括:基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
7、增加了移动互联网安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括:无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件***购和移动应用软件开发等方面。
8、增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:感知节点的物理防护、感知节点设备安全、感知***节点设备安全、感知节点的管理和数据融合处理等方面。
9、增加了工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护需求。对工业控制系统主要增加的内容包括:室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
10、增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景(安全扩展要求)。
等级保护2.0标准的主要框架和内容
为了让大家更为直观的了解等级保护2.0标准的主要框架和内容,我重点通过PPT来阐述。
首先来看看新标准结构:
2008版基本要求文档结构如下:
新基本要求文档结构如下:
安全通用要求中的安全物理部分变化不大,见下面:
网络试用版到***版被拆分了三个部分:安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的时候,再次强调了系统管理,审计管理,安全管理,构成新的标准内容。具体如下:
演讲***,马力副研究员对几个扩展要求进行了总结展示。他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真学习新版等保要求。
网络安全等级保护制度2.0的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于网络安全等级保护制度20标准的发布、网络安全等级保护制度2.0的信息别忘了在本站进行查找喔。
